Una falla procedurale nel sistema SPID consente l’attivazione non autorizzata di identità digitali parallele: rischi concreti per privacy, finanza pubblica e sicurezza nazionale.

Negli ultimi mesi è riemersa con forza una criticità latente del sistema SPID (Sistema Pubblico di Identità Digitale), ovvero la possibilità che più identità digitali possano essere attivate per lo stesso codice fiscale senza il consenso né la consapevolezza del titolare legittimo. Il rischio non è solo teorico: espone milioni di cittadini a fenomeni di furto d’identità, truffe informatiche, frodi finanziarie e compromissione dell’accesso ai servizi pubblici essenziali.

Il cuore del problema: assenza di interoperabilità e mancata sorveglianza

Nel contesto attuale, SPID è gestito da 12 identity provider accreditati, ma non esiste un’anagrafe centralizzata delle identità digitali attive. Questo consente, tecnicamente e legalmente, l’attivazione di SPID multipli per un solo codice fiscale presso provider differenti. Nessun meccanismo notifica il titolare della duplicazione, né esiste un sistema di allerta automatica o controllo incrociato tra gestori.

La vulnerabilità, segnalata da esperti di cybersecurity come Stefano Fratepietro e Paolo Dal Checco, è nota dal 2018, quando – per incentivare la diffusione dello SPID – si è optato per il riconoscimento remoto abbassando i livelli di garanzia senza aumentare proporzionalmente la vigilanza. Il sistema originario (2015-2016), progettato per rispettare gli standard ISO/IEC 29115, è stato progressivamente semplificato su spinta politica, senza però dotare i provider di strumenti adeguati per gestire i nuovi rischi.

Le conseguenze operative e legali del furto identitario via SPID

La possibilità di attivare SPID paralleli apre a un’ampia gamma di abusi con impatti reali su individui, aziende e istituzioni:

• Accesso illecito ai portali INPS, Agenzia delle Entrate, ANPR e fascicolo sanitario elettronico;
• Dirottamento di pensioni, bonus e rimborsi fiscali;
• Attivazione di conti correnti e carte di credito fraudolente;
• Avvio di pratiche pubbliche (cambi residenza, permessi edilizi, richieste contributi);
• Frodi in ambito assicurativo e bancario.

L’assenza di un sistema di verifica unificato impone, oggi, l’onere ai cittadini di contattare singolarmente ciascun provider per accertare la titolarità esclusiva del proprio SPID. Una procedura impraticabile, inefficiente e in contrasto con i principi del GDPR e del Regolamento europeo eIDAS.

Le prime conferme istituzionali e l’urgenza normativa

L’INPS, insieme ad altri enti pubblici, ha recentemente segnalato un’anomala crescita di accessi SPID non riconosciuti. È un primo riscontro ufficiale che evidenzia la gravità del problema. Tuttavia, manca ancora una risposta normativa coerente: non vi è obbligo per i provider di notificare l’attivazione di nuove credenziali né una governance unificata a livello nazionale.

Cosa serve: le priorità di intervento

1. Creazione di un registro nazionale unificato e interoperabile delle identità digitali, gestito da un’autorità centrale come AgID o la futura European Digital Identity Authority.
2. Obbligo di notifica al cittadino per ogni attivazione SPID, con alert automatici su anomalie e duplicazioni.
3. Rafforzamento dei livelli di garanzia e riconoscimento, anche per il rilascio remoto, secondo i principi dell’ISO 29115.
4. Sistema sanzionatorio per i provider che non effettuano verifiche adeguate o autorizzano attivazioni multiple senza consenso.
5. Audit pubblico e trasparente del funzionamento dei provider e dei meccanismi di validazione attualmente in uso.

Verso l’Identità Digitale Europea (EUDI Wallet): un’occasione da non perdere

L’introduzione imminente dell’EUDI Wallet rappresenta una svolta epocale. Ma l’Italia rischia di arrivarvi con un’infrastruttura fragile e poco affidabile. Occorre cogliere questa transizione come un’opportunità per rifondare l’architettura dell’identità digitale nazionale, rendendola sicura, interoperabile e rispettosa dei diritti fondamentali.

In un’epoca in cui la cittadinanza digitale è sempre più centrale, la fiducia nel sistema non è un’opzione: è un presupposto irrinunciabile per l’efficacia delle politiche pubbliche, la resilienza economica e la tutela della sicurezza nazionale.