Un’ondata di attacchi informatici mirati sta colpendo il sistema NoiPa, il portale utilizzato dal Ministero dell’Economia e delle Finanze per l’erogazione degli stipendi ai dipendenti pubblici e la gestione di numerose altre voci fiscali. L’allarme è stato lanciato dopo la scoperta di numerosi casi di furto di identità digitale tramite SPID (Sistema Pubblico di Identità Digitale), che hanno permesso ai cybercriminali di modificare i dati di pagamento e deviare su conti correnti fraudolenti stipendi statali, pensioni, assegni unici e rimborsi Irpef.
Spid clonato, stipendi statali e rimborsi fiscali a rischio: l’allarme cybercrime su NoiPa
Il sistema, che serve oltre due milioni di lavoratori della pubblica amministrazione tra insegnanti, militari, sanitari, impiegati delle agenzie centrali e periferiche dello Stato, è diventato un obiettivo ad alto valore per la criminalità informatica. Secondo fonti investigative, decine di casi sono stati già confermati in diverse regioni italiane, mentre altri sono in fase di verifica. Il furto avviene in modo silenzioso ma efficace: una volta entrati con lo SPID clonato, gli hacker cambiano l’IBAN registrato sul profilo NoiPa e attendono che il pagamento automatico venga eseguito.
Il MEF corre ai ripari: tracciamenti e verifiche straordinarie in corso
Il Ministero dell’Economia, attraverso la Direzione dei Sistemi Informativi, ha annunciato di aver attivato controlli straordinari e un protocollo d’emergenza per intercettare variazioni sospette sugli account. Una circolare urgente è stata inviata a tutte le amministrazioni pubbliche invitate a sensibilizzare il personale, soprattutto rispetto ai tentativi di phishing e alle richieste fraudolente di accesso.
“Non si tratta di una falla del sistema NoiPa in sé – precisano dal MEF – ma di un utilizzo illecito delle credenziali SPID. La piattaforma registra ogni accesso e modifica, ma la sostituzione dell’IBAN da parte di terzi diventa difficile da bloccare in tempo reale se l’identità digitale risulta formalmente valida”. In alcuni casi, i pagamenti sono già stati eseguiti e il recupero delle somme si preannuncia complesso. Gli istituti bancari stanno collaborando con la Polizia Postale per tentare di intercettare i bonifici sospetti prima che vengano trasferiti su conti all’estero o prelevati in contanti.
Dipendenti beffati e stipendi svaniti: “Ho scoperto tutto solo al 23 del mese”
Tra le vittime dell’attacco, molti insegnanti e personale ATA che hanno scoperto di non aver ricevuto lo stipendio regolarmente accreditato il 23 del mese. “Credevo fosse un ritardo tecnico, poi ho controllato su NoiPa e ho visto che il mio IBAN era stato cambiato. Non da me”, racconta una docente di scuola superiore a Roma. “Il mio stipendio è finito in un conto che non conosco. Ora mi dicono che ci vorranno settimane per capire cosa è successo”.
Il problema riguarda anche i rimborsi Irpef e l’assegno unico: in numerosi casi segnalati, i genitori non hanno ricevuto il pagamento previsto a maggio, scoprendo che i fondi erano stati trasferiti a soggetti terzi. “Si tratta di una frode sofisticata – spiega una fonte della Polizia Postale – che utilizza strumenti di social engineering per carpire i dati SPID, spesso con email che simulano avvisi ufficiali. È fondamentale non cliccare su link sospetti e attivare l’autenticazione a due fattori dove possibile”.
L’allarme delle sigle sindacali: “Subito un piano di sicurezza e rimborsi certi”
I sindacati della funzione pubblica hanno chiesto un intervento immediato del governo per garantire il ripristino delle somme sottratte e la messa in sicurezza del sistema. “Parliamo di stipendi da cui dipendono famiglie intere. Non possiamo accettare ritardi o silenzi burocratici”, ha dichiarato la segretaria generale della Flc-Cgil, Gianna Fracassi. Anche Cisl e Uil hanno sollecitato l’apertura di un tavolo tecnico permanente per affrontare l’emergenza cyber e proteggere i lavoratori.
Il Garante della Privacy segue il caso da vicino e potrebbe aprire un’istruttoria per verificare se vi siano state carenze nei protocolli di accesso o nella comunicazione degli incidenti. Al momento, l’ipotesi prevalente resta quella di una compromissione massiva delle credenziali SPID, più che di un attacco diretto alla piattaforma NoiPa.
SPID nel mirino: la fiducia nell’identità digitale vacilla
L’incidente riapre il dibattito sulla sicurezza dello SPID, utilizzato da milioni di cittadini per accedere a servizi pubblici, bonus, certificazioni e pagamenti. Se da un lato il sistema è progettato per offrire affidabilità e tracciabilità, dall’altro episodi come questo mostrano i limiti della sua protezione quando le credenziali vengono trafugate. Molti utenti, infatti, conservano password deboli o le condividono inconsapevolmente in risposta a messaggi truffaldini.
Gli esperti di sicurezza informatica chiedono da tempo un rafforzamento delle misure di autenticazione, come l’introduzione obbligatoria del riconoscimento biometrico e dell’autenticazione forte a più livelli per operazioni sensibili come il cambio dell’IBAN. Il governo valuta ora un intervento normativo per rendere più stringenti i controlli in tutte le piattaforme che gestiscono dati e denaro pubblico.
Nel frattempo, chiunque abbia un account NoiPa è invitato a verificare immediatamente i propri dati e a segnalare eventuali anomalie. La nuova frontiera della criminalità informatica passa anche dalla burocrazia digitale, e nessuno può dirsi al sicuro.