Archivi tag: consulente informatico

La truffa del doppio SPID in TV con Le Iene

Sono onorato di aver nuovamente collaborato come consulente informatico per Le Iene al servizio TV di Luigi Pelazza, andato in onda il 3 giugno 2025 su Italia Uno, intitolato “Usi lo SPID? Occhio alla Truffa”. Un’inchiesta che ha messo in luce una vulnerabilità critica che riguarda tutti noi e la nostra identità digitale basata sul sistema SPID.

Frode del doppio SPID tramite clone spiegata alle Iene da Luigi Pelazza e Paolo Dal Checco

Lo SPID è ormai la nostra identità online, indispensabile per un’ampia gamma di servizi: scaricare certificati, pagare le tasse, prenotare visite mediche, iscrivere i figli a scuola e persino ricevere la pensione o l’assegno universale per i figli. Purtroppo, proprio la sua centralità lo rende un bersaglio primario per i criminali, che lo utilizzano per compiere truffe basate sul fatto che è possibile creare un clone di uno SPID senza che il soggetto cui è intestato lo SPID ne abbia contezza.

Durante il servizio al quale ho partecipato come consulente tecnico de Le Iene abbiamo esplorato insieme a Luigi Pelazza casi sconcertanti, come quello di Mario, che si è ritrovato il suo cassetto fiscale completamente svuotato: un credito d’imposta di 800.000 euro è sparito nel nulla.

Paolo Dal Checco – Consulente Informatico per Le Iene sulla Truffa del Doppio SPID

La cosa più allarmante che emerge dal servizio in cui ho prestato servizio in qualità di consulente informatico forense per Le Iene è che gli accessi fraudolenti sono avvenuti tramite uno SPID intestato a lui stesso, ma non quello originale attivato nel 2020. Incredibilmente, dagli atti risulta che altri tre SPID clone sono stati creati utilizzando i suoi documenti, senza che Mario ricevesse alcuna notifica via email o cellulare.

Questa frode informatica ha evidenziato una grave criticità: non esiste un database generale e unico che monitori tutte le attivazioni SPID. Di conseguenza, nonostante denunce ripetute alla Guardia di Finanza e alla Polizia Postale, le attività fraudolente non si sono fermate, con accessi continui alle società che Mario rappresenta e manipolazione di crediti fiscali, inclusi quelli per il sisma bonus. L’Agenzia delle Entrate, in questi casi, sembra non essere in grado di monitorare autonomamente e deve essere avvisata dalla persona che ha subito il problema.

La “truffa del doppio SPID” ha già colpito – come frode informatica – migliaia di persone, dai beneficiari di bonus ristrutturazioni a quelli che aspettavano la tredicesima e persino molti studenti che si sono visti sottrarre i 500€ della carta cultura.

Truffa del doppio SPID a Le Iene con Luigi Pelazza e Paolo Dal Checco

Come fanno i i truffatori a ottenere i nostri documenti? I metodi sono vari e sempre più sofisticati:

  • Dark web: I documenti possono essere reperiti in mercati illegali online.
  • Phishing: Messaggi ingannevoli, come il tipico “Il tuo profilo INPS va aggiornato perché è scaduto. Rinnova i dati per evitare la sospensione”, spingono le vittime a cliccare su link malevoli e a caricare foto fronte/retro della carta d’identità, della tessera sanitaria e persino selfie con la patente. Siti web fatti “benissimo” con finti messaggi di errore rendono la truffa ancora più credibile.
  • Casella di posta elettronica: Spesso, senza rendercene conto, abbiamo inviato foto dei nostri documenti (carta d’identità, codice fiscale, a volte anche carta di credito) via email. Questi documenti possono rimanere per anni nella casella di posta, rendendoli accessibili a chiunque riesca a violarla.

Una delle caratteristiche più problematiche di questo sistema è che non si viene avvisati se qualcuno attiva uno SPID a nostro nome. Sebbene l’AGID (Agenzia per l’Italia Digitale) supervisioni i 12 fornitori di SPID e abbia multato alcune società per aver accettato documenti falsi o usato sistemi di identificazione non autorizzati, la frammentazione del sistema rende difficile una visione d’insieme utile a rilevare correlazioni tra identità sospette. La possibilità di avere più SPID, nata da una concezione tecnica ormai superata, persiste, sebbene lo SPID stia per essere sostituito dal wallet europeo entro un anno, che servirà anche per comprare biglietti aerei o fare contratti all’estero.

