In un’epoca in cui lo SPID è diventato la chiave di accesso a una vasta gamma di servizi pubblici e privati – dalla sanità al fisco, dalla previdenza alla scuola – cresce in modo preoccupante il fenomeno del furto d’identità attraverso il Sistema Pubblico di Identità Digitale.
Negli ultimi mesi, un numero crescente di cittadini ha segnalato casi in cui soggetti terzi sono riusciti ad attivare lo SPID a loro nome, senza che ne fossero a conoscenza. Una minaccia silenziosa, sistemica e potenzialmente devastante.
Quando il furto d’identità diventa realtà: soldi, dati e reputazione in pericolo
I rischi legati alla duplicazione dello SPID non sono affatto teorici. Siamo abituati a pensare che l’identità digitale sia unica e non duplicabile. In realtà non è così, ognuno di noi può attivare più SPID legati allo stesso codice fiscale, purché si rivolga a provider diversi. È quindi possibile ottenere una seconda identità anche se se ne possiede già una, semplicemente utilizzando una nuova e-mail e, spesso, anche un numero di telefono differente. È proprio questa caratteristica a rappresentare una vulnerabilità del sistema, più SPID possono infatti essere attivati senza che il vero titolare ne abbia notizia, perché – salvo eccezioni – non viene inviato alcun avviso tramite e-mail o SMS. Una volta attivato un secondo account digitale, il truffatore può accedere ai portali della Pubblica Amministrazione, agendo come se fosse il legittimo titolare. In questo modo, è anche in grado di modificare l’IBAN associato ai rimborsi fiscali o alle pensioni, dirottando somme di denaro verso conti correnti sotto il proprio controllo. Può aprire nuovi conti bancari, presentare pratiche edilizie, sanitarie o scolastiche, oppure inoltrare richieste a nome della vittima. Nel corso del 2025, numerose indagini hanno portato alla luce casi concreti in cui identità digitali clonate sono state utilizzate per accedere indebitamente a fondi pubblici, rimborsi fiscali e dati personali. In uno dei casi più eclatanti, sono emersi oltre 2.500 SPID attivati in modo irregolare e utilizzati per incassare migliaia di bonus cultura da 500 euro, generando un danno economico significativo. In altri episodi, cittadini hanno scoperto che lo stipendio o la pensione erano stati dirottati su conti correnti a loro del tutto sconosciuti: i truffatori erano riusciti ad accedere ai portali della Pubblica Amministrazione grazie a SPID duplicati, modificando i dati di pagamento. Attacchi sempre più sofisticati vengono attuati anche tramite vishing (truffe telefoniche), SMS ed e-mail falsi che imitano enti ufficiali. Con un semplice clic l’utente finisce su siti clone dove inserisce inconsapevolmente credenziali, documenti e perfino video di riconoscimento. A quel punto, l’identità digitale è completamente compromessa. Per prevenire questi rischi, alcuni provider hanno iniziato a integrare strumenti di verifica avanzata come il sistema Fast Check ID, che consente di accertare l’autenticità dei documenti caricati prima dell’attivazione dello SPID, riducendo così le possibilità che un’identità venga rubata o falsificata.
Anche chi è prudente può essere colpito: perché agire ora è fondamentale
È fondamentale chiarire che anche chi non ha mai commesso leggerezze nella gestione dei propri dati può essere vulnerabile. Documenti rubati, venduti o trapelati da violazioni di sicurezza possono essere utilizzati per creare identità parallele a totale insaputa del legittimo proprietario. È realistico considerare che molti dei nostri dati personali siano già finiti nelle mani di soggetti malintenzionati. Avere questa consapevolezza è fondamentale per poter adottare comportamenti più adeguati in termini di sicurezza. Negli ultimi anni, infatti, numerosi siti e servizi online hanno subito violazioni dei dati (data breach) che hanno coinvolto milioni di utenti. La vera criticità è che non esiste un sistema di allerta automatico, né un’infrastruttura istituzionale capace di proteggere attivamente il cittadino da questo tipo di attacchi. Fino a quando non sarà introdotto un sistema nazionale unificato per la gestione delle identità digitali, sarà compito dei singoli – supportati da esperti qualificati – vigilare e difendersi.
Scoprire l’inganno prima che sia troppo tardi: l’intervento investigativo
Di fronte a questa minaccia, esistono oggi strumenti avanzati di indagine in grado di verificare se, sul medesimo codice fiscale, risultino uno o più SPID attivi presso diversi identity provider. Verificare la presenza di identità duplicate è un processo lungo, macchinoso e frammentato, che richiede strumenti specifici e una conoscenza approfondita dei sistemi digitali della Pubblica Amministrazione. Si tratta di attività complesse che permettono di individuare anomalie e intervenire tempestivamente per prevenire danni concreti. In un contesto già aggravato dall’assenza di un organismo di controllo e supervisione, rivolgersi a professionisti del settore può fare la differenza. L’agenzia investigativa Phersei, società specializzata in attività di investigazioni digitali e informatiche, con il servizio verifica SPID semplifica questo percorso e garantisce un’indagine accurata, affidabile e orientata alla risoluzione.
La tua identità online merita la stessa tutela di quella reale
In un sistema che ancora non prevede strumenti efficaci di prevenzione e notifica, il rischio di diventare vittime inconsapevoli resta concreto.
Per questo, accanto a un’urgente revisione normativa, serve una maggiore cultura della sicurezza digitale non solo tra gli addetti ai lavori, ma anche tra i cittadini, chiamati oggi a gestire un’identità sempre più esposta, senza adeguate tutele. Una vulnerabilità collettiva, che non può più essere ignorata.