Furto di identità: come tutelarci nell’era del “Yahoo Data Breach”

0

La vicenda risale a 2 anni fa, ma solo ieri Yahoo ha reso noto di aver subìto il più colossale “data breach” mai ricordato prima.

Nella comunicazione agli utenti di ieri, infatti, il colosso informatico ha ammesso che più di 500 milioni di profili di ignari utenti sono stati violati da sconosciuti hackers ma, a detta della stessa Yahoo, si tratterebbe di un’azione sponsorizzata da un tuttora sconosciuto Stato finanziatore.

Gli account violati includerebbero nomi, indirizzi, numeri di telefono, date di nascita, password e, in alcuni casi, anche domande di sicurezza, criptate e non.

Gli utenti di Yahoo dovranno immediatamente cambiare le proprie password di accesso e le domande di sicurezza.

L’unica “consolazione” è che, a quanto riferisce Yahoo, non sarebbero stati violati dati bancari e finanziari, quali numeri di carte di credito e di conti correnti bancari.

Sul caso sta indagando l’FBI ma già contro il colosso dell’informatica si stanno  preparando maree di class action in tutto il mondo per mancata adozione di protocolli di sicurezza idonei ad evitare disastri del genere e e per la mancata segnalazione alle autorità preposte (da noi il Garante della privacy e la Procura della Repubblica). Si ricorda, infatti, che il data breach risale al 2014.

Furto di identità

La volatilizzazione e la digitalizzazione delle nostre informazioni personali, se da un lato facilitano la nostra esistenza, permettendoci, ad esempio, di compiere transazioni economiche e/o finanziarie comodamente seduti sul divano con il nostro tablet in mano, dall’altro ci espongono ad eventualità sconosciute fino ad un passato recente.

Le nostre informazioni personali (digitali e no) potrebbero finire nelle mani sbagliate (leggasi furto di identità) e causarci ingenti danni, di immagine ma anche di natura strettamente patrimoniale.

Il furto di identità è un illecito (penale e civile) insidioso e, soprattutto, molto sottovalutato.

Esso, infatti, è molto difficile da prevenire e da combattere: inoltre, c’è ancora troppa scarsa informazione e poca normativa in merito.

In Italia negli ultimi anni si sono verificati oltre 25.000 casi di furto di identità, per un valore di oltre 20 milioni di euro.

Quello alla protezione dei propri dati personali è un diritto fondamentale (art. 1 del D.Lgs. 196/2003 – Codice in materia dei dati personali) che attribuisce ad ogni individuo il diritto di pretendere che l’utilizzo dei propri dati personali si svolga nel rispetto dei sui diritti e delle sue libertà personali nonché della sua dignità, con particolare riferimento alla riservatezza, alla identità personale e al diritto alla protezione dei dati personali.

La nozione di “identità digitale” ha fatto ingresso per la prima volta nel nostro ordinamento con il D.L. 93/2013 che ha introdotto all’art. 640 – ter cod. pen. (frode informatica) una circostanza aggravante, se “il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti”. Trattasi di una aggravante a effetto speciale, posto che viene prevista la pena della reclusione da 2 a 6 anni e la multa da Euro 600 a Euro 3.000.

Cosa si intende per “identità” e per “identità digitale”? 

Identità ed identità digitale sono termini molto simili ma che, tuttavia, presentano delle profonde differenze. Esaminiamole insieme.

Identità: senso e la consapevolezza di sé, come entità distinta dalle altre. Essa è l’insieme del complesso delle caratteristiche fisiche e dei dati anagrafici che contraddistinguono un individuo da un altro.

Identità Digitale: insieme di dati che descrivono in modo univoco una persona o una cosa ma anche informazioni sulle relazioni esistenti tra il soggetto ed altre identità.

Il furto dell’identità digitale

È fondamentale, prima di parlare dei vari escamotage individuati da abili truffatori, fare presente che nel corso degli ultimi anni in Italia (ma anche all’estero) sono state adottate nuove misure di prevenzione rispetto al fenomeno delle frodi di identità. È lo stesso sistema bancario che, ad esempio, ha aumentato la propria sicurezza informatica utilizzando il c.d. “sistema di alert tramite” e -mail o sms.