Cosa possiamo fare per proteggerci? Sebbene il servizio de Le Iene nel quale ho presato servizio come consulente tecnico abbia evidenziato che una protezione totale sia difficile, al massimo si possono fare due cose:

  • Verificare gli accessi recenti: Connettetevi regolarmente ai siti dove utilizzate lo SPID (es. INPS o qualsiasi altro servizio) e controllate la data e l’ora dell’ultimo accesso. Se non coincidono con un vostro utilizzo, è possibile che qualcuno abbia clonato il vostro SPID.
  • Contattare i fornitori SPID: Inviate una mail (meglio se PEC) a tutti i 12 fornitori ufficiali di SPID per chiedere se risultano attive più identità digitali intestate a voi. Questo è un vostro diritto e hanno l’obbligo di rispondere.

Qui trovate un elenco dei contatti dei 12 provider SPID accreditati in Italia (si ringrazia Matteo Flora che, nel suo video Youtube, ha illustrato abilmente il problema producendo anche un elenco d’indirizzi da contattare):

  1. Intesi Group[email protected] (da elenco soggetti accreditati AGID)
  2. Infocamere[email protected] (da elenco soggetti accreditati AGID)
  3. TeamSystem[email protected] (da elenco soggetti accreditati AGID)
  4. TIM[email protected] (da contatti portale SPID)
  5. SpidItalia[email protected] (da elenco soggetti accreditati AGID)
  6. Sielte[email protected] (da contatti portale SPID)
  7. PosteId[email protected] (da Privacy Policy, non presente né su SPID né su portale AGID)
  8. Namiral[email protected] (da contatti portale SPID)
  9. Lepida[email protected] (da elenco soggetti accreditati AGID)
  10. InfoCert[email protected](da elenco soggetti accreditati AGID)
  11. Aruba[email protected] (da elenco soggetti accreditati AGID)
  12. EtnaId[email protected] (da Privacy Policy, non presente né su SPID né su AGID)

Infine, un consiglio fondamentale: tenete sempre ben stretti i vostri documenti. La vigilanza è l’unica difesa in un panorama digitale in continua evoluzione.

Mi auspico che questo servizio TV per le Iene e il mio contributo di consulenza tecnica informatica forense possano aumentare la consapevolezza su questi rischi e spingere verso soluzioni più sicure per la nostra identità digitale.

Servizio sulle 5 nuove truffe al cellulare con Le Iene

Martedì 27 maggio 2025 è andato in onda su Italia Uno di Mediaset il servizio TV per dove ho fornito il mio piccolo contributo come consulente informatico de Le Iene per raccontare, insieme a Matteo Viviani, 5 nuove truffe che in questo periodo mietono vittime attraverso l’uso del cellulare.

Servizio TV Le Iene su Truffe al Cellulare

Il servizio de Le Iene dove sono intervenuto come consulente tecnico esperto in ambito informatico forense è dedicato a quelle che, purtroppo, sono le nuove frontiere della criminalità online: le truffe via cellulare o smartphone. In un periodo in cui molti si preparano alle meritate vacanze, i truffatori, invece, intensificano la loro attività.

Matteo Viviani, con il mio supporto di consulente tecnico per Le Iene, ha voluto mettere in guardia il pubblico sulle cinque tipologie di truffe più insidiose che circolano in questo momento, raccontandole su Mediaset anche attraverso la voce delle vittime che si sono prestate per portare la loro esperienza.

Paolo Dal Checco, Consulente Informatico a Le Iene

Il mio ruolo di consulente informatico de Le Iene è stato quello di spiegare alcuni meccanismi delle truffe e come difendersi, così da fornire dettagli tecnici di come i criminali rubano soldi e account, rispondendo alle domande di Matteo Viviani e chiarendo i punti chiave delle truffe su smarthpone.

Paolo Dal Checco, Consulente Tecnico a Le Iene

Ecco un approfondimento su ciascuna delle truffe subite tramite smartphone e raccontate nel servizio del Le Iene andato in onda su Mediaset, dove come consulente informatico forense ho prestato supporto a Le Iene per illustrare i dettagli delle truffe, con una breve spiegazione di funzionano e, quando possibile, come difendersi.

