SPID: il nuovo tentativo di phishing mette in pericolo migliaia di utenti. Una nuova email sta mettendo in pericolo tutti coloro che possiedono lo SPID con Poste italiane.
Ancora una volta migliaia di utenti sono in pericolo per un nuovo tentativo di phishing. Tutti coloro che hanno lo SPID con Poste italiane potrebbero in questi giorni essere raggiunti da una email ingannevole. L’obiettivo dei cybercriminali che l’hanno realizzata è quello di rubare tutti i dati personali.
SPID: credenziali scadute
“Le tue credenziali sono scadute”
Questo è l’oggetto di una nuova email che sta raggiungendo migliaia di utenti che hanno attivato lo SPID con Poste italiane. Si tratta di un messaggio che cerca di mandare nel panico la vittima che la riceve. Seguire le istruzioni in esso contenute vuol dire cedere tutti i propri dati personali e sensibili ai cybercriminali.
Qui sotto vediamo insieme il testo originale di questo ennesimo attacco phishing che sta già raggiungendo numerose vittime e ha per tema il servizio SPID di Poste italiane:
Gentile cliente, Le tue credenziali (Nome utente, Password) per accedere ai servizi di Poste italiane sono scadute. Non potrà più effettuare alcun tipo di operazione se non si procede con l’aggiornamento del tuo profilo. Cosa puoi fare? Accedi all’area riservata per aggiornare e gestire i dati del tuo profilo. Se non riesci ad accedere o non riesci a ricordare password e username puoi richiedere subito il recupero della password e username inserendo l’ultima password ricordata.
Ovviamente l’email è realizzata nei minimi dettagli. Oltre al testo sono infatti contenuti i loghi ufficiali di Poste italiane e del suo servizio per lo SPID. Inoltre, la pagina alla quale rimanda il link contenuto nel messaggio è l’esatto clone di quella ufficiale. In questo modo la povera vittima crederà di inserire tutti i dati richiesti per risolvere il problema che, in realtà, non esiste.
Questa tecnica definita in gergo tecnico phishing è ormai tra le più diffuse. Occorre perciò prestare molta attenzione e non cliccare mai su link di dubbia provenienza. Meglio accertarsi prima attraverso i canali ufficiali, in questo caso quelli di Poste italiane.
Attacchi di phishing su SPID: come difendersi
Come abbiamo visto un messaggio di phishing tenta di sfruttare la buona fede dell’utente per impossessarsi di informazioni sensibili.
In relazione a SPID gli attacchi potrebbero consentire ai criminali informatici di ottenere le credenziali SPID per impersonare le vittime e trarne vantaggi di vario tipo.
Per evitare di rimanere vittima di queste campagne si raccomanda di:
Non farsi condizionare dal senso di urgenza suggerito dal messaggio.
Verificare con molta attenzione il contenuto.
Diffidare sempre dai messaggi che invitano a cliccare su un link o aprire un allegato.
Verificare sul sito ufficiale la veridicità di quanto viene richiesto.
Sentiamo parlare ormai sempre più spesso di Spid e identità digitale, ma cos’è e a cosa serve?
Lo SPID è un’identità digitale certificata per accedere ai servizi online delle Pubbliche Amministrazioni e dei soggetti privati aderenti. Dai pagamenti alle informazioni sanitarie, dall’accesso al sito INPS alle pratiche d’impresa. Grazie a SPID (Sistema Pubblico di Identità Digitale) ogni cittadino italiano può accedere con un solo username e password a tutti i portali della PA. Tutto questo senza doversi recare fisicamente ad uno sportello ed evitando lunghe code e tempo perso. Il servizio è gratuito per sempre per le credenziali di livello 1 e 2, mentre per il terzo, rivolto perlopiù alle imprese e ai liberi professionisti, può avere dei costi utili a tenere in vita l’account fornito da uno degli Identity Provider.
Il Sistema Pubblico di Identità Digitale (SPID) è la chiave di accesso semplice, veloce e sicura ai servizi digitali delle amministrazioni locali e centrali.
Un’unica credenziale
Un’unica credenziale (username e password) che rappresenta l’identità digitale e personale di ogni cittadino, con cui è riconosciuto dalla Pubblica Amministrazione per utilizzare in maniera personalizzata e sicura i servizi digitali.
