{{feedLink}}

SPID ha un problema? Non proprio, siamo noi ad avere un problema.

SPID Christian Bernieri
(Aggiornato il )
Identità clonate
AI

SPID, il sistema pubblico di identità digitale è al centro dell'attenzione per un buon motivo: le truffe sono in forte aumento.

Per parlarne non scomoderò il papà dello Spid, Stefano Quintarelli, ma sarebbe bene iniziare ascoltando il podcast odierno di Matteo Flora.

Dopo il bel recap di Matteo, il mio primo pensiero è stato "circolare, gente, circolare... non c'è nulla da vedere..." perché, come sottolinea Lastknight, in fondo in fondo, non c'è nulla di nuovo nella "falla" di SPID, come non c'è nulla di nuovo nel variopinto mondo delle truffe che, in gran parte, fanno leva su ciò che di più vulnerabile esiste nei processi: le persone.

Diciamolo, SPID non ha alcuna falla di natura tecnologica. Le truffe che vediamo non sfruttano complicati meccanismi per acquisire token riservati, rubare o decifrare chiavi crittografiche, sottrarre password o violare archivi protetti. 

La falla, anzi, le falle sono tutte nel processo. Le falle siamo (sempre) noi.

Antefatto 1: in rete c'è tutto l'occorrente per sottoscrivere e attivare il servizio SPID come la copia dei documenti di identità, i dati anagrafici le foto del volto, video che ci ritraggono. È estremamente semplice recuperare dati personali da uno dei tanti data breach che quotidianamente vengono pubblicati  nel dark web ed è semplicissimo arricchire queste informazioni con tutto ciò che ciascuno posta sui vari social. L'occorrente è li, già pronto, non c'è bisogno di fare acrobazie, spiare le persone, entrare nei loro pc o filmarle di nascosto. Anzi, persino meglio, si può ottenere tutto il necessario per truffare persone lontane, senza mai aver avuto alcun contatto o interazione. Tutte queste informazioni possono essere processate con sistemi all'apparenza fantascientifici, ma disponibili a chiunque: impersonare qualcuno tramite webcam è alla portata di chiunque, i deepfake statici o in tempo reale sono tecnologicamente elementari e, anche se non sono perfetti, non sono distinguibili agli occhi di un operatore di call-center che non ha mai incontrato la persona che chiede l'attivazione dello SPID. I riferimenti di contatto come email e telefono possono essere creati ad arte e invisibili alla persona truffata che sarà completamente cieca rispetto a ciò che può accadere ai suoi danni.

Antefatto 2: i gestori di SPID sono in competizione tra loro e cercano di attirare i clienti offrendo loro ciò che cercano. Cosa cerca un pigro utente del web, nove volte su dieci? Semplice, cercano tutti la comodità, l'immediatezza e un livello bassissimo di complicazioni. In automatico, i processi di attivazione sono diventati sempre più brevi, rapidi, riducendo al minimo le interazioni, cercando di eliminare ogni attesa e verifica al minimo indispensabile. Questa semplificazione ha minimizzato quei punti di controllo che, in altre condizioni, ostacolano le truffe.

Antefatto 3: non tutti sono iper-tecnologici. Una persona può non avere una PEC, può non avere uno SPID, chiunque può tranquillamente vivere senza. Questa persona è la vittima perfetta perché è molto improbabile che si possa accorgere che qualcosa non va, che qualcuno ha aperto uno SPID a suo nome, persino il primo SPID della sua vita... solo che è sotto il controllo di un'altra persona.

La combinazione di questi tre antefatti realizza la tempesta perfetta che ogni malfattore stava aspettando. Le conseguenze sono inevitabili, direi necessarie.

Quali sono, dunque, le falle di SPID?

Nessuna, semplicemente il mondo è cambiato rispetto all'epoca della sua introduzione e, nel tempo, non sono stati sviluppati gli anticorpi necessari per contrastare la fantasiosa mente dei criminali. La situazione non è grave, basterebbe rendersi conto del problema e agire.