La Truffa del Finto Lavoro Semplice (Like e Recensioni)

Molti di voi potrebbero aver ricevuto messaggi come “Salve, abbiamo ricevuto il tuo curriculum, aggiungici su WhatsApp per parlare di lavoro”. Questo è l’aggancio iniziale. Lo scopo è spostare la conversazione su WhatsApp dove vengono proposti “lavoretti facili” da fare da casa. L’idea della truffa definita anche “task scam” è seducente: si viene invitati su una piattaforma dove si devono semplicemente mettere “like” o rilasciare finte recensioni positive su vari prodotti cliccando un tasto, per invogliare altri acquirenti. Sembra il lavoro più semplice del mondo ma la fregatura arriva presto: inizialmente, si guadagna qualcosa caricando piccole somme (es. caricare 10 euro per guadagnarne 30 tramite recensioni). Dopo un po’, i prodotti “normali” finiscono, e per continuare a “guadagnare” è necessario acquistare “pacchetti speciali” caricando somme ben maggiori (es. 320 euro, per poi chiederne altri 1700 per sbloccarne 10.000 e così via).

Le Iene e la truffa del task scam con like su post o prodotti

Spesso, il meccanismo di pagamento o “guadagno” nella truffa del finto like o “task scam” è legato a un’app di criptovalute, che in realtà è controllata dai truffatori, o si usano criptovalute finte che non valgono nulla, come ad esempio USDT su rete Ethereum ma con smart contract creati ad hoc dai truffatori e diversi dall’originale smart contract USDT.

A volte i truffatori inviano un piccolo bonifico iniziale (es. €160 dopo un carico di €70) per “provare” che il sistema funziona e ingolosire la vittima. La comunicazione avviene quasi sempre solo per messaggio Whatsapp, spesso da numeri stranieri o falsi italiani, e se si inizia a sospettare, la chat viene bloccata e i truffatori spariscono con i soldi. È una trappola che fa leva sulla voglia di guadagno facile, anche quando si percepisce che “c’è qualcosa che non torna”.

Come difendersi: State attenti a proposte di guadagno “troppo bello per essere vere” (“too good to be true“, in inglese) come fare centinaia di euro al giorno con semplici click, like o aprendo pacchi virtuali. Diffidate di contatti da numeri esteri (americani, dell’Est Europa, inglesi). Se un sito web è coinvolto, provate a verificarne l’anzianità; ci sono strumenti online che mostrano l’anno di registrazione del sito. L’utilizzo di criptovalute come unico metodo è un elemento tipicamente indicativo di una truffa.

La Crudele Truffa dell’Animale Smarrito

Questa truffa sfrutta il dolore e l’amore per un animale perduto. I malintenzionati cercano annunci online di cani o gatti smarriti che contengono dettagli personali come la zona di residenza e la descrizione dell’animale, incluso il nome. Contattano il proprietario, spesso con una telefonata inaspettata. Con tono arrogante, affermano di avere l’animale e chiedono una grossa somma di denaro per la sua restituzione (es. €4000). A volte, cercano di dare credibilità alla richiesta legandola a presunte nuove multe o leggi severe sull’abbandono di animali. Nel servizio, abbiamo visto un caso in cui la truffa è fallita perché il cane era nel frattempo tornato a casa, permettendo alla proprietaria di smascherarli immediatamente. Nonostante il sospetto, l’amore per l’animale può spingere la vittima a considerare il pagamento.

Servizio de Le Iene sul cane smarrito e ritrovato

Come difendersi: non è facile, la truffa spesso fallisce perché l’animale è già tornato casa, in generale è necessario essere scettici verso richieste di denaro per la restituzione di oggetti (o animali) smarriti.

