Negli ultimi mesi si è registrato un preoccupante aumento delle campagne di phishing che sfruttano lo SPID – il Sistema Pubblico di Identità Digitale – come esca per ingannare utenti e aziende. Quello che nasce come uno strumento pensato per semplificare l’accesso ai servizi pubblici può diventare un’arma a doppio taglio, se non gestito con consapevolezza.
Come funziona il phishing legato allo SPID
Gli attacchi seguono uno schema ormai collaudato: il destinatario riceve un’email o un SMS apparentemente inviato da enti ufficiali come l’Agenzia delle Entrate, l’INPS o anche la stessa AGID. I messaggi sono spesso allarmistici – parlano di problemi con l’identità digitale, scadenze imminenti o necessità di aggiornare i propri dati.
All’interno è presente un link che rimanda a una finta pagina di login, graficamente identica a quella reale del provider SPID. Lo scopo non è rubare direttamente l’identità digitale, ma carpire quante più informazioni personali possibili: credenziali, dati anagrafici, copie di documenti e altri elementi che, se combinati, potrebbero successivamente essere usati per tentativi di furto di identità digitale o frodi più complesse.
Perché è un problema per le aziende
Spesso si pensa che lo SPID sia uno strumento solo personale. In realtà, molte attività aziendali, come la gestione dei rapporti con enti pubblici o la consultazione di documenti fiscali, richiedono l’uso dello SPID da parte di dipendenti o amministratori.
Ecco i principali rischi per le aziende:
- Accessi non autorizzati: chi entra in possesso delle credenziali può accedere a portali fiscali, previdenziali e amministrativi.
- Furto di dati sensibili: se lo SPID è collegato a documenti riservati, questi possono essere sottratti e potenzialmente diffusi.
- Violazioni del GDPR: la perdita o la divulgazione di dati personali può comportare sanzioni significative.
- Danni reputazionali: la compromissione (o percezione di compromissione) dell’identità digitale può generare sfiducia in clienti e partner.
Come difendersi dagli attacchi di phishing legati allo SPID
Per limitare il rischio di phishing legato allo SPID, è fondamentale adottare una vera e propria cultura aziendale della sicurezza digitale. Ecco alcuni consigli pratici:
- Formazione del personale
I dipendenti devono saper riconoscere i segnali di un attacco phishing. Diffidare da messaggi che richiedono azioni urgenti e verificare sempre la fonte prima di cliccare su un link. - Verifica dell’URL
Controllare che l’indirizzo web corrisponda esattamente al dominio ufficiale del provider SPID. Attenzione agli URL leggermente modificati. - Autenticazione a due fattori (2FA)
Attivare il secondo fattore di autenticazione ogni volta che è possibile, per aggiungere un ulteriore livello di protezione. - Monitoraggio degli accessi
Controllare regolarmente gli accessi ai servizi pubblici digitali per individuare attività sospette o anomale. - Procedure di revoca rapide
In caso di sospetto phishing o compromissione, è importante sapere come revocare o modificare rapidamente lo SPID e le relative credenziali.
Password e browser: rischi e archiviazione sicura
Lo SPID è uno strumento potente ma, come ogni tecnologia, deve essere usato con consapevolezza. Le aziende devono trattarlo al pari di qualsiasi altro asset strategico, adottando misure preventive e formando il proprio personale.
Essere preparati significa ridurre i rischi e proteggere non solo i dati, ma anche la reputazione e la continuità operativa del business.