Un modo per rimediare potrebbero essere questo:

all'atto dell'attivazione di uno SPID, ogni utente dovrebbe essere avvisato. Il problema è come farlo perché finché non sarà obbligatorio avere un domicilio digitale, l'unico modo resta è la cara vecchia raccomandata postale. Per chi possiede una PEC tutto è più semplice. I gestori dei servizi SPID potrebbero facilmente fare un controllino sul registro ini-pec e, in subordine, spiccare la raccomandata. Tutto questo ha un costo e non mi riferisco ai francobolli, ma al tempo: prima di rendere attivo lo SPID, il gestore dovrebbe attendere un riscontro o il trascorrere di un certo tempo in modo da essere sicuro che la notifica abbia prodotto i suoi effetti. Uno SPID appena attivato può fare danni immensi anche in poche ore, quindi sarebbe fondamentale renderlo innocuo sino a conferma esplicita o sino al ritorno della ricevuta della raccomandata. Già mi immagino gli utenti in protesta per gli anacronistici tempi di attivazione.

Un altro modo potrebbe consistere in un database che, se interrogato, possa permettere di conoscere lo stato degli SPID rilasciati ad un certo individuo. Ovviamente questo sistema introduce ulteriori problemi: il fatto che il database sia disponibile mitiga le conseguenze ma non risolve il problema perché nessuno può interrogare il database quotidianamente, anzi, dovrebbe essere interrogato da tutti gli italiani ogni due ore, dato che in due ore si possono fare danni enormi. Dovrebbe essere molto ufficiale e non confondibile con ulteriori portali truffa. Sarebbe inoltre necessario limitare le consultazioni alla propria utenza poiché non è lecito che una persona verifichi l'esistenza degli SPID di un'altra persona. Questi aspetti hanno natura tecnica e sono tutti facilmente gestibili. Ciò che mi pare meno probabile è riuscire a concretizzare la volontà politica necessaria per realizzare un tale sistema che, come ovvio, avrebbe dei costi. Forse l'unico modo è sperare che venga affidato ad un amico del partito di governo in modo che i soldi restino in casa... ma solitamente, in questi casi, ciò che viene realizzato fa abbastanza schifo.

 

Allo stato attuale non c'è nulla, né un sistema di avviso, né un database da interrogare per verificare l'esistenza di SPID intestati ad una persona.

Vagoliamo nel buio e nel buio i criminali sguazzano.

Al momento, l'unico modo per verificare l'attivazione di un servizio SPID a proprio nome è contattare uno dei dati enti che erogano il servizio. Sono circa una dozzina e alcuni hanno strutturato proprie modalità, propri form di contatto, procedure di richiesta che, a mio giudizio, servono solo ad introdurre una barriera all'utilizzo e a trasferire i costi di gestione sull'utente, chiamato ad inserire a mano una miriade di informazioni al posto di un operatore de provider. La geopardizzazione complica molto la vita alle persone comuni e, di fatto, rende impossibile una verifica utile che, ricordiamolo, in assenza di notifiche automatiche, dovrebbe essere ripetuta frequentemente.

Come DPO consiglio di ignorare serenamente queste strampalate modalità imposte dai gestori ed azionare uno dei diritti che il GDPR accorda ad ogni persona: il diritto di accesso ai dati. Ovviamente non ha molto senso contattare il proprio gestore, se si dispone già di uno SPID. La richiesta ha senso rispetto ai gestori con i quali non si ha alcun rapporto.

Chiunque può scrivere in forma libera ad ogni gestore, qualificando la propria richiesta come esercizio di un diritto previsto dal GDPR e, da quel momento, il gestore ha 30 giorni di tempo per rispondere, dopodiché viola una norma e rischia una sanzione. In diverse occasioni, il Garante ha chiarito che queste richieste non possono essere ostacolate richiedendo una miriade di informazioni non pertinenti, non possono essere ignorate e devono essere gestite anche e se arrivano in una forma o ad un recapito diverso da quello desiderato dal gestore del servizio. 

La richiesta può essere inviata al DPO o all'indirizzo email di contatto che ogni gestore deve pubblicare nell'informativa privacy presente sul proprio sito:

  • Intesi Group - spid@intesigroup.com o dpo@intesigroup.com (da elenco soggetti accreditati AGID e informativa privacy) 
  • Infocamere - protocollo@pec.infocamere.it o rpd@pec.infocamere.it(da elenco soggetti accreditati AGID e da informativa privacy)
  • TeamSystem - teamsystemgroup@pecteamsystem.com o privacy@teamsystem.com (da elenco soggetti accreditati AGID e informativa privacy)
  • TIM - supportotimid@telecomitalia.it (da contatti portale SPID)
  • SpidItalia - gestoreidp@pec.register.it (da elenco soggetti accreditati AGID)
  • Sielte - spid@sielte.it (da contatti portale SPID)
  • PosteId - centroserviziprivacy@posteitaliane.it (da Privacy Policy, non presente né su SPID né su portale AGID)
  • Namiral - supportospid@namirial.com (da contatti portale SPID)
  • Lepida - lepidaid@pec.lepida.it (da elenco soggetti accreditati AGID)
  • InfoCert - infocert@legalmail.it o richieste.privacy@legalmail.it (da elenco soggetti accreditati AGID e informativa privacy - attenzione, solo pec)
  • Aruba - direzione.ca@arubapec.it (da elenco soggetti accreditati AGID)
  • EtnaId - dpo@eht.eu (da Privacy Policy, non presente né su SPID né su AGID) 

