La grande diffusione del sistema di autenticazione SPID ha immancabilmente ispirato e prodotto nuovi attacchi di phishing informatico a scapito dei possessori dell’identità digitale per l’accesso ai servizi delle pubbliche amministrazioni.
Come tutti gli attacchi di phishing anche quello perpetrato nei confronti del sistema SPID è finalizzato a carpire informazioni personali e codici di accesso ai servizi online, ovvero nome utente e password, nonchè PIN per autorizzare acquisti e transazioni via internet.
Nonostante il sistema di autenticazione SPID sia composto da tre livelli di sicurezza quali username e password impostati dall’utente, codici temporanei di accesso via SMS, dispositivi di identificazione associati, il crimine informatico ha già architettato e attuato diversi stratagemmi per manipolare le persone e rubare loro i dati.
Si tratta di SMS di notifica trasmessi direttamente a dispositivi di telefonia mobile o di email ingannevoli inviate a caselle di posta elettronica, che riportano un testo che induce il ricevente a cliccare un link che indirizza a pagine di siti malevoli, in cui viene richiesto di inserire dati anagrafici e credenziali SPID.
Per prevenire il furto di dati, dell’identità digitale, delle credenziali del sistema di autenticazione SPID è pertanto necessario selezionare adeguatamente i propri consulenti informatici in cybersecurity in base alla professionalità e alla formazione ricevuta sulle moderne tecniche di frode informatica, implementare in modo efficace la protezione dei firewall della propria rete informatica, informare e sensibilizzare gli utenti a verificare sempre con attenzione i messaggi ricevuti e ad accertarsi della validità degli indirizzi riportati nei link prima di accedervi.