Ho caricato i documenti su un sito falso: cosa rischio e cosa fare

# Ho caricato i documenti su un sito falso: cosa rischio e cosa fare

Hai ricevuto un messaggio che sembrava di INPS, SPID o Agenzia Entrate. Hai cliccato il link, compilato il modulo e caricato la carta d'identità, il passaporto o un selfie. Poi hai capito che il sito era falso.

A differenza di un phishing classico dove inserisci solo credenziali, il caricamento di documenti apre a rischi diversi e più duraturi. Non riguarda solo un accesso da bloccare: riguarda la tua identità.

Cosa possono fare con i tuoi documenti

Un documento d'identità reale, combinato con un selfie, dà ai truffatori materiale sufficiente per:

• Attivare uno SPID a tuo nome presso un identity provider, accedendo poi a servizi pubblici e privati
• Aprire conti correnti o conti digitali che richiedono documento per la verifica KYC (Know Your Customer)
• Richiedere prestiti o finanziamenti a tuo nome presso istituti che accettano identificazione remota
• Registrare SIM card usate poi per truffe o per aggirare l'autenticazione a due fattori di altri servizi
• Costruire attacchi futuri più credibili: chi conosce i tuoi dati esatti può contattarti con messaggi molto più convincenti di un phishing generico

Il rischio non è concentrato nelle ore successive al fatto. I dati possono essere venduti, conservati e usati anche settimane o mesi dopo.

Segnali che qualcosa sta già accadendo

Fai attenzione se noti uno di questi elementi:

• Email o SMS da provider SPID su attivazioni non richieste da te
• Notifiche da banche o finanziarie su aperture di conto o richieste di credito anomale
• Messaggi da enti pubblici su pratiche che non hai avviato
• Comunicazioni da operatori telefonici per nuove SIM intestate a te
• Accesso negato a servizi che funzionavano normalmente

Anche in assenza di segnali visibili, le azioni preventive qui sotto restano utili e urgenti.

Cosa fare subito

Se hai appena caricato i documenti

1. Contatta il tuo provider SPID (Poste ID, Namirial, Aruba, Intesi Group, ecc.) e segnala un possibile uso non autorizzato dei tuoi dati. Chiedi se sono presenti attivazioni recenti non riconducibili a te. 2. Avvisa la tua banca in modo preventivo: spiega che i tuoi dati identitari potrebbero essere stati esposti e chiedi se ci sono operazioni o richieste di apertura conto non autorizzate. 3. Conserva tutto: screenshot del sito falso, URL completo, testo del messaggio originale e orari. Sono necessari per qualsiasi segnalazione successiva. 4. Presenta una segnalazione alla Polizia Postale tramite il portale del Commissariato PS Online. Non serve aspettare che accada qualcosa di concreto per farlo.

Se hai già ricevuto comunicazioni sospette dopo il fatto

1. Non rispondere alle comunicazioni e non cliccare altri link. 2. Verifica in modo indipendente dal portale ufficiale dell'ente o del provider se esiste davvero una pratica o un'attivazione corrispondente. 3. Se una SIM risulta attivata a tuo nome, contatta subito l'operatore telefonico per il blocco. 4. Se è stato aperto un conto o richiesto un prestito, contatta l'istituto direttamente dai recapiti ufficiali — non da quelli nelle comunicazioni ricevute.

Se sospetti che sia già stato attivato uno SPID a tuo nome

1. Accedi ai siti dei principali identity provider e verifica se esiste un'identità digitale registrata con il tuo codice fiscale che non ricordi di aver creato. 2. Segnala il caso ad AgID tramite i canali ufficiali indicati sul sito istituzionale. 3. Avvisa i servizi che usi normalmente — INPS, Agenzia Entrate, fascicolo sanitario — perché potrebbero essere stati acceduti a tuo nome.

Perché il danno da documenti dura nel tempo

Con credenziali rubate puoi cambiare la password. Con documenti rubati non puoi cambiare il documento.

Questo rende il furto di identità documentale qualitativamente diverso da un phishing standard. I dati sottratti restano validi, possono circolare tra più attori e vengono usati in momenti diversi. Per questo la risposta deve essere strutturata e non limitarsi a un solo blocco immediato.

Perché questa truffa funziona

Il sito imita un ente autorevole, il flusso sembra normale — molti servizi pubblici richiedono davvero documenti — e l'urgenza abbassa la soglia di attenzione. Caricare un documento sembra un passo tecnico, non una cessione di informazioni sensibili. È precisamente questa normalità apparente che rende la truffa efficace.

Domande frequenti

Se ho caricato solo la carta d'identità senza selfie, il rischio è minore? Il documento da solo è già sufficiente per molti usi fraudolenti. Il selfie aggiunge la componente biometrica che alcuni provider richiedono, ma la sua assenza non rende il rischio trascurabile.

Come faccio a sapere se qualcuno ha già attivato uno SPID a mio nome? Puoi verificare direttamente presso i principali identity provider o contattare AgID. Non esiste ancora un registro centralizzato consultabile, ma ogni provider può controllare se il tuo codice fiscale è associato a un'identità attiva.

Devo aspettare che succeda qualcosa prima di agire? No. Le azioni preventive — segnalazione alla Polizia Postale, avviso alla banca, verifica SPID — hanno più senso prima che il danno si materializzi.

Posso sporgere denuncia anche senza aver subito un danno economico diretto? Sì. Il furto di identità è un reato anche prima che porti a un danno economico concreto. La segnalazione precoce è utile sia per prevenire che per documentare la catena degli eventi.

L'ente vero sa già che c'è stata questa truffa? Non necessariamente. Gli enti pubblici ricevono segnalazioni aggregate ma non sempre riescono ad avvisare ogni singola potenziale vittima. Vale sempre la pena contattarli in modo proattivo.

---

Per capire come riconoscere in anticipo i messaggi che chiedono documenti, leggi la guida su phishing SPID con richiesta di documenti e video.

Il quadro completo dei pattern legati a INPS, Agenzia Entrate e identità digitale è nella pagina sulle truffe enti pubblici.