Sarà più difficile per i cybercriminali rubare gli stipendi dei dipendenti pubblici con la truffa del doppio Spid. Sogei, società in house del Tesoro, ha rafforzato la procedura di autenticazione alla piattaforma NoiPA, che gestisce le retribuzioni del personale pubblico. La piattaforma era finita nei mesi scorsi nel mirino degli hacker che sottraggono l’identità delle persone per attivare un nuovo Spid a loro nome e utilizzarlo come chiave di accesso alle loro aree riservate sui portali pubblici, così da modificare le coordinate bancarie che indicano dove accreditare stipendi, pensioni e bonus.
La nuova procedura
La truffa del doppio Spid ha fatto più di una vittima nel settore pubblico. Così Sogei in un comunicato appena diffuso: «In un’epoca in cui le truffe informatiche sono in costante aumento, Sogei, al fianco del Mef, ha deciso di potenziare la sicurezza per l’accesso a NoiPa, la piattaforma dedicata alla gestione delle retribuzioni e delle informazioni del personale pubblico. Questa nuova misura, mirata a contrastare i furti d’identità legati all’uso del Sistema pubblico di identità digitale, introduce un sistema di autenticazione più rigoroso». Ogni tentativo di accesso a NoiPa mediante Spid o Carta nazionale dei servizi (Cns) non precedentemente registrati comporta adesso l’invio di un’e-mail contenente un codice OTP (One-Time Password) al legittimo titolare delle credenziali. Questo passaggio aggiuntivo è stato introdotto per garantire che solo gli utenti autorizzati possano accedere ai propri dati. Una volta ricevuto il codice, l’utente dovrà inserirlo in una pagina dedicata per completare l’autenticazione.
L’antifurto
In caso di inserimento di un codice OTP errato o di mancato inserimento, il sistema impedisce l’autenticazione bloccando la registrazione del nuovo Spid o della nuova Cns. Questa misura è volta a garantire la massima protezione dei dati personali degli utenti e a prevenire accessi non autorizzati, rendendo di fatto impossibile l’accesso al sistema con l’utilizzo di credenziali Spid ottenute fraudolentemente. «La protezione dei dati e la sicurezza degli utenti sono temi centrali nel dibattito pubblico, e l’azione di Sogei, con l’introduzione di un nuovo standard nella gestione della sicurezza dei servizi pubblici digitali, rappresenta un passo significativo verso un ambiente digitale più sicuro», conclude Sogei.
La falla
La truffa del doppio Spid approfitta di una falla nel sistema a cui andrà comunque posto rimedio. Le modalità di identificazione in remoto utilizzate dalla maggior parte degli operatori che rilasciano lo Spid consentono di attivare una nuova identità digitale attraverso una videochiamata. Durante la videochiamata viene semplicemente chiesto all’utente di mostrare un documento di identità valido. Dunque per un cybercriminale in possesso della Cie di un’altra persona attivare un nuovo Spid a nome di quest’ultima è un gioco da ragazzi. Inoltre i dodici soggetti che offrono la possibilità di creare uno Spid non dialogano tra di loro, il che significa che non hanno modo di sapere se il richiedente sia già in possesso o meno di un’identità digitale creata con un altro operatore. Sta al cittadino accertarsi che non ci siano in circolazione altri Spid che fanno riferimento a lui, ma si tratta di un’operazione complicata. Bisogna contattare infatti ogni singolo operatore inviando a ciscuno una richiesta di verifica formale.
