Il furto d'identità digitale: come difendersi
Da quando internet ha iniziato a far parte della nostra vita, navighiamo online, in un mondo parallelo, con una vera e propria identità digitale. I nostri dati sono salvati e le nostre informazioni sono accessibili e condivise per poter svolgere determinate azioni.
Ma sappiamo davvero cosa può succedere alla nostra identità digitale nel momento in cui alcune informazioni ci vengono rubate?
Il furto d’identità è un crimine che ha visto una fortissima impennata: solo nel 2021, sono 11,11 milioni gli italiani vittime di furto di dati e credenziali, inoltre l’Italia è al dodicesimo posto tra tutti i paesi al mondo in termini di account violati.
Facciamo però un passo indietro e indaghiamo la tipologia di crimine.
Il furto d’identità
Il furto d’identità è una pratica per cui un utente finge di essere qualcun altro per eseguire operazioni ed azioni spesso illegali e/o che possono creare danni alla vittima e vantaggi al truffatore.
L’identità può essere sia personale, e fa riferimento alla rappresentazione dell’individuo in relazione al contesto sociale, sia digitale, cioè l’insieme delle risorse digitali che vengono associate in maniera univoca ad una persona fisica.
Per il furto d’identità digitale sono diverse le modalità utilizzate dai cyber criminali. Generalmente si fa leva sulla disattenzione o sull’inesperienza dell’utente.
Social engineering è il termine utilizzato per far riferimento a tutte quelle tecniche che spingono l’utente a compiere un determinato gesto, per esempio il click sul link contenuto all’interno di una mail, che è propedeutico al furto di informazioni sensibili.
In genere le informazioni più richieste dai cyber criminali riguardano:
- I dati anagrafici che permettono di identificare un utente;
- I dati bancari che permettono di ottenere l’accesso a conti e carte di credito;
- Le credenziali di accesso, cioè nome utente e password, che vengono usate per accedere a diversi servizi.
In Lombardia
La situazione è in grave discesa poiché, se nel 2021 i numeri relativi a furti d’identità, solo in Lombardia, risultavano 2800, dall’inizio del nuovo anno ad oggi sono già stati registrati 3300 casi.
Una media di quasi nove casi al giorno, che vede Milano l’area con più attacchi messi a segno, seguita da Brescia, Bergamo e Varese.
Se si parla di numeri, va sottolineato che sono cresciuti sensibilmente i furti sotto i 1500 euro, con circa il 52% rispetto all’anno precedente. I maxi-furti (tra 5 e 10 mila euro), inoltre, sono passati dal 9.6% al 14%.
Nel 34% dei casi, il furto di dati si conclude con l’attivazione di un prestito finanziario, anche se sono cresciute del 59% anche le frodi sulle carte di credito.
(I dati sopra riportati fanno riferimento alle ricerche “Osservatorio sulle Frodi Creditizie e furti d’identità” da CRIF-Mister Credit)
È possibile evitare il furto d’identità?
Vogliamo sottolineare che un attacco informatico che può portare al furto d’identità digitale non è un evento totalmente evitabile. Esistono però alcune azioni che possono aiutarci a prevenirlo:
- Password sicure: non utilizzare le stesse password per più account e creare delle password con almeno 12 caratteri che contengano maiuscole, minuscole, numeri e caratteri speciali.
- Attenzione alla ricezione di mail o SMS che possono essere campagne phishing: se una mail o un SMS ci sembrano sospetti, meglio controllare direttamente dal sito ufficiale dell’azienda impersonata per verificare se si tratta di phishing oppure no.
- Attenzione quando si inseriscono i propri dati sensibili: inserire i propri dati solamente su siti che riteniamo affidabili e accedendo direttamente dal sito ufficiale.
- Utilizzare una VPN: cioè una connessione in cui viene creata una rete privata che garantisce privacy, anonimato e sicurezza dei dati attraverso un canale di comunicazione.
Nel grafico sottostante è possibile vedere quali sono i maggiori tipi di furto d’identità: circa il 32%, cioè la fetta più grande, riguarda la frode delle carte di credito, ma è sicuramente da non sottovalutare anche il 14.4% collegato alle frodi finanziarie.