Ringrazio nuovamente Matteo Flora per aver raccolto questi indirizzi e averli pubblicati qui.

 

Cosa scrivere? Ecco una bozza:

Oggetto:  richiesta accesso ai dati ex art. 15 GDPR - SPID attivi per c.f. SBZPPT99E28B156A

Io sottoscritto, Pepito Sbazzeguti, nato a Brescello il 28 maggio 1899, codice fiscale SBZPPT99E28B156A, in qualità di interessato e ai sensi dell'articolo 15 del GDPR, chiedo conferma alla vostra spettabile azienda dell'esistenza di servizi SPID attivi e me riferiti.

In caso di riscontro positivo, vi chiedo di provvedere cautelativamente e tempestivamente alla sospensione di tali servizi.

Vi anticipo che non mi risulta di aver attivato alcuno dei servizi sopra citati e che, qualora risultassero attivi, disconosco fin da ora la paternità della richiesta di attivazione e lamento un furto di identità che sarà prontamente denunciato alle autorità competenti.

Vi ringrazio sin da ora per la preziosa collaborazione.

Pepito

 

NB:Se si dispone di firma digitale, basta inviare la richiesta firmata, non serve altro.  Se non si dispone di firma digitale, è necessario allegare copia del proprio documento di identità. Allegare il documento è necessario ma è anche una grande seccatura perché la proliferazione dei dati personali in archivi di dubbia gestione nasce così.

L'invio massivo di richieste come questa, che non possono essere ignorate, rimbalzate o negate, può cambiare le cose. I gestori non sono stupidi e faranno quanto necessario per limitare i costi di gestione e, in questo momento, costerebbe molto meno istituire un sistema self-service di interrogazione dei database anziché affrontare uno tsunami di email.

 

Una riflessione per rasserenarsi.

È illusorio consolarsi pensando di non essere un pesce grosso, di non essere ricco, di non essere di grande interesse per un criminale informatico. Purtroppo ciò che rende una persona preferibile ad un'altra è la mera disponibilità online dei suoi dati. Non verranno a cercare proprio te, ma i tuoi dati e, se sono online a causa di un data-breach, sei nella lista dei bersagli. Purtroppo, questo genere di truffe non partono prendendo di mira un facoltoso imprenditore o un noto palazzinaro, il percorso è inverso: si recuperano i dati disponibili, si identificano le vittime e si sfruttano in ogni modo possibile.

Oops, forse non era una riflessione molto rasserenante.

Spiace!

 

 

PS: per una corretta interpretazione della realtà, è necessario tenere conto del tema economico sottostante, attualmente in cronaca:

Perché si teme che lo SPID diventi a pagamento - 

Due fornitori di servizi hanno già introdotto alcuni costi. La causa è il ritardo nell’erogazione dei fondi da parte del governo

https://pagellapolitica.it/articoli/spid-a-pagamento

 

Spid, perché il governo deve allungare la vita - Perché i suoi 40 milioni di identità digitali attivate servono per raggiungere gli obiettivi del Pnrr entro giugno 2026. In estate si torna alle trattative con i gestori

https://www.wired.it/article/spid-rinnovo-ottobre-2025-cie-pnrr/

 

 

 

 

ADDENDA
Segnalo un piccolo episodio folcloristico, capitato in un giorno come tanti della mia vita da DPO. Scrissi di getto un post perculante, preparato e conservato per un momento di fiacca... è perfetto rispetto al tema odierno. Lo lascio qui, ad integrazione, anche per aiutare ad intuire alcuni dei retroscena che questa colossale non notizia della falla di SPID nasconde.

 

SPID Checker

Linkedin è un posto serio, mica come gli altri social. Si, certo, come no.

