Apri l'app dell'INPS per controllare una pratica e qualcosa non torna: risulta una domanda di bonus che non hai mai presentato, o un IBAN per i pagamenti che non riconosci. In altri casi arriva una mail che ti avvisa di un nuovo SPID attivato a tuo nome, o un accesso ai servizi pubblici fatto da un dispositivo che non è il tuo. Sono i segnali di un furto di identità digitale, una delle truffe più dannose perché tocca i tuoi rapporti con lo Stato.

Lo SPID è la chiave che ti apre INPS, Agenzia delle Entrate, NoiPA, sanità e centinaia di altri servizi. Se finisce nelle mani sbagliate, un criminale può muoversi al posto tuo dentro la pubblica amministrazione. Capire come avviene il furto e come accorgersene in tempo è il modo migliore per limitare i danni.

Come fanno a rubare o creare uno SPID a tuo nome

I criminali non hanno una sola strada. Le tecniche più diffuse sono queste.

  1. Phishing delle credenziali. Ti arriva una mail o un SMS che imita il tuo provider SPID o un ente pubblico, con un link a una pagina di login fasulla. Inserisci utente e password e li consegni ai truffatori.
  2. Dati personali rubati. Nome, codice fiscale, copia del documento e foto raccolti da fughe di dati, social o vecchie truffe vengono usati per attivare un nuovo SPID a tuo nome presso un provider, fingendosi te.
  3. Documenti falsi o manomessi. In alcuni casi vengono usati documenti contraffatti, o selfie e video estorti alla vittima, per superare la verifica d'identità durante l'attivazione.
  4. Controllo del numero di telefono. Se il truffatore riesce a impossessarsi della tua SIM, può intercettare i codici di conferma. È il meccanismo descritto nella guida sul sim swap, il furto del numero di telefono in Italia.

Spesso queste tecniche si combinano: prima raccolgono i tuoi dati con il phishing, poi li usano per creare un'identità digitale parallela o per prendere il controllo di quella che già hai.

Cosa possono fare con il tuo SPID

Un'identità digitale rubata vale molto perché apre porte che danno accesso a denaro pubblico e a informazioni sensibili.

ServizioCosa rischi
INPSDirottamento dell'IBAN per pensioni e bonus, domande presentate a tuo nome
Agenzia delle EntrateAccesso a dichiarazioni, rimborsi e dati fiscali, modifiche ai recapiti
NoiPADirottamento dello stipendio dei dipendenti pubblici su un altro conto
Bonus e contributiRichiesta di incentivi e agevolazioni intascati dal truffatore
Sanità e fascicolo sanitarioAccesso a dati sanitari riservati

Il danno non è solo economico immediato. Una domanda presentata a tuo nome o un rimborso dirottato può generare contestazioni, controlli e pratiche da sistemare per mesi. Per questo accorgersene presto fa una differenza enorme.

I segnali da non ignorare

Il furto dell'identità digitale lascia tracce. Impara a riconoscerle.

  • Ricevi una mail o un SMS che ti avvisa dell'attivazione di un nuovo SPID che non hai richiesto.
  • Arrivano notifiche di accesso ai servizi pubblici da dispositivi o luoghi che non riconosci.
  • Sull'app INPS o Agenzia delle Entrate compaiono pratiche, domande o IBAN che non hai inserito tu.
  • Non riesci più ad accedere al tuo SPID perché "le credenziali non sono valide", segno che potrebbero essere state cambiate.
  • Ti arrivano comunicazioni su bonus o contributi che non hai mai chiesto.
  • Lo stipendio o la pensione non arrivano e l'IBAN registrato risulta diverso.

Davanti anche a uno solo di questi segnali, non aspettare. Tratta la situazione come un'emergenza e segui i passaggi descritti più avanti.

Come proteggere il tuo SPID prima che sia tardi

La prevenzione è la difesa più efficace, perché un furto sventato vale più di mille rimedi successivi.

  • Attiva il secondo fattore "forte". Molti provider permettono di passare dal semplice SMS a una app di autenticazione o a una notifica push sul tuo telefono: è molto più difficile da intercettare.
  • Non inserire mai le credenziali partendo da un link. Vai sempre al sito o all'app del provider o dell'ente digitando tu l'indirizzo o usando i preferiti.
  • Custodisci i codici di conferma. Nessun operatore, ente o provider ha motivo di chiederteli per telefono o via chat. Vale per lo SPID come per la banca, come spiegato in perché non condividere mai il codice OTP della banca.
  • Proteggi il numero di telefono. Il cellulare è spesso il secondo fattore: difenderlo dal sim swap protegge anche lo SPID.
  • Controlla periodicamente gli accessi. Verifica ogni tanto le pratiche e i recapiti su INPS e Agenzia delle Entrate, così noti subito eventuali anomalie.
  • Limita i dati che diffondi. Evita di pubblicare o inviare copie del documento e selfie con la carta d'identità, materiale prezioso per chi vuole attivare uno SPID a tuo nome.

Cosa fare se ti hanno rubato l'identità digitale

Se sospetti o hai la certezza di un furto, agisci in quest'ordine, senza perdere tempo.

