Archivi tag: truffa

La truffa del doppio SPID in TV con Le Iene

Sono onorato di aver nuovamente collaborato come consulente informatico per Le Iene al servizio TV di Luigi Pelazza, andato in onda il 3 giugno 2025 su Italia Uno, intitolato “Usi lo SPID? Occhio alla Truffa”. Un’inchiesta che ha messo in luce una vulnerabilità critica che riguarda tutti noi e la nostra identità digitale basata sul sistema SPID.

Frode del doppio SPID tramite clone spiegata alle Iene da Luigi Pelazza e Paolo Dal Checco

Lo SPID è ormai la nostra identità online, indispensabile per un’ampia gamma di servizi: scaricare certificati, pagare le tasse, prenotare visite mediche, iscrivere i figli a scuola e persino ricevere la pensione o l’assegno universale per i figli. Purtroppo, proprio la sua centralità lo rende un bersaglio primario per i criminali, che lo utilizzano per compiere truffe basate sul fatto che è possibile creare un clone di uno SPID senza che il soggetto cui è intestato lo SPID ne abbia contezza.

Durante il servizio al quale ho partecipato come consulente tecnico de Le Iene abbiamo esplorato insieme a Luigi Pelazza casi sconcertanti, come quello di Mario, che si è ritrovato il suo cassetto fiscale completamente svuotato: un credito d’imposta di 800.000 euro è sparito nel nulla.

Paolo Dal Checco – Consulente Informatico per Le Iene sulla Truffa del Doppio SPID

La cosa più allarmante che emerge dal servizio in cui ho prestato servizio in qualità di consulente informatico forense per Le Iene è che gli accessi fraudolenti sono avvenuti tramite uno SPID intestato a lui stesso, ma non quello originale attivato nel 2020. Incredibilmente, dagli atti risulta che altri tre SPID clone sono stati creati utilizzando i suoi documenti, senza che Mario ricevesse alcuna notifica via email o cellulare.

Questa frode informatica ha evidenziato una grave criticità: non esiste un database generale e unico che monitori tutte le attivazioni SPID. Di conseguenza, nonostante denunce ripetute alla Guardia di Finanza e alla Polizia Postale, le attività fraudolente non si sono fermate, con accessi continui alle società che Mario rappresenta e manipolazione di crediti fiscali, inclusi quelli per il sisma bonus. L’Agenzia delle Entrate, in questi casi, sembra non essere in grado di monitorare autonomamente e deve essere avvisata dalla persona che ha subito il problema.

La “truffa del doppio SPID” ha già colpito – come frode informatica – migliaia di persone, dai beneficiari di bonus ristrutturazioni a quelli che aspettavano la tredicesima e persino molti studenti che si sono visti sottrarre i 500€ della carta cultura.

Truffa del doppio SPID a Le Iene con Luigi Pelazza e Paolo Dal Checco

Come fanno i i truffatori a ottenere i nostri documenti? I metodi sono vari e sempre più sofisticati:

  • Dark web: I documenti possono essere reperiti in mercati illegali online.
  • Phishing: Messaggi ingannevoli, come il tipico “Il tuo profilo INPS va aggiornato perché è scaduto. Rinnova i dati per evitare la sospensione”, spingono le vittime a cliccare su link malevoli e a caricare foto fronte/retro della carta d’identità, della tessera sanitaria e persino selfie con la patente. Siti web fatti “benissimo” con finti messaggi di errore rendono la truffa ancora più credibile.
  • Casella di posta elettronica: Spesso, senza rendercene conto, abbiamo inviato foto dei nostri documenti (carta d’identità, codice fiscale, a volte anche carta di credito) via email. Questi documenti possono rimanere per anni nella casella di posta, rendendoli accessibili a chiunque riesca a violarla.

Una delle caratteristiche più problematiche di questo sistema è che non si viene avvisati se qualcuno attiva uno SPID a nostro nome. Sebbene l’AGID (Agenzia per l’Italia Digitale) supervisioni i 12 fornitori di SPID e abbia multato alcune società per aver accettato documenti falsi o usato sistemi di identificazione non autorizzati, la frammentazione del sistema rende difficile una visione d’insieme utile a rilevare correlazioni tra identità sospette. La possibilità di avere più SPID, nata da una concezione tecnica ormai superata, persiste, sebbene lo SPID stia per essere sostituito dal wallet europeo entro un anno, che servirà anche per comprare biglietti aerei o fare contratti all’estero.