Mi sono imbattuto in alcuni post relativi a SPID e alle sue vulnerabilità. In realtà il sistema SPID non presenta particolari vulnerabilità di tipo tecnico (afaik) bensì difetti di progettazione che rendono sfruttabili le solite banalissime e inevitabili miserie umane. Una di queste è l'assenza di un sistema semplice e ufficiale di verifica dell'esistenza di account spid sui vari provider ed un sistema di notifica di apertura o uso degli account spid ai recapiti ufficiali dell'interessato. 

Non sapremo mai se questo rant sui problemi di SPID sia solo il gancio per favorire il post promozionale di spid-checker oppure se sia una genuina e spontanea geremiade, di fatto è arrivato subito l'immancabile genio: il cugggino che tutti vorremmo avere e che ha bella e pronta una soluzione da regalare al mondo, ma che vorrebbe vendere al Ministero. La soluzione si chiama spid-checker.netlify.app .  Ora, per una bizzarra coincidenza, il link è irraggiungibile e i post sono stati rimossi. Cos'è spid-checker? Non è un software, è solo un'idea ma, per condividerla, il cugggino geniale ha preparato una paginetta web dimostrativa all'interno della quale l'utente può simulare il funzionamento: inserisci nome cognome e codice fiscale, premi il pulsante magico e il sistema fa finta di cercare e di restituire dei risultati che, nella demo, sono totalmente casuali.

Sono certo che agli occhi dello sviluppatore sia sembrata una buona idea, ma ai miei occhi assomiglia a questo:

 

Beh, forse non sono solo io a pensare che questa simulazione sia una pessima idea visto che, dopo poche ore, anche linkedin ha bollato il link come pericoloso. Più o meno contemporaneamente, anche i browser più attenti alla privacy (brave) hanno riconosciuto in questa brillante idea un rischio e hanno iniziato a fare quanto possono per disincentivarne l'uso: delicati avvisi, sussurrati con colori tenui e parole rassicuranti... 

 

Si potrebbe pensare che la malizia stia negli occhi di chi guarda e che questa sia accentuata dalla paranoia. Si, può essere, ma anche browser permissivi come Safari si sono orientati nello stesso modo:

 

Cosa c'è di tanto brutto in questa "innocua simulazione" che, a detta dello sviluppatore, non fa assolutamente nulla, che non manda dati a nessuno, che serve solo come concept per vedere come potrebbe funzionare se esistesse veramente?

Diverse cose.

1) gira su HTTP e non su HTTPS. Significa che il traffico tra il computer e la pagina web è in chiaro, non cifrato, e che chiunque gestisca le infrastrutture intermedie può vedere cosa stia facendo l'utente.

2) si appoggia ad un servizio (https://mymvp.it/) che definirei fatiscente in termini di rispetto al GDPR, privo di informativa privacy, con 10 condivisioni di dati esterne che richiederebbero consenso e che vengono fatte senza nemmeno avvisare l'utente. In breve, fatto da chi se ne infischia dei dati degli utenti e delle regole che ne tutelano i diritti.

3) il sistema include alcuni controlli sul codice fiscale. Se il CF non ha la lunghezza giusta genera un errore e questo suggerisce all'utente di inserire dati corretti per proseguire. Tuttavia è l'unica forma di controllo perché con un CF palesemente inventato il sistema procede comunque, ma il danno è già fatto: ingenerare nell'utente la convinzione di dover inserire dati reali.

4) il sistema normalizza comportamenti errati: non si mettono dati personali su un form qualsiasi, su una pagina web appena creata, gestita dal primo che passa, senza alcuna garanzia. (Il programmatore mi perdoni, sicuramente sarà la luce degli occhi di molte persone che popolano il suo mondo, ma per molta gente è un perfetto sconosciuto)

5) il sistema non presenta alcuna indicazione relativa al suo funzionamento, nessun avviso, nessuna informazione, niente di niente. Ingenera nell'utente comportamenti errati senza dare alcun segnale che permetta agli utenti di agire consapevolmente.

6) la completa trascuratezza rispetto ad obblighi di legge trasmette una precisa idea sulla persona che lo ha generato e diffuso e prelude a ciò che avverrà in produzione.  

7) in sintesi, questa demo è indistinguibile da una app malevola, pensata per sgraffignare dati in modo opaco e ingannevole. Può anche essere innocua e avere le migliori intenzioni, ma se normalizza comportamenti errati sta facendo del male agli utenti che la incontrano. 

 

 

Prosit.

 

 

 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

 

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

 

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...