La Truffa del Messaggio di Emergenza IT-Alert (Malware)

Questa è una truffa particolarmente subdola che approfitta delle paure legate ai disastri naturali che colpiscono l’Italia (alluvioni, terremoti, eruzioni). I criminali inviano un SMS che sembra un messaggio di emergenza ufficiale IT Alert. Il messaggio contiene un link; cliccandolo, si finisce su un sito che invita a scaricare un’applicazione. Quest’app, però, è un malware. Una volta installata, l’app prende il controllo del telefono, iniziando a spiare le attività dell’utente, rubare password, attivare telecamere e microfono. Il pericolo maggiore è l’accesso alle app bancarie: il malware può usare l’impronta digitale o il riconoscimento facciale per autenticare bonifici o ricariche, svuotando di fatto il conto corrente.

Le Iene e il servizio sulla truffa IT Alert

Come difendersi: essere estremamente cauti con SMS “di emergenza” che richiedono di cliccare link o scaricare app, non scaricare App dall’esterno degli store ufficiali.

La Truffa del Voto e del Dirottamento WhatsApp

Questa truffa inizia in modo apparentemente innocuo, spesso con un messaggio che sembra provenire da un amico, che chiede un piccolo favore. Ad esempio, “Ciao, puoi votare per mia figlia o mia nipote per una borsa di studio?” con sotto un link. Cliccando il link, si accede a un sito (di solito un finto concorso) dove, per votare una candidata, viene richiesta l’autenticazione tramite numero di telefono. Dopo aver inserito il numero, compare un messaggio che chiede un'”autorizzazione rapida e semplice via WhatsApp” e viene fornito un codice.

Servizio TV de Le Iene sulla votazione del concorso per la nipote e furto Whatsapp

Questo passaggio è la chiave della truffa: i truffatori ingannano la vittima facendole completare il processo per collegare l’account WhatsApp a un altro dispositivo (il loro computer), esattamente come si farebbe per usare WhatsApp Web, ma facendo inserire il codice di autenticazione ricevuto nell’app sul proprio telefono. In pochi secondi, la chat della vittima appare sul computer del truffatore. A quel punto, il truffatore prende il controllo dell’account WhatsApp: ruba i contatti, legge le chat, taglia fuori la vittima dal proprio account e inizia a usarlo per fare altre truffe a nome suo, trasformando di fatto la vittima in un involontario “collaboratore”.

Come difendersi: porre attenzione alla eventuale richiesta di autenticazione via WhatsApp con un codice che non ci si aspetta, specialmente se arriva dopo aver cliccato un link per un motivo banale come un voto.

La Truffa della Vendita Online (Finto Pagamento)

Questa truffa colpisce chi vende oggetti su piattaforme online (come Subito). Si riceve una proposta d’acquisto genuina. Cliccando “accetta” e vedendo il banner di conferma dell’affare (fino a qui, comunicazioni reali della piattaforma), poco dopo arriva un messaggio (spesso via SMS o su una chat esterna, anche se sembra provenire dalla piattaforma) che dice che il pagamento è “bloccato per motivi di sicurezza” e invita a cliccare un link per “sbloccarlo”. Il link porta a una pagina web identica a quella dell’offerta sulla piattaforma originale, completamente “brandizzata”, ma è una pagina falsa. Questa pagina fasulla chiede di inserire i dati della propria carta di credito per “sbloccare” la transazione. Questa richiesta dovrebbe immediatamente far scattare un allarme. La truffa è rapida; la pagina clonata può apparire anche solo 10 minuti dopo aver messo l’oggetto in vendita.

Il servizio de Le Iene sull'annuncio su siti di vendita come Subito.it

Come difendersi: Il punto cruciale è la richiesta dei dati della carta di credito. Ricordate: per ricevere un pagamento, non si devono MAI fornire i dati completi della propria carta di credito (numero, scadenza, CVV). Inoltre, le comunicazioni ufficiali delle piattaforme di vendita online relative ai pagamenti, specialmente quelle con link per “sbloccare” fondi, arrivano tipicamente via email, non tramite messaggi o SMS che chiedono di cliccare su link sospetti. Se vi chiedono i dati della carta per ricevere soldi, è una truffa.

Spero che questa disamina dettagliata di queste cinque truffe, basata sul lavoro di consulente tecnico fatto per Le Iene, possa essere utile. La consapevolezza è la prima e più importante difesa. Siate sempre scettici di fronte a richieste inaspettate, offerte troppo allettanti o richieste di dati sensibili: la vigilanza è la migliore protezione nel mondo digitale di oggi.