Tuttavia, c’è ancora tanta strada da percorrere al fine di garantire la massima tutela del consumatore, il quale molto spesso viene qualificato come l’unico responsabile del danno subìto (ingenuità, mancata conservazione e/o distruzione in modo corretto delle proprie carte di credito, apertura inavvertita di una e -mail sospetta e pericolosa, ecc.).

È un percorso lungo e lastricato di buone intenzioni, in quanto abbiamo di fronte una enorme ingegnosità criminale.

Il furto di identità (Id – theft) viene definito come una condotta di un soggetto attuata mediante l’impersonificazione totale e/o parziale di un altro soggetto.

Si verifica un furto di identità, in altre parole, quando una informazione individuale, di una persona fisica o giuridica, è ottenuta in modo fraudolento da un soggetto criminale, il quale agisce con lo scopo di assumere l’identità altrui per commettere fatti illeciti.

Esso determina alla vittima un danno patrimoniale ed anche un danno non patrimoniale, in cui è possibile far rientrare anche la voce di danno da “sacrificio di tempo libero”, ossia l’impegno di tempo ed energie necessari per risolvere i problemi legali e burocratici determinati dalla frode.

Come già detto, il furto di identità può colpire anche le imprese, le quali hanno sì il dovere di tutelarsi ma hanno anche quello di tutelare i propri dipendenti, fornitori e clienti.

Per tale ragione esse debbono adottare particolari misure di sicurezza a tutela delle informazioni aziendali attraverso una corretta gestione e archiviazione e, soprattutto, distruzione dei documenti che riguardano dati sensibili propri o di terzi. Si ricorda, infatti, che ai sensi dell’art. 2050 del cod. civ. l’impresa è responsabile per i danni causati a terzi in caso di non corretto trattamento dei dati sensibili; inoltre, nel caso di specie vige l’inversione dell’onere della prova, per cui sarà l’impresa stessa, chiamata a risarcire i danni causati a terzi, a dover dimostrare di aver gestito correttamente i dati stessi.

Tornando alle varie tecniche e tipologie di furto di identità digitale (data breach vari a parte), è possibile stilare un elenco delle principali modalità attraverso le quali tali furti avvengono:

  • Social Engineering (S.E.): tecniche psicologiche che sfruttano l’ingenuità e la buona fede degli utenti per carpire informazioni utili a portare a termine attacchi tecnologici a sistemi informatici mediante una impersonificazione;
  • Phishing: forma di S.E. consistente nella creazione e nell’uso di e – mail e siti web ideati per apparire come e – mail e siti web istituzionali aventi lo scopo di raggirare gli utenti internet di tali enti e carpire loro le informazioni personali riguardanti il proprio account;
  • Vishing o Voice Vishing: richiesta di contattare un falso recapito telefonico per poi carpire i dati personali;
  • Malicious Code: software che ha come obiettivo il danneggiamento o l’alterazione del funzionamento di un sistema informatico;
  • Spoofing: tecnica consistente nel falsificare l’origine della connessione internet di modo tale da far credere di essere un soggetto o un sistema diverso da quello reale;
  • Man in the middle: attacco informatico che si consuma nel dirottare il traffico generato durante la comunicazione tra due host connessi alla stessa rete verso un terzo host. Durante l’attacco informatico il terzo host si frappone tra le comunicazioni tra i due end – point ed intercetta il flusso di dati che si scambiano riuscendo a far credere loro di essere il rispettivo legittimo interlocutore;
  • Sniffing: operazione di intercettazione passiva delle comunicazioni al fine di rubare dati personali, come password, messaggi, transazione economico – finanziarie attraverso strumenti informatici denominati sniffer;
  • Pharming: costruzione di pagine web identiche a siti già esistenti (come quelli di banche, imprese assicurative, ecc.) in modo che l’utente sia convinto di navigare nel sito della propria banca o assicurazione ed inserire i propri dati personali;
  • Password cracking: software che effettuano tentativi di accesso ad aree riservate di istituti bancari con accesso via web e che provano ad accedere con password generate secondo predefiniti algoritmi;
  • Skimming: clonazione di una o più carte di credito mediante un’apparecchiatura elettronica, durante l’uso in un esercizio commerciale o in occasione di un prelievo di danaro presso uno Atm; l’apparecchiatura consente di conoscere tutti i dati necessari e di utilizzare la carta clonata senza necessità di appropriarsi interamente dell’identità della vittima. Il kit di montaggio dello skimmer può addirittura essere reperito facilmente su internet;
  • Spamming: forma pubblicitaria sfruttata per indurre a cliccare su un link o scaricare file che, all’insaputa dell’utente, installano automaticamente software malevoli sul pc della vittima;
  • Keylogging: software che infetta il pc attraverso un malware, senza danneggiare programmi ma intercettando quanto viene digitato dalla vittima sulla tastiera. Il keylogger hardware è installato tra la tastiera e il pc e ha le sembianze di un adattatore o di un cavo;
  • Spoofing: tecnica basata sull’utilizzo della posta elettronica di ignare vittime;
  • Trashing o bin raiding: utilizzo dei dati personali della vittima, rubando dalla sua spazzatura (cestino) tutta la documentazione eliminata, spesso contenente dati riservati come codice fiscale o numero di conto corrente;
  • Dumpster diving: evoluzione del trashing, consistente nel furto di quanto viene gettato nei cassonetti e nelle discariche.

