Le cose, però, non sono così semplici. La presenza di Spid (che vanta 40,5 milioni di identità digitali attivate) permette di avvicinarsi agli obiettivi del Pnrr, che richiedono che il 70% dei cittadini abbiano un’utenza attiva entro giugno 2026. Cie, da parte sua, è ancora ai blocchi di partenza: solo 7,3 milioni al 16 maggio 2025. Diventa chiaro, quindi, che il governo non può pensare di staccare la spina a Spid.
Come proteggersi dalla truffa del doppio Spid
Se al momento non si vedono soluzioni definitive da un punto di vista tecnico, agli utenti non rimane che difendersi da soli. L’unica soluzione, stando così le cose, è quella di monitorare costantemente i vari operatori per controllare che non esista un “doppione” generato da qualche malintenzionato.
“La procedura è piuttosto complessa” spiega Christian Bernieri, Dpo professionista ed esperto di data protection. “Ogni operatore ha una procedura diversa e, in molti casi, è necessario affrontare un processo lungo e complicato, che prevede tra l’altro l’invio di un gran numero di documenti e informazioni personali”. Tanto più che tutto questo dovrebbe essere effettuato con una certa frequenza, visto che le richieste permetterebbero, al massimo, di fotografare la situazione al momento.
Secondo Bernieri, la strategia migliore è quella di sfruttare una delle prerogative garantite dal Gdpr. “Il regolamento generale per la protezione dei dati mette a disposizione dei cittadini europei lo strumento dell’accesso ai dati, che offre due vantaggi. Prima di tutto ha caratteristiche ben precise a livello formale e premette di utilizzare la stessa comunicazione per tutti i gestori. In secondo luogo, il fatto che abbia una base legale lo rende decisamente più efficace e ai gestori è imposto di rispondere entro 30 giorni”.
Come fare la richiesta in pratica
Bernieri ha realizzato e pubblicato una bozza che può essere utilizzata per inviare la richiesta di accesso ai dati.
Oggetto: richiesta accesso ai dati ex art. 15 GDPR – SPID attivi per c.f. XXXXXXXXXXXXXXXX
Io sottoscritto, Xxxxxxxxx Xxxxxxxx, nato a Xxxxxx il 28 maggio 1899, codice fiscale XXXXXXXXXXXXXXXX, in qualità di interessato e ai sensi dell’articolo 15 del GDPR, chiedo conferma alla vostra spettabile azienda dell’esistenza di servizi SPID attivi e me riferiti.
In caso di riscontro positivo, vi chiedo di provvedere cautelativamente e tempestivamente alla sospensione di tali servizi.
Vi anticipo che non mi risulta di aver attivato alcuno dei servizi sopra citati e che, qualora risultassero attivi, disconosco fin da ora la paternità della richiesta di attivazione e lamento un furto di identità che sarà prontamente denunciato alle autorità competenti.
Vi ringrazio sin da ora per la preziosa collaborazione.
La richiesta, specifica l’esperto, deve essere corredata da firma digitale o da una copia del documento d’identità.
Rimane il problema della frequenza con cui inviare la comunicazione. “Un’interrogazione periodica, naturalmente, è più efficace quanto è più frequente. Il rischio che qualcuno agisca in una delle ‘finestre’ tra le varie richieste, inoltre, rimane” spiega Bernieri. “In teoria l’unico modo per eliminare il rischio una volta per tutte sarebbe quello di registrare uno Spid a proprio nome con tutti gli operatori”.
Una soluzione, questa, che può sembrare una sorta di “uovo di Colombo” per disinnescare la truffa del doppio Spid, ma che ha una controindicazione: non tutti i gestori offrono il servizio gratuitamente e, nel prossimo futuro, è probabile che il numero dei servizi a pagamento aumenti.