Cosa possiamo fare per proteggerci? Sebbene il servizio de Le Iene nel quale ho presato servizio come consulente tecnico abbia evidenziato che una protezione totale sia difficile, al massimo si possono fare due cose:

  • Verificare gli accessi recenti: Connettetevi regolarmente ai siti dove utilizzate lo SPID (es. INPS o qualsiasi altro servizio) e controllate la data e l’ora dell’ultimo accesso. Se non coincidono con un vostro utilizzo, è possibile che qualcuno abbia clonato il vostro SPID.
  • Contattare i fornitori SPID: Inviate una mail (meglio se PEC) a tutti i 12 fornitori ufficiali di SPID per chiedere se risultano attive più identità digitali intestate a voi. Questo è un vostro diritto e hanno l’obbligo di rispondere.

Qui trovate un elenco dei contatti dei 12 provider SPID accreditati in Italia (si ringrazia Matteo Flora che, nel suo video Youtube, ha illustrato abilmente il problema producendo anche un elenco d’indirizzi da contattare):

  1. Intesi Group[email protected] (da elenco soggetti accreditati AGID)
  2. Infocamere[email protected] (da elenco soggetti accreditati AGID)
  3. TeamSystem[email protected] (da elenco soggetti accreditati AGID)
  4. TIM[email protected] (da contatti portale SPID)
  5. SpidItalia[email protected] (da elenco soggetti accreditati AGID)
  6. Sielte[email protected] (da contatti portale SPID)
  7. PosteId[email protected] (da Privacy Policy, non presente né su SPID né su portale AGID)
  8. Namiral[email protected] (da contatti portale SPID)
  9. Lepida[email protected] (da elenco soggetti accreditati AGID)
  10. InfoCert[email protected](da elenco soggetti accreditati AGID)
  11. Aruba[email protected] (da elenco soggetti accreditati AGID)
  12. EtnaId[email protected] (da Privacy Policy, non presente né su SPID né su AGID)

Infine, un consiglio fondamentale: tenete sempre ben stretti i vostri documenti. La vigilanza è l’unica difesa in un panorama digitale in continua evoluzione.

Mi auspico che questo servizio VT per le Iene e il mio contributo di consulenza tecnica informatica forense possano aumentare la consapevolezza su questi rischi e spingere verso soluzioni più sicure per la nostra identità digitale.

Sulle tracce dei truffatori con Le Iene

Lunedì 18 novembre 2024 è andato in onda un servizio di Roberta Rei per Le Iene sulle truffe sentimentali (note anche come romance scam o love fraud) al quale ho dato un piccolo contributo d’indagine informatica come consulente tecnico delle Iene portando l’esperienza accumulata in numerosi casi reali nei quali i clienti mi hanno contattato in qualità di CTP informatico perché vittime di questo tipo di raggiri.

Paolo Dal Checco e Roberta Rei a Le Iene

Il servizio TV per il quale mi sono prestato come consulente informatico forense de Le Iene ripercorre la truffa sentimentale subita da una vittima fino a ricostruire le modalità con le quali è avvenuta, dal contatto iniziale alla richiesta di versare fondi su conti correnti o tramite gift card.

Chi ha subito truffe ha, in genere, la necessità tramite indagine forense di cristallizzare in maniera forense le comunicazioni intercorse con i delinquenti, rintracciare i fondi versati, identificare ove possibile i soggetti che in genere operano con numeri VoIP e relativi account Whatsapp, Telegram o Facebook Messenger, mail anonime e spesso anche VPN o rete Tor.

Spesso emerge quindi l’esigenza di una perizia informatica finalizzata proprio all’acquisizione forense delle prove digitali, essenziale per poter dimostrare quanto avvenuto e tentare l’identificazione di coloro che hanno operato il raggiro oltre, ove possibile, a identificare dove sono confluiti i fondi. Va precisato che entrambe le attività d’indagine informatica (identificazione e rintracciamento delle somme di denaro) raramente portano a risultati concreti, vista l’abilità con la quale i criminali si nascondono dietro VPN o riciclano i proventi illeciti anonimizzando le transazioni.