Furte di identità e frodi informatiche: come avvengono?

Esistono due grandi categorie di modalità di furto di identità digitale: sottrazione di danaro (90% del totale dei casi di furto di identità) e danneggiamento della reputazione della vittima.

Una volta compiuto il furto, i criminali, con la nuova identità, possono aprire un conto corrente bancario, emettere assegni contraffatti sino a prosciugare il conto della vittima, acquistare e noleggiare auto o moto, elettrodomestici ed altri beni in genere, anche a rate e con finanziaria; i criminali possono scrivere alla banca della vittima e modificare le sue coordinate bancarie: gli estratti conto saranno, quindi, inviati al nuovo indirizzo, rendendo molto difficile scoprire il reato che si sta commettendo ai nostri danni con la nostra identità digitale violata.

Quali tutele?

Purtroppo, come detto in apertura dell’articolo, in Italia il problema è molto sottovalutato.

La legislazione sul furto di identità e sulle frodi informatiche è molto limitata:

  • 494 cod. pen. (sostituzione di persona) – sanzione massima: 1 anno di reclusione;
  • art. 55, comma 9, del D.lgs. 231/2007 di recepimento della Direttiva 2005/60/CE;
  • 1 del Codice della Privacy, che prevede che tutti i dati personali costituiscono diritti inviolabili;
  • 12/2012 “Norme in materia di misure per il contrasto ai fenomeni di criminalità informatica” che prevede come sanzione la confisca e la destinazione di beni informatici e/o telematici utilizzati per la commissione dei reati informatici perpetrati.

A fronte di un “quasi” vuoto normativo, la magistratura negli anni si è fatta carico di ricondurre molteplici condotte criminali all’interno di diverse fattispecie di reato, quali la diffamazione, l’ingiuria aggravata, la falsità materiale in scrittura privata o la sostituzione di persona.

Per quanto riguarda il settore creditizio, è operante la banca dati sulle carte di credito. Essa è istituita, infatti, presso l’Ucamp (Ufficio centrale antifrode mezzi di pagamento) del MEF, ossia presso un archivio informatico destinato a rafforzare la sicurezza del circuito di utilizzo dei mezzi di pagamento elettronici e l’espulsione dal circuito stesso degli esercenti che accettano mezzi di pagamento clonati o contraffatti.

Cosa fare?

Il Ministero della Difesa (www.difesa.it) suggerisce di:

  • bloccare le carte di credito e tutti i conti correnti;
  • contattare il Dipartimento di sicurezza o antifrode delle banche con i quali intercorrono rapporti, comprese le società di emissione delle carte di credito o di debito, le aziende di servizi pubblici, i provider di servizi internet e tutti i luoghi in cui la carta di credito o di debito viene “strisciata”;
  • in caso di sospetto reato informatico, contattare immediatamente la Polizia postale al fine di effettuare una denuncia online;
  • inviare alla Polizia postale, a seguito della denuncia online, una raccomandata con ricevuta di ritorno;
  • modificare le password di tutti i conti online e, in generale, di tutti i siti web in cui abbiamo salvato la nostra password (e-mail, blog, ecc.).

