Poteva essere un’occasione straordinaria per il processo evolutivo dell’Italia, e invece da qualche tempo si è tramutato in un incubo di cui pochi parlano. Manca infatti una banca dati centrale in cui registrare i possessori dello Spid ed evitare che un soggetto possa avere più di una identità digitale o tante senza averle chieste e quindi senza saperlo. Quest’ultima fattispecie è un fertilizzante straordinario per abusi di mille varietà
Doveva essere la soluzione per l’identificazione digitale, una sorta di Dna esclusivo in grado di farci riconoscere in maniera univoca e permetterci di fruire di servizi della Pubblica amministrazione e di compiere tante altre operazioni semplificate da un valido sistema tecnologico validato e garantito niente meno che dall’AgID, ovvero dall’Agenzia istituzione preposta alla informatizzazione e alla virtualizzazione del Paese.
Poteva essere un’occasione straordinaria per il processo evolutivo dell’Italia, e invece da qualche tempo lo Spid si è tramutato in un incubo agghiacciante di cui pochi parlano, forse per non richiamare l’attenzione su chi ha responsabilità ineludibili su questo fronte. Non si è sentita la voce neppure dell’altra Agenzia governativa a presidio della cybersicurezza nazionale, la cosiddetta Acn, che probabilmente è concentrata su altre più importanti questioni oppure è intenta a sparpagliare i suoi dirigenti a dissertare dottamente in questo o quel convegno.
Il Sistema pubblico di identità digitale è basato sull’affidamento a società concessionarie che provvedono a raccogliere gli elementi necessari per il rilascio delle credenziali di autenticazione, ossia verificare chi è la persona, ad attribuire un nome utente e una password, a impostare le modalità di validazione “a doppio fattore” predisponendo azioni da compiere con computer e smartphone. Il modello teorico è senza dubbio interessante, ma ha dimenticato (e non è cosa da poco) la necessità dell’istituzione di una banca dati centrale in cui registrare i possessori dello Spid (facendo banalmente perno sul codice fiscale) ed evitare che un soggetto possa avere più di una identità digitale o (molto peggio) che possa averne tante senza averle chieste e quindi senza saperlo.
La sostituzione di persona (fattispecie non improbabile o nuova, ma contemplata anche dall’articolo 464 del Codice civile…) trova in questo contesto il suo habitat, e la possibilità di attivare più Spid in parallelo è un fertilizzante straordinario per far sbocciare abusi di mille varietà. Il malfattore che “apre” uno Spid in capo ad altra ignara persona può, tanto per cominciare, accedere ai portali dell’Inps e della Agenzia delle entrate, alla Anagrafe nazionale della popolazione residente (Anpr) e al fascicolo sanitario elettronico.
Le conseguenze di chi agisce in nome e apparentemente per conto di un altro individuo sono facilmente immaginabili, e la prima cosa che viene in mente – senza particolari bizzarri sforzi di fantasia – è la modifica del profilo di chi fruisce di trattamento pensionistico. La variazione dell’Iban, che certo l’interessato non rileva se non quando riscontra – magari in ritardo – il mancato accredito della somma spettante, può far dirottare l’importo mensile su altro conto. Lo stesso discorso vale per chi attende un bonus o un rimborso fiscale.
I malintenzionati armati di Spid altrui possono avviare anche parecchie pratiche con la Pa centrale e periferica, procedendo a richiedere cambi di residenza, a fare istanza per ottenere permessi edilizi, a domandare contributi di vario genere. Lo scenario è appassionante anche sul versante finanziario e bancario, perché i criminali sono pronti non solo ad attivare carte di credito fraudolente, ma anche e soprattutto ad aprire online conti correnti.
Per farci cosa? Semplice. Ad esempio per farsi pagare il prezzo di oggetti inesistenti messi in vendita su internet. Un oggetto a un prezzo accattivante può calamitare decine e decine di potenziali acquirenti che non esitano a fare il bonifico in fretta per non perdere l’occasione. Non ricevendo alcunché, chi viene buggerato va a fare la denuncia e a passare i guai è l’intestatario del conto totalmente ignaro di quella posizione bancaria sommersa da pagamenti dei truffati…
In una così allarmante situazione verrebbe da pensare che AgID, Agenzia cyber e Garante della privacy stiano alacremente lavorando per risolvere il problema. Qualcuno ritiene che il riserbo caratterizzi operazioni certamente già a buon punto. Qualcun altro immagina il loro silenzio in proposito come una ridotta priorità assegnata a una emergenza ormai incancrenita. Il cittadino nel frattempo cosa deve fare?
© Riproduzione riservata
