Nel cuore di un tranquillo comune italiano del centro Italia, un docente di scuola superiore sta vivendo un incubo che nessuno si aspetterebbe in un Paese che punta alla digitalizzazione dei servizi: per mesi non ha visto arrivare lo stipendio sul proprio conto bancario. La causa? La sua identità digitale SPID era stata clonata da un hacker che, ogni mese, modificava le coordinate bancarie su NoiPA, indirizzando il salario su conti correnti aperti ad hoc.
Il docente, inizialmente incredulo, ha scoperto l’anomalia solo dopo tre mesi, quando si è accorto che l’IBAN sul portale NoiPA era diverso da quello effettivo. Da quel momento ha avuto inizio una spirale di denunce, segnalazioni alla Polizia Postale e un labirinto burocratico per tentare di riottenere la propria identità digitale e la regolarità dei pagamenti.
Lo SPID (Sistema Pubblico di Identità Digitale) è lo strumento con cui milioni di italiani accedono a servizi online della Pubblica Amministrazione. Proprio la sua funzione di “chiave universale” lo rende un bersaglio privilegiato per i cybercriminali.
Il furto di SPID in questo caso, secondo le prime indagini, sarebbe avvenuto tramite tecniche di phishing ben congegnate: l’ignaro docente potrebbe aver inserito le proprie credenziali in un portale clone, apparentemente identico a quello di uno dei provider ufficiali. Una volta in possesso delle credenziali, l’hacker ha avuto accesso non solo al portale del MIUR, ma anche a INPS, Agenzia delle Entrate e alla piattaforma NoiPA.
Il problema non è solo tecnologico, ma anche psicologico: come possono milioni di cittadini continuare a fidarsi di un sistema che prometteva sicurezza e ora si dimostra vulnerabile?
Un elemento inquietante della vicenda riguarda la facilità con cui gli hacker sono riusciti ad aprire nuovi conti correnti a nome del docente, usando dati rubati tramite lo SPID. In molti casi, questi conti sono stati aperti online, senza un reale controllo dell’identità fisica del richiedente.
Questo punto solleva interrogativi urgenti: com’è possibile che banche e istituti finanziari, nonostante le norme antiriciclaggio (AML) e le direttive europee KYC (Know Your Customer), non abbiano rilevato anomalie nei processi di apertura dei conti?
La mancanza di un sistema centralizzato di allerta su furti d’identità aggrava la situazione. Anche dopo la denuncia, i truffatori sono riusciti a riaprire nuovi conti e cambiare nuovamente le coordinate bancarie dell’accredito stipendiale. Questo dimostra quanto sia fragile il collegamento tra le istituzioni pubbliche e il sistema bancario nell’ambito della sicurezza digitale.
Il furto di identità non è un fenomeno nuovo, ma la sua evoluzione nel mondo digitale lo rende più insidioso e pervasivo. Il caso del docente è solo la punta dell’iceberg: secondo l’Associazione Italiana per la Sicurezza Informatica, nel 2024 ci sono stati oltre 19.000 casi di furto d’identità tramite SPID, e molti cittadini non ne sono ancora consapevoli.
La questione centrale diventa quindi: siamo davvero pronti per affidare completamente la nostra vita burocratica a un sistema digitale che può essere compromesso con una semplice mail di phishing?
Serve un ripensamento strutturale dell’intero impianto di identità digitale:
Finché non verranno adottate queste misure, il rischio è che il cittadino si senta solo e indifeso in una società che lo spinge sempre più verso la digitalizzazione, ma non lo protegge abbastanza.
| Aspetto | Criticità riscontrata | Soluzione proposta |
|---|---|---|
| SPID | Clonazione facile tramite phishing | Autenticazione a due fattori e biometria obbligatoria |
| Portale NoiPA | Modifica libera dell’IBAN senza verifiche | Verifica doppia su modifiche bancarie |
| Sistema bancario | Conti aperti con identità rubata | Rafforzamento dei controlli KYC e verifica incrociata |
| Reazione istituzionale | Ritardi nel blocco degli stipendi e ripristino identità | Protocollo di emergenza automatizzato |
| Fiducia dei cittadini | Erosione della fiducia nei sistemi digitali pubblici | Trasparenza, campagne educative e sistema antifrode centralizzato |