SPID consente anche l’accesso ai servizi pubblici degli stati membri dell’Unione Europea e di imprese o commercianti che l’hanno scelto come strumento di identificazione. Con il sistema di accesso su cui si basa SPID, la Pubblica Amministrazione è ancora più vicina ai cittadini. Garantendo a tutti una modalità di accesso ai servizi online, che è sempre uguale ed intuitiva. SPID facilita la fruizione dei servizi online e semplifica il rapporto dei cittadini con gli uffici pubblici. Anche il settore privato può trarre vantaggi dall’identità digitale, migliorando l’esperienza utente e la gestione dei dati personali dei propri clienti.
Semplice, utile e sicuro, SPID è diventato praticamente indispensabile per accedere con un solo username e una sola password a tutti i servizi online della Pubblica Amministrazione e di alcuni soggetti privati aderenti, riducendo notevolmente i tempi burocratici di varie operazioni e snellendone la gestione
SPID: a cosa serve.
Il sistema nasce per agevolare la diffusione e l’uso dei servizi online della pubblica amministrazione e dei privati aderenti, con una coppia di credenziali (username e password) personali, è gratuito per tutti i cittadini (una volta ottenuto, nessun costo o canone verrà richiesto) e viene gestito dall’AgID, l’Agenzia per l’Italia Digitale. I servizi a cui si può accedere tramite SPID sono oltre 5.300 e sono in continua evoluzione, pertanto è sempre consigliato consultare il sito ufficiale del Governo per avere un quadro completo e aggiornato di quelli disponibili.
Prenotazioni sanitarie, iscrizioni scolastiche, accesso alla rete Wi-Fi pubblica, verifica della posizione INPS o INAIL, pratiche d’impresa con un’unica password, con SPID tutto ciò diventa possibile in maniera rapida e da qualsiasi dispositivo: computer, tablet e smartphone, ogni volta che, su un sito o un’app di servizi, trovi il pulsante “Entra con SPID”. Il Sistema Pubblico di Identità Digitale è anche la chiave di accesso ai servizi pubblici europei. Con l’identità digitale l’utente può infatti accedere ai servizi online degli Stati membri che hanno aderito al nodo eIDAS italiano.
Come attivare lo SPID
L’unica cosa che l’utente deve fare è ottenere un’identità SPID dando nome, cognome, sesso, luogo e data di nascita, codice fiscale, estremi del documento d’identità, mail e numero di cellulare sul sito di uno dei gestori di identità abilitati: alcuni offrono modalità di attivazione completamente gratuite, altre a pagamento. Ma una volta ottenuto, non verrà poi chiesto mai nessun costo o canone all’utente per le credenziali di livello 1 e 2. Lo SPID è pensato per sostituire tutto, per questo vale la pena attivarlo presso uno qualunque dei provider accreditati. L’identità creata è destinata a rimpiazzare tutte le altre e non solo presso le solite code agli sportelli pubblici. Anche quelli privati, come ad esempio le banche.
SPID, gli identity provider accreditati
Al momento sono nove in totale i cosiddetti identity providers a fornire le credenziali, ciascuno con le proprie regole e, in certi casi, prezzi (per il riconoscimento via Internet o extra). Alcune, poi, offrono un’Identità digitale di 1° e 2° livello, altre fino al 3° livello.
Infocert punta su una registrazione online brevettata che, volendo, non necessita di altri passaggi fisici (ma costa 29,90 euro più IVA) altrimenti sono necessarie la firma digitale, la Carta di Identità Elettronica o una Carta Nazionale dei Servizi. In alternativa ci si può recare fisicamente presso una delle agenzie UNAPPA, un CAF abilitato o una tabaccheria convenzionata Mooney, pagando rispettivamente 29,90€, 9,90€ o 7,90€, tutte IVA inclusa.
SPID con Poste Italiane consente di usare la sua applicazione con la ID di Poste, il sistema BancoPosta con lettore, il cellulare certificato per le attività collegate al conto, oltre naturalmente al Cie e CNS, ma ha attivato molti suoi uffici dove è possibile chiedere le credenziali.