  1. Contatta subito il tuo provider SPID. Chiedi la sospensione o la revoca dell'identità compromessa. Se scopri uno SPID a tuo nome presso un provider che non hai mai scelto, contatta quel provider per la revoca.
  2. Cambia le password collegate. Modifica la password dello SPID e quella della mail di recupero, e attiva ovunque l'autenticazione a due fattori.
  3. Verifica e correggi i dati sui servizi pubblici. Controlla IBAN, recapiti e pratiche su INPS, Agenzia delle Entrate e NoiPA, e segnala agli enti ogni movimento o domanda non autorizzata.
  4. Conserva tutte le prove. Salva mail, notifiche, screenshot degli accessi e delle pratiche sospette, date e orari.
  5. Denuncia. Sporgi denuncia alla Polizia Postale per il furto di identità e la frode informatica.
  6. Segnala la violazione dei tuoi dati. Puoi rivolgerti al Garante per la protezione dei dati personali se i tuoi dati sono stati trattati illecitamente.

La denuncia è centrale: il furto di identità digitale può configurare frode informatica ai sensi dell'articolo 640-ter del Codice Penale. Rivolgiti alla Polizia Postale per formalizzare il caso e, per gli aspetti legati al trattamento illecito dei tuoi dati, fai riferimento al Garante Privacy. Per le mosse immediate da fare nelle prime ore, segui anche la guida su cosa fare nelle prime 24 ore dopo aver dato i tuoi dati a una truffa.

Perché è una truffa che cresce

Più servizi essenziali passano dallo SPID, più questa chiave diventa appetibile. Un'unica credenziale che apre pensioni, fisco, stipendi pubblici e sanità rappresenta un bersaglio molto redditizio per i criminali. A questo si aggiunge la grande quantità di dati personali in circolazione dopo anni di fughe e truffe: nome, codice fiscale e documenti sono spesso già nelle mani sbagliate, pronti per essere riutilizzati.

La buona notizia è che i meccanismi di sicurezza migliorano e che i furti lasciano tracce. La maggior parte dei danni gravi nasce dal tempo perso: più passa prima che la vittima se ne accorga, più il truffatore ha agio di muoversi. Controllare con regolarità i propri accessi e reagire ai primi segnali è ciò che fa davvero la differenza.

FAQ

Ho scoperto uno SPID a mio nome che non ho mai attivato, cosa faccio?

Contatta il provider presso cui risulta attivato e chiedi la revoca immediata, spiegando che non sei stato tu a richiederlo. Conserva ogni comunicazione come prova e sporgi denuncia alla Polizia Postale per furto di identità. Verifica poi su INPS e Agenzia delle Entrate che non siano state presentate domande o modificati IBAN e recapiti a tuo nome.

Mi è arrivata una notifica di accesso allo SPID che non sono stato io, è grave?

Va trattata con serietà. Cambia subito la password dello SPID e della mail collegata, e attiva un secondo fattore robusto come una app di autenticazione. Controlla le pratiche e i recapiti sui servizi pubblici per assicurarti che nulla sia stato modificato. Se trovi accessi o operazioni che non riconosci, denuncia alla Polizia Postale.

Come posso rendere più sicuro il mio SPID?

Passa, se il tuo provider lo consente, da un secondo fattore via SMS a una app di autenticazione o a una notifica push, più difficili da intercettare. Non inserire mai le credenziali partendo da link ricevuti via mail o SMS, e non comunicare i codici di conferma a nessuno. Proteggi anche il tuo numero di telefono, perché è spesso usato come secondo fattore.

Mi hanno cambiato l'IBAN su INPS e i pagamenti vanno su un altro conto, come recupero?

Segnala immediatamente l'anomalia all'INPS chiedendo il ripristino del tuo IBAN corretto e il blocco dei pagamenti in uscita verso il conto non autorizzato. Sporgi denuncia alla Polizia Postale per frode informatica, allegando le prove. Conserva ricevute e schermate: serviranno per le contestazioni e per chiedere la restituzione delle somme dirottate.

Devo denunciare anche se non ho perso soldi?

Sì. Il furto di identità è un reato a prescindere dal danno economico immediato, e una denuncia tempestiva ti protegge da pratiche o domande presentate a tuo nome in futuro. Inoltre aiuta le autorità a individuare chi opera in questo settore. Denunciare ti dà anche una traccia formale da usare con gli enti pubblici per contestare ciò che non hai fatto tu.

In sintesi

La truffa SPID nasce dal furto della tua identità digitale, ottenuto con phishing, dati rubati, documenti falsi o controllo del numero di telefono. Con quella chiave i criminali entrano in INPS, Agenzia delle Entrate, NoiPA e sanità, dirottando IBAN e intascando bonus. La difesa parte dalla prevenzione: secondo fattore robusto, nessuna credenziale inserita da link, codici di conferma mai condivisi e controlli periodici dei tuoi accessi. Se il furto avviene, revoca subito lo SPID compromesso, correggi i dati sui servizi pubblici e denuncia alla Polizia Postale e, per i dati, al Garante Privacy.