Consigli pratici e soluzioni: Cosa fare se…

  • mi viene rubata una foto e poi ripubblicata in rete su altri siti: ai sensi dell’art. 7 del codice della Privacy, è possibile inoltrare una richiesta formale al sito in questione per accedere ai propri dati ed ottenere la cancellazione degli stessi. qualora ciò non dovesse avvenire, ai sensi dell’art. 141 del Codice della Privacy è possibile rivolgersi con un ricorso direttamente al Garante della Privacy. Inoltre, è necessario sporgere denuncia presso l’autorità di sicurezza più vicina;
  • mi viene rubata la password della e – mail, del profilo Facebook, del profilo Google+ o del profilo Twitter: recarsi presso la più vicina autorità di sicurezza per sporgere una denuncia per accesso telematico abusivo e/o per sostituzione di persona. Occorrerà, inoltre, richiedere ai siti web interessati la rimozione del falso profilo utilizzando i loro canali interni di segnalazione
  • viene utilizzata una mia foto senza consenso sul profilo di un social network di un’altra persona: utilizzare il link del centro assistenza del social network per far rimuovere le foto rubate.

Come (cercare di) evitare il furto di identità…

  • utilizzare tutte le opzioni di sicurezza disponibili;
  • prendere precauzioni quando si forniscono i propri dati personali e controllarli, se possibile, sia online sia contattando la società;
  • non rispondere allo spam e ignorare i link contenuti nelle e – mail;
  • non utilizzare la modalità “anteprima” nel client di posta elettronica: infatti, l’opzione anteprima apre il messaggio di posta e comunica agli spammer che la loro e -mail è andata a buon fine! Quando si controlla la nostra casella di posta è possibile capire se trattasi di spam anche solo dall’oggetto;
  • utilizzare indirizzi e -mail secondari per i moduli web e comunicare l’indirizzo e – mail principale solo a parenti ed amici fidati;
  • non cliccare sui pop up, potrebbero auto installarsi virus e malaware;
  • diffidare di società non conosciute e accertarsi della veridicità del sito web prima di inserire dati personali;
  • stare attenti alle informazioni che si pubblicano sul web, specialmente sui forum: non dare mai informazioni private per e – mail o per telefono;
  • usare e aggiornare periodicamente gli antivirus e i firewall;
  • sminuzzare tutti i propri documenti che contengono informazioni su conti correnti o carte di credito;
  • conservare le informazioni sensibili in file e directory protetti con password;
  • utilizzare software di gestione password, in modo da compilare automaticamente le informazioni di accesso;
  • effettuare transazioni finanziarie online solo su siti web sicuri con URL che iniziano con “https”;
  • cambiare regolarmente le proprie password e non usare sempre la stessa password su siti web diversi;
  • fare un uso smart dei social network: se partite per le vacanze, mai comunicare quanto tempo si starà fuori casa!
  • fare attenzione agli sms con auguri nei periodi di festa: anche gli sms possono contenere virus, link a servizi indesiderati, ad abbonamenti a pagamento, ecc.;
  • diffidare dalle offerte di sconti straordinari su viaggi e regalie varie da ottenere compilando determinati moduli online;
  • utilizzare il wi-fi fuori casa ma con prudenza! Infatti le connessioni offerte da locali e hotel potrebbero non essere protette e, di conseguenza, rendere i nostri pc, tablet e/o smatphone facilmente attaccabili da malintenzionati;
  • installare firewall e antivirus anche su tablet e smartphone.

Questo elenco di suggerimenti, seppur lungo, non è tuttavia esaustivo, poiché le tecnologie avanzano e con esse avanzano anche nuovi metodi di frodi e di furti di dati sensibili per ricreare nuove identità digitali o per sostituire la nostra identità digitale.

L’unica vera ed efficace arma per proteggersi è l’”autotutela”: un po’ di buon senso.

Vincenzo Di Ciò

Replica

la tua email non verrà pubblicata

Puoi usare HTML e attributi : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Questo sito utilizza cookie. Utilizzando il sito in qualunque forma, accetti l'utilizzo dei cookie da parte nostra maggiori informazioni

Masterlex.it fa uso di cookie tecnici per ricordare la scelta dell'utente, cookie di profilazione e di terze parti pertanto si richiede il consenso nella qualità di intermendiari tecnici. Procedendo con la navigazione in qualunque maniera anche facendo scroll o mediante accesso ad altra area del sito comporta la prestazione del consenso all'uso dei cookie. Continuando a utilizzare questo sito o cliccando su "Accetta" permetti al loro utilizzo. Consulta L'informativa Estesa per maggiori informazioni

Chiudi