Anche TIM sfrutta il web per la creazione di SPID (se non si vuole andare fisicamente presso la sede più vicina), gratis per chi usa la Carta Nazionale dei Servizi o una Tessera Sanitaria (abilitata come CNS), oppure la firma digitale o qualificata. Per il riconoscimento via webcam i privati devono pagare 24,28€, mentre le aziende e i liberi professionisti in possesso di P. IVA rilasciata in Italia, 19,90€, in entrambi i casi IVA inclusa. TIM propone anche un servizio a pagamento per aziende e liberi professionisti a circa 29,00€ annuali. Anche su Register la creazione dello SPID è gratis per i liberi cittadini, ma ha un prezzo di 35,00€ l’anno per società e professionisti.
Questione di sicurezza
Un aspetto interessante dello SPID è il suo triplo livello di profondità che corrisponde anche al livello di sicurezza. Il primo livello, fornito da tutti a titolo gratuito, è quello che consente all’utente di autenticarsi con una user-id e una password (da cambiare due volte l’anno). Il secondo livello, sempre fornito gratuitamente, ma dove i provider mettono in campo le loro soluzioni particolari, richiede anche un codice temporaneo, ad esempio un SMS con una password a tempo (OTP: one time password) o l’uso di una app su smartphone o tablet. Per il terzo livello, ancora non fornito da tutti i provider, l’utente ha bisogno oltre delle credenziali SPID, dell’utilizzo di ulteriori soluzioni di sicurezza e di eventuali dispositivi fisici (es. smart card) che vengono erogati dal gestore dell’identità.
Questi tre livelli sono legati anche a servizi via via più complessi: per una semplice registrazione basterà il livello uno, per servizi che contengono documentazione di valore viene richiesto un livello superiore, e così via, fino al livello tre, nel caso di dati personali molto sensibili (per esempio quelli sanitari e medici). Ad ogni modo, per l’accesso ai servizi per il cittadino, questo grado di sicurezza non è richiesto.
Quali sono i documenti che servono per lo SPID
Alla richiesta dello SPID, sono poche le cose che bisogna avere a portata. Un numero di telefono cellulare, un indirizzo email attivo, il proprio codice fiscale e un documento di identità in corso di validità.
Non c’è un documento che vada meglio di un altro: si può quindi presentare la carta di identità come, ad esempio, il passaporto. Si può anche ricorrere, in alternativa, alla Carta d’Identità Elettronica, che ha le stesse funzioni e dà lo stesso risultato.
Serve lo SPID all’estero?
Lo SPID è un servizio studiato e creato per tutti i cittadini italiani che abbiano raggiunto la maggiore età. Con questa affermazione si capisce che il servizio è anche rivolto ai cittadini italiani residenti all’estero. Ma perché mai un cittadino italiano residente all’estero dovrebbe avere bisogno dello SPID?
Innanzitutto, il cittadino potrebbe avere bisogno di regolare le proprie posizioni previdenziali, tanto per fare un esempio. Oppure potrebbe dover interagire con qualche ente della Pubblica Amministrazione del suo Paese d’origine per interessi personali o professionali. Per questo motivo dotarsi di uno SPID può essere utile anche nelle interazioni dall’estero con gli enti italiani.
Questo sito consente l'invio di Cookie di terze parti al fine di migliorare la navigazione offrendo servizi correlati. Premendo il tasto "Accetta" Cookie accetti l'utilizzo dei cookie. Per ulteriori informazioni su come questo portale utilizza i Cookie puoi selezionare il tasto Leggi di più. Puoi modificare il consenso premendo il tasto Impostazioni.
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Cookie
Durata
Descrizione
__hssrc
sessione
This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA
6 mesi
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement
1 anno
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 mesi
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
Qualsiasi cookie che potrebbe non essere particolarmente necessario per il funzionamento del sito Web e viene utilizzato specificamente per raccogliere dati personali dell'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell'utente prima di eseguire questi cookie sul tuo sito web.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Cookie
Durata
Descrizione
__cf_bm
30 minuti
This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc
sessione
HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Cookie
Durata
Descrizione
__hstc
sessione
This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga
2 anni
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X
2 anni
This cookie is installed by Google Analytics
CONSENT
2 anni
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk
sessione
HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Durata
Descrizione
VISITOR_INFO1_LIVE
6 mesi
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
sessione
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests
Mai
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
