Quel pasticciaccio dello Spid facile preda dei criminali

Doveva essere la soluzione per l’identificazione digitale, una sorta di Dna esclusivo in grado di farci riconoscere in maniera univoca e permetterci di fruire di servizi della Pubblica amministrazione e di compiere tante altre operazioni semplificate da un valido sistema tecnologico validato e garantito niente meno che dall’AgID, ovvero dall’Agenzia istituzione preposta alla informatizzazione e alla virtualizzazione del Paese. Poteva essere un’occasione straordinaria per il processo evolutivo dell’Italia, e invece da qualche tempo lo Spid si è tramutato in un incubo agghiacciante di cui pochi parlano, forse per non richiamare l’attenzione su chi ha responsabilità ineludibili su questo fronte. Non si è sentita la voce neppure dell’altra Agenzia governativa a presidio della cybersicurezza nazionale, la cosiddetta Acn, che probabilmente è concentrata su altre più importanti questioni oppure è intenta a sparpagliare i suoi dirigenti a dissertare dottamente in questo o quel convegno. Spid o Carta di identità digitale, ecco perché il governo vuole cambiare e cosa rischia Il Sistema pubblico di identità digitale è basato sull’affidamento a società concessionarie che provvedono a raccogliere gli elementi necessari per il rilascio delle credenziali di autenticazione, ossia verificare chi è la persona, ad attribuire un nome utente e una password, a impostare le modalità di validazione “a doppio fattore” predisponendo azioni da compiere con computer e smartphone. Il modello teorico è senza dubbio interessante, ma ha dimenticato (e non è cosa da poco) la necessità dell’istituzione di una banca dati centrale in cui registrare i possessori dello Spid (facendo banalmente perno sul codice fiscale) ed evitare che un soggetto possa avere più di una identità digitale o (molto peggio) che possa averne tante senza averle chieste e quindi senza saperlo. La sostituzione di persona (fattispecie non improbabile o nuova, ma contemplata anche dall’articolo 464 del Codice civile…) trova in questo contesto il suo habitat, e la possibilità di attivare più Spid in parallelo è un fertilizzante straordinario per far sbocciare abusi di mille varietà. Il malfattore che “apre” uno Spid in capo ad altra ignara persona può, tanto per cominciare, accedere ai portali dell’Inps e della Agenzia delle entrate, alla Anagrafe nazionale della popolazione residente (Anpr) e al fascicolo sanitario elettronico. Referendum, il falso mito che aumenteranno con lo Spid Le conseguenze di chi agisce in nome e apparentemente per conto di un altro individuo sono facilmente immaginabili, e la prima cosa che viene in mente – senza particolari bizzarri sforzi di fantasia – è la modifica del profilo di chi fruisce di trattamento pensionistico. La variazione dell’Iban, che certo l’interessato non rileva se non quando riscontra – magari in ritardo – il mancato accredito della somma spettante, può far dirottare l’importo mensile su altro conto. Lo stesso discorso vale per chi attende un bonus o un rimborso fiscale. I malintenzionati armati di Spid altrui possono avviare anche parecchie pratiche con la Pa centrale e periferica, procedendo a richiedere cambi di residenza, a fare istanza per ottenere permessi edilizi, a domandare contributi di vario genere. Lo scenario è appassionante anche sul versante finanziario e bancario, perché i criminali sono pronti non solo ad attivare carte di credito fraudolente, ma anche e soprattutto ad aprire online conti correnti. Per farci cosa? Semplice. Ad esempio per farsi pagare il prezzo di oggetti inesistenti messi in vendita su internet. Un oggetto a un prezzo accattivante può calamitare decine e decine di potenziali acquirenti che non esitano a fare il bonifico in fretta per non perdere l’occasione. Non ricevendo alcunché, chi viene buggerato va a fare la denuncia e a passare i guai è l’intestatario del conto totalmente ignaro di quella posizione bancaria sommersa da pagamenti dei truffati… Il referendum con lo Spid resta strumento da usare con cura In una così allarmante situazione verrebbe da pensare che AgID, Agenzia cyber e Garante della privacy stiano alacremente lavorando per risolvere il problema. Qualcuno ritiene che il riserbo caratterizzi operazioni certamente già a buon punto. Qualcun altro immagina il loro silenzio in proposito come una ridotta priorità assegnata a una emergenza ormai incancrenita. Il cittadino nel frattempo cosa deve fare?