Fonte: Nordvpn
Essendo un fenomeno sempre più diffuso, il Dipartimento della giustizia degli Stati Uniti ha pubblicato un documento in cui analizza il fenomeno.
Guardando oltre oceano, secondo il report, le perdite finanziarie dovute al furto d’identità hanno superato i 15 milioni di dollari; il 7% delle vittime ha denunciato il furto alla polizia, mentre l’88% ha preso contatto con la banca solo una volta venuto a conoscenza del furto.
Il furto d’identità digitale e il nostro sistema legale
Il furto di identità digitale è un reato connotato da una grande zona d’ombra dovuta alla difficile identificabilità dell’utente che si appropria di dati non suoi. Questo tipo di reato sta dando vita ad una vera e propria emergenza sociale a causa delle conseguenze non prevedibili che possono essere innescate da un’avvenuta sostituzione di persona.
Il problema nasce dal fatto che un controllo sull’identità reale di chi compie determinate azioni dietro ad un monitor (iscriversi ad un social network, utilizzare dati per compiere azioni finanziarie etc.) non esiste.
Dal canto suo, la giurisprudenza, nell’adeguarsi al cambiamento sociale, ha riscontrato e riscontra considerevoli difficoltà procedurali nel mantenersi al passo con la realtà e con l’evoluzione delle tecniche di un mondo così fluido come è quello digitale.
Basti pensare che ad oggi risulta ancora difficile far rientrare il phishing nel reato di sostituzione di persona per diversi motivi:
- Nella maggior parte dei casi il mittente non si sostituisce a una persona fisica, ma ad una giuridica (banca, poste…) e quindi tecnicamente non sussiste la sostituzione all’altrui “persona”
- Talvolta non c’è un’attribuzione di “falso nome”, ma l’utilizzo delle credenziali di accesso (username e password) di qualcun altro, che è una condotta ben diversa
- È difficilmente configurabile anche “l’induzione in errore” da parte dell’autore, perché l’accredito delle somme o l’acquisizione delle credenziali avvengono attraverso sistemi automatizzati o l’installazione di software spia.
Il fatto che sia difficile identificare in prima battuta gli autori di questi reati, fa sì che sia ancora più difficile dimostrare che non siamo stati noi a compiere determinate azioni.
La denuncia per disconoscere i documenti su cui si fondano queste evidenze non presenta un iter semplice.
Si tratta quindi di reati che vengono sì ricondotti ad altri reati esistenti, ma con ancora una difficoltà e un disaccordo da parte della dottrina su diversi punti.
Perché, però, è concretamente difficile procedere?
Ad esempio, se anche in astratto sono abbastanza chiari i requisiti della “prova” che bisogna dare per dimostrare il furto, in realtà avere tempestività e correttezza per ottenere la “digital evidence” (prove del furto, ma anche delle prime evidenze da allegare alla denuncia) è tutto meno che facile.
Se non si riesce, per esempio, a risalire all’IP di un profilo falso o comunque a ricollegarsi alla persona fisica che si trova dietro al profilo, non si può ricondurre il reato all’autore e quindi, secondo la Corte di Cassazione, gli eventuali indizi non sono sufficienti per dichiarare che il reato sussiste.
Non è tutto: spesso per ottenere l’IP dell’autore del reato occorre la collaborazione internazionale del provider che non solo non è scontata, ma dato il vuoto normativo esistente, non è nemmeno esigibile.
Esiste tra l’altro un problema di rapporti tra norme diverse: ciò che è un reato per un paese UE può non esserlo per un paese extra-UE, come nel caso della diffamazione. Non ci sono organismi transnazionali di natura regolatoria; manca la tempestività dell’intervento per evitare la viralità del contenuto.
Denunciare un furto d’identità
Nel caso fossi vittima di furto d’identità, il corpo istituito e a cui fare affidamento è la Polizia Postale. Tra le forze dell’ordine, è la più adatta per la persecuzione dei reati relativi al web ed al digitale. Il furto d’identità è sempre un reato, per questo il consiglio è quello di denunciare simili attività direttamente tramite il form che si trova sul sito ufficiale