Paolo Dal Checco a Le Iene nel servizio TV sulle Truffe Sentimentali

Durante il servizio nel quale mi sono prestato come perito informatico forense de Le Iene per l’investigazione digitale sulla truffa, la bravissima Roberta Rei mi ha posto alcune domande sul tracciamento degli indirizzi IP dei truffatori, che in alcuni casi permette di localizzare la zona dalla quale stanno operando o quantomeno classificare il tipo di anonimato dietro il quale si nascondono mentre scrivono tramite Facebook Messenger oppure Whatsapp.

Nel servizio dove ho dato il mio piccolo contributo d’indagine digitale come esperto informatico de Le Iene ho parlato anche delle modalità con le quali i delinquenti provvedono al riciclaggio dei proventi illeciti delle truffe amorose tramite buoni regalo (es. gift card di Steam, Apple iTunes, Google Play, etc…) oppure bonifici verso money mule o ancora trasferimenti irreversibili mediante criptomonete di cui fanno cash out magari dopo essere passati attraverso mixer/tumbler/DEX.

Riciclaggio tramite gift card di proventi illeciti di truffe a Le Iene

Per identificare questo tipo di truffa, spesso è sufficiente – come indicato nel reportage TV de le Iene nel quale ho svolto consulenza informatica forense – utilizzare servizi come Google Reverse Image Search per verificare le immagini utilizzate dai truffatori come profilo social oppure inviate alle vittime come prova della loro situazione provengono da siti pubblici e quindi nascondono la vera identità dell’interlocutore.

Purtroppo ci sono pochissime difese tecniche a questo tipo di scam: la migliore è la prevenzione, anche grazie a questo tipo di servizi, al fine di rendere le potenziali vittime consapevoli dei rischi che corrono a dare credito e fiducia a chi contatta sui social spacciandosi per qualcuno interessato a intrattenere una relazione amorosa, evitando però nel contempo le videocall, chiedendo invece soldi o ricariche tramite buoni spesa, promettendo incontri o una vita insieme quando in realtà dietro c’è con buona probabilità un’organizzazione di truffatori preparati anche psicologicamente ad ammaliare la vittima e non lasciarla andare.

Servizio TV sulla truffa delle ping calls con Le Iene

Domenica è andato in onda su Italia Uno il servizio delle Iene di Nicolò De Devitiis e Marco Fubini sulle Ping Calls, con il mio piccolo contributo volto a spiegare tecnicamente come funziona questa truffa delle telefonate che svuotano il credito e come difendersi.

Le Iene - Ping Calls

Le ping calls sono brevi telefonate che riceviamo sul nostro cellulare da numeri stranieri (Tunisia con prefisso +216, Moldavia con prefisso +373, Regno Unito con prefisso +44, etc…) alle quali non facciamo in tempo a rispondere. Se richiamiamo, incorriamo in tariffe di rilievo (anche alcuni euro al secondo) perché le numerazioni sono registrate presso servizi di IPRN (International Premium Rate Numbers) con costi notevolmente più alti di quelli di una normale telefonata estera.

NicolÃò De Devitiis e Paolo Dal Checco - Ping Calls per Le Iene

Nel servizio, Nicolò De Devitiis de Le Iene e Paolo Dal Checco mostrano come, chiamando uno dei numeri da cui riceviamo telefonate, viene prosciugato il credito del telefono anche di diversi euro al minuto. La truffa delle Ping Calls è nota anche con i nomi di “one ring call”, “one ring phone scam”, “wangiri fraud”, “one ring and cut”, “wangiri scam”, “missed call fraud” e identifica sempre il meccanismo della telefonata breve, o squillo, finalizzato ai incuriosire il destinatario che richiama, magari preoccupato o solo per curiosità, svuotando il credito telefonico se rimane per molto tempo in ascolto durante la telefonata.

Se si risponde alle telefonate che provengono dalla Tunisia o da paesi esteri non viene scalato il credito telefonico, mentre se si richiama viene applicata la tariffa della numerazione IPRN utilizzata, che può arrivare a diversi euro in pochi secondi anche se dall’altra parte si sente soltanto una musichetta o risponde qualche ignaro destinatario.

Non è raro che vengano richieste perizie o analisi di tabulati telefonici anche da parte delle vittime di questo tipo di truffa, per quanto non siano in realtà necessarie, dato che le modalità e i contorni della truffa delle telefonate con gli squilli interrotti dalla Tunisia o dai paesi esteri sono ormai state chiarite: si deve semplicemente evitare di richiamare il numero che ha chiamato, così da non incorre in tariffazioni ad alto costo.