Il dibattito sulla sicurezza dell’identità digitale si concentra quasi sempre sul furto delle credenziali: password sottratte, phishing, malware, accessi non autorizzati, compromissione dell’account SPID già in uso dal cittadino. Tutto corretto, naturalmente. Ma forse stiamo guardando solo una parte del problema.Esiste uno scenario più sottile e, per certi versi, più insidioso: non rubare l’identità digitale esistente di una persona, ma crearne una nuova, parallela, formalmente valida, intestata alla stessa persona e controllata da un soggetto diverso dal reale titolare.Potremmo chiamarlo Digital Identity Shadowing: la creazione di un’identità digitale “ombra”, perfettamente spendibile nei processi fiduciari, ma invisibile o comunque non immediatamente percepibile dal cittadino che ne subisce l’abuso.Il punto non è demonizzare SPID. Sarebbe una lettura superficiale e tecnicamente scorretta. SPID è un’infrastruttura fondamentale della trasformazione digitale italiana e ha abilitato milioni di cittadini all’accesso ai servizi pubblici e privati online. Il problema non è lo strumento in sé, ma la governance complessiva della fiducia digitale, soprattutto quando più processi indipendenti vengono concatenati tra loro.Un cittadino può avere più identità SPID, anche presso gestori diversi. Questa non è una vulnerabilità, ma una caratteristica del modello federato. La criticità nasce quando questa molteplicità non è accompagnata da una visibilità altrettanto forte, semplice e centralizzata per il cittadino.Se una nuova identità digitale viene rilasciata su un codice fiscale già associato ad altre identità, il legittimo titolare dovrebbe poterlo sapere in modo certo, tempestivo e tramite canali indipendenti da quelli dichiarati nella nuova registrazione.Indice degli argomenti