Un’indagine avviata dalla Polizia Postale di Firenze, in collaborazione con i Centri operativi per la sicurezza cibernetica di Piemonte, Umbria, Campania e Puglia, ha portato alla denuncia di dieci persone accusate di frode informatica, truffa aggravata e riciclaggio, a seguito di un vasto schema truffaldino che ha colpito il programma governativo Bonus Cultura 18app.
Il sistema fraudolento ruotava attorno alla creazione e all’uso illecito di identità digitali SPID false, apparentemente legittime ma in realtà generate in ambienti controllati dagli stessi truffatori. Una volta ottenute queste credenziali, gli indagati accedevano alla piattaforma 18app, generavano i voucher da 500 euro per neomaggiorenni e li utilizzavano in esercizi commerciali a loro riconducibili, presentando false fatture per ottenere i rimborsi dal Ministero della Cultura.
Le indagini, iniziate nell’estate 2023 dopo le prime segnalazioni di giovani diciottenni impossibilitati ad accedere al proprio bonus, hanno rivelato un’architettura truffaldina altamente strutturata. Sono stati scoperti oltre 2.500 SPID irregolari e attivate circa 2.000 erogazioni fraudolente, con un danno potenziale per l’erario di circa 400mila euro.
Le perquisizioni, condotte in più regioni italiane, hanno portato al sequestro di materiale informatico, POS, firme digitali, carte di pagamento, conti correnti e password intestati anche a soggetti ignari, usati come prestanome o identità fittizie. Il pronto intervento della Polizia Postale ha permesso di bloccare numerosi rimborsi non ancora erogati, limitando l’impatto sul bilancio pubblico.
Debolezze strutturali nei meccanismi di identificazione SPID
Il caso dimostra criticità gravi nei processi di rilascio e controllo delle credenziali SPID, soprattutto quando l’autenticazione remota è delegata a canali poco presidiati. La possibilità di creare identità digitali valide ma inesistenti pone seri problemi di sicurezza applicativa e di integrità dei fondi pubblici.
Sistemi come SPID, alla base di centinaia di servizi digitali pubblici, richiedono:
- Rafforzamento dei controlli biometrici e antifrode all’origine (onboarding digitale)
- Audit periodici sugli identity provider accreditati
- Integrazione con motori di risk-based authentication, che segnalino comportamenti anomali come registrazioni massive o pattern di accesso ricorrenti
Il caso 18app evidenzia anche la necessità di verifiche incrociate automatizzate tra voucher generati e fatture realmente emesse, con validazione tramite terze parti (es. Agenzia delle Entrate) prima del rimborso. La digitalizzazione della PA non può prescindere da architetture antifrode resilienti e interoperabili.
