Una recente indagine della Polizia Postale ha messo in luce un sofisticato meccanismo di frode che ha colpito il sistema del Bonus Cultura (la cosiddetta “18App”), con centinaia di neodiciottenni che si sono ritrovati a non ricevere il contributo da 500 euro destinato a loro, perché “usurpato” da soggetti sconosciuti che hanno sottratto la loro identità digitale. Si parla di oltre 400.000 euro di danno per il Ministero della Cultura.
Il meccanismo della frode
Secondo le ricostruzioni, gli hacker avrebbero operato così:
1. Furto o clonazione dello SPID
I malintenzionati ottenevano credenziali SPID irregolari — ad esempio tramite campagne di phishing — sfruttando vulnerabilità dei sistemi o chiedendo alle vittime l’inserimento dei dati su siti falsi che imitiavano quelli ufficiali.
2. Registrazione “parallela” sulla piattaforma 18app
Con l’identità acquisita, i truffatori accedevano al sistema 18app.italia.it come se fossero i legittimi beneficiari.
3. Acquisto in esercizi “compiacenti” e rimborso illegittimo
I bonus venivano spesi in esercizi commerciali gestiti dagli stessi truffatori o da partner nell’illecito schema, che emettevano false fatture per ottenere rimborsi dallo Stato.
4. Uso di prestanome e riciclaggio
Per nascondere la tracciabilità delle somme, si segnalano bonifici verso conti intestati a prestanome, anche in paesi esteri, con la pista del riciclaggio che viene esplorata dagli inquirenti.
Dimensione del danno e indagati
Il danno stimato per il Ministero della Cultura è di oltre 400.000 euro.
In una maxi-operazione avviata da Firenze si sono contate almeno 10 denunce a vario titolo per frode informatica, truffa aggravata e riciclaggio.
Particolare è il caso di Torino, dove sono state scoperte circa 2.000 concessioni abusive del bonus, attraverso oltre 2.500 SPID irregolari, con 7 esercizi compiacenti coinvolti.
L’operazione ha portato alla sospensione dei rimborsi illeciti da parte del Ministero, contenendo l’impatto economico ulteriore.
Le vulnerabilità sfruttate e i rischi dello SPID
Il sistema SPID (Sistema Pubblico di Identità Digitale) è un pilastro della identità digitale in Italia, ma è vulnerabile alle tecniche di phishing, clonazione e furto d’identità:
In alcuni casi, le vittime sono state convinte a inviare copie di documenti e perfino video di riconoscimento tramite pagine false che simulavano quelle ufficiali dell’AgID o SPID.
I truffatori hanno usato domini ingannevoli come “it-spid.com” o altre varianti che imitano i portali ufficiali, per carpire le credenziali delle vittime.
Ogni SPID consente l’accesso a servizi pubblici sensibili: se compromesso, può servire per altri atti illeciti, come indebiti utilizzi di bonus o accessi a conti.
I veri destinatari — tanti giovani diciottenni — si sono ritrovati esclusi da un beneficio pensato per loro, mentre altri — estranei — ne hanno sfruttato i vantaggi.
Si evidenzia un problema di giustizia digitale: il sistema, pur predisposto per favorire i giovani, può essere manipolato, colpendo chi è meno esperto in materia di sicurezza informatica.
Le autorità devono far fronte non solo al risarcimento dei danni, ma anche al ripristino della fiducia in meccanismi digitali che toccano direttamente i cittadini.
