Partiamo da un presupposto: le PA sono detentrici di numero eccessivo di copie di documenti di identità di cittadini, spesso richieste anche quando non dovuto. E questo modus operandi rende più semplice ai truffatori la possibilità di richiedere documenti in modalità che sembrano legittime e, di conseguenza, facilitare il furto identità.
Il furto d'identità è una truffa in cui un soggetto terzo si appropria illegalmente delle informazioni personali di un’altra persona (Nome e Cognome, codice fiscale, documenti d’identità) per usarle a proprio vantaggio. Tali informazioni personali vengono in genere utilizzate per effettuare acquisti non autorizzati, aprire nuovi conti, richiedere prestiti o presentare dichiarazioni dei redditi fraudolente. In pratica, un ladro ruba la vostra identità.
I ladri di identità sono sempre esistiti, anche nel mondo analogico, ed agivano con modalità che potevano andare dal furto fisico del documento, alla falsificazione, come anche alla ricerca nei cassonetti di informazioni personali (come vedevamo nei vecchi film di spionaggio).
Tuttavia, oggi il lavoro del ladro d'identità è facilitato dagli strumenti digitali e dalla continua richiesta di invio, specialmente da parte della Pubblica Amministrazione, di documenti di identità per ogni possibile pratica o servizio.
Utilizzando tecniche di social engineering, di phishing, attacchi di malware o tecniche di smishing, la raccolta a strascico di dati personali consente a truffatori e organizzazioni di venire in possesso di decine di migliaia di documenti di identità e poterli utilizzare o vendere al migliore offerente.
Una volta riuscito il furto d'identità, le conseguenze possono durare anni, con la necessità di doversi difendere anche in tribunale delle condotte illecite dei truffatori e possibile blocco del credito.
Da inizio anno è stata attivata, da parte di organizzazioni criminali, delle campagne di smishing che sfruttano il logo e il nome di INPS per indurre le vittime a inviare documenti di identità e dati finanziari.
Per campagna di smishing si intende una forma di phishing che utilizza messaggi ed SMS per indurre le vittime ad inviare documenti tramite mail o collegarsi a determinati siti fasulli e inserire dati e codici personali, perché richiesti a seguito di sollecito da parte di soggetti che sembrano legittimati a fare queste richieste.
In particolare, centinaia di utenti hanno ricevuto uno o più SMS provenienti da un falso mittente INPS in cui l’utente viene invitato a cliccare su un link per identificarsi o aggiornare i propri dati, anagrafici o bancari, per evitare la revoca di benefici acquisiti, oppure per ricevere il pagamento di una prestazione generica o specifica. Come in tutte le campagne di phising, i truffatori utilizzano la leva dell'urgenza e delle necessità incombente: Blocco immediato dell'invio della pensione, revoca dell'Assegno Unico o di altri benefici.
Moltissimi cittadini sono caduti nella trappola, al punto che pochi giorni fa è uscita sul dark web la notizia di vendita in blocco di documenti di identità e informazioni finanziarie al miglior offerente, come riportato dal CERT-AgID sulla pagina istituzionale. L’annuncio descrive in modo esplicito il contenuto del pacchetto in vendita:
- documenti di identità con selfie e copie fronte-retro dei documenti.
A supporto, vengono forniti tre link a immagini che mostrano cittadini italiani con il proprio documento di identità accanto al volto. Il tutto corrisponde esattamente alle richieste di documenti avanzate dai falsi siti che si spacciano per quello di INPS, oggetto della campagna di Smishing.
Il furto d'identità permette ai criminali di poter agire a nome delle vittime per:
- Aprire conti correnti e richiedere prestiti o finanziamenti;
- Aprire attività commerciali o intestare fittiziamente attività o aziende;
- Richiedere identità SPID, PEC e firme digitali, per aumentare la portata della truffa.
In particolare quest'ultima assume aspetti molto impattanti per i truffati, in quanto consente ai truffatori di aprire un'identità SPID e accedere in modo fraudolento a tutti i portali della Pubblica Amministrazione, compreso INPS e Agenzia delle Entrate. In questo modo i truffatori possono modificare gli indirizzi mail, contatto telefonico e IBAN e istradare pagamenti e rimborsi verso altri conti correnti che poi spariranno con il bottino.
Il CERT-AgID ha predisposto una guida dedicata a chi è stato oggetto di questa campagna o, in generale, per chi è stato oggetto di furto d'identità.
Le Pubbliche Amministrazioni chiedono continuamente i documenti di identità ai cittadini che richiedono servizi o presentano istanze, diventando una miniera d'oro per i truffatori. In particolare:
- Hanno in pancia decine di migliaia di copie di documenti di identità di cittadini fotocopiate;
- possono essere utilizzate, come nel caso di INPS, per campagne di phising.
Per il primo punto, è quindi necessario considerare le misure di sicurezza efficaci per gestire questa enorme mole di dati e informazioni che, se esfiltrate, possono avere effetti devastanti sulla vita dei cittadini, mentre per il secondo punto risulta fondamentale verificare i canali di comunicazione con cittadini ed imprese e sensibilizzare gli utenti sulle possibili frodi.
