minacce digitali

Furto d’identità digitale: cos’è, come avviene e come tutelarsi

Password, numeri di telefono, codici fiscali, numeri di carte di identità o carte di credito: tutti questi nostri dati, finiti nelle mani sbagliate consentono ai malfattori di compiere atti illeciti a nostro nome. In che modo ci vengono sottratti, le tipologie di furto d’identità digitale più diffuse, le tutele normative

Pubblicato il 07 Nov 2022

Giulia Lodi

Senior Analyst Hermes Bay Srl

Laura Teodonno

Senior Analyst di Hermes Bay S.r.l.

identità_452076250

Il furto di identità digitale rappresenta una minaccia sempre più diffusa, in ragione del fatto che i servizi informatici sono sempre più estesi nella vita quotidiana e la maggior parte delle attività sono condotte online, tramite strumenti tecnologici come il pc, lo smartphone o il tablet: tutte le informazioni che un utente inserisce, ad esempio all’interno di forum online, social network o piattaforme di e-commerce, sono esposte al rischio di essere sottratte da parte di criminali informatici.

The Most Common Type of Digital Identity Theft - Bitdefender Cyberpedia

The Most Common Type of Digital Identity Theft - Bitdefender Cyberpedia

Guarda questo video su YouTube

Le probabilità di subire un furto di identità – “un reato perpetrato dall’autore di un attacco che utilizza la frode o l’inganno per ottenere informazioni personali o sensibili da una vittima e utilizzarle in modo illecito per agire a nome del malcapitato”  – stanno  quindi diventando sempre più frequenti e concrete. La sottrazione dei dati spesso avviene attraverso attacchi mirati che colpiscono le fasce della popolazione meno sensibilizzate a tale minaccia, o che hanno meno dimestichezza dei sistemi informatici

Furto d’identità: dati e danni del fenomeno

Secondo il Rapporto “Censis-DeepCyber” sulla sicurezza informatica in Italia, pubblicato in aprile 2022, l’81,7% degli utenti del web teme prima di tutto “di essere vittima di furti e violazioni dei propri dati personali sul web.” Dati alla mano, nel 2021 sono stati rilevati nel web “4,5 miliardi di dati sottratti a individui tra e-mail, carte di credito, Carte di Identità e passaporti”.

Secondo quanto dichiarato recentemente da Franco Gabrielli, Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, “il dominio cibernetico, attraverso la tecnologia, ci ha reso la vita più semplice, ma allo stesso tempo anche drammaticamente più fragile e vulnerabile.

Furto d’identità, come avviene e quali dati vengono trafugati

I criminali informatici, attraverso attacchi cyber (specialmente ransomware e phishing) o tecniche di social engineering sottraggono informazioni sensibili agli utenti, come password, numeri di telefono, Codici Fiscali, numeri di Carte di Identità o carte di credito che vengono poi riutilizzate immedesimandosi nelle vittime dei furti. Attraverso l’utilizzo di queste informazioni, infatti, gli autori del crimine possono per esempio effettuare acquisti online, avere accesso a informazioni sanitarie o finanziarie, accendere mutui, richiedere finanziamenti, intraprendere azioni legali a nome delle vittime, compiendo molto spesso reati.

Le modalità con cui questi attacchi e/o furti avvengono sono diverse ma raramente implicano passaggi singoli: al malintenzionato è sufficiente avere, per esempio pochi dati, come quelli di accesso alla mail, da usare successivamente per ottenere le password di tutti i servizi per cui l’indirizzo e-mail è stato inserito come metodo di recupero della chiave di sicurezza; un altro esempio è quello della SIM dei cellulari: se si attiva un numero di telefono a nome di qualcuno a cui si è stata rubata l’identità, quel numero può essere utilizzato in un secondo momento per registrarsi a tutti i servizi che lo usano come fattore di autenticazione.

Furto di identità online: ecco perché i danni del ritardo tecnologico del Paese li paghiamo tutti

I dati che interessano maggiormente ai criminali informatici sono: le informazioni anagrafiche, ovvero tutte quelle che permettono di impersonare un utente; le credenziali di accesso, ovvero gli abbinamenti di nome utente e password di servizi e piattaforme; informazioni bancarie, ovvero tutti quei dati che permettono l’accesso a conti correnti e carte di credito.

Il fattore tempo e la vendita dei dati

In questi casi di furto di identità digitale il problema più rilevante è spesso il tempo. Di fatto, la persona a cui vengono sottratti i dati non si accorge subito della violazione e ciò avviene solo più tardi e a fronte dell’evidenza di aver subito danni economici o a fronte di comunicazioni di reati da parte delle autorità competenti.

Un altro problema rilevante è la vendita sul dark web dei dati rubati, dove nella maggior parte dei casi sono inseriti in archivi preorganizzati che ne facilitano la reperibilità per il loro utilizzo in successivi attacchi: come spiegava Pierluigi Paganini, Cto di Cybaze e membro di Enisa, nel dark web “è possibile reperire archivi relativi a dati di utenti di un settore o una azienda specifica, oppure dati organizzati per distribuzione geografica”.

Le tipologie più diffuse di furti dell’identità digitale

Nel complesso, monitorando l’utilizzo che viene fatti dei dati sottratti a terzi, si possono distinguere due casistiche onnicomprensive delle motivazioni che spingono i criminali a rubare l’identità digitale di un soggetto pubblico o privato: nel primo caso per realizzare attività addossandone le conseguenze a qualcun altro; nel secondo caso per accedere a servizi o applicazioni da cui sottrare denaro o vendendo i dati esfiltrati per ricompense economiche.

Tra le tipologie più diffuse di furti dell’identità digitale si possono elencare le seguenti:

  • la clonazione dell’identità di un soggetto per crearne una nuova;
  • il furto dell’identità finanziaria allo scopo di utilizzare i dati identificativi di un utente (che può essere sia una persona fisica che una persona giuridica) per ottenere crediti, prestiti, accendere mutui o aprire nuovi conti correnti a nome della vittima;
  • il furto dell’identità per compiere atti illeciti di varia natura, in vece della vittima;
  • il furto dei dati personali di diversi utenti che vengono combinati per “costruire”, in tutto o in solo in parte, una nuova identità che risponda alle necessità dei criminali;
  • il furto dell’identità per appropriarsi dei dati sanitari altrui per ottenere prestazioni mediche;
  • l’appropriazione di identità di persone defunte; il furto dell’identità per impersonare qualcun altro che, tramite cellulari o piattaforme web, compie atti di disinformazione.

Le conseguenze economiche, morali e psicologiche per le vittime

Di fatto, i principali rischi a cui gli utenti del web sono esposti riguardano sia aspetti economici che morali e psicologici. Questi ultimi sono legati soprattutto allo stress emotivo provocato dall’impiego di energie e tempo per riuscire a risolvere le problematiche, talvolta anche legali, che scaturiscono dalle modalità in cui viene impiegata la propria identità.

La normativa a tutela delle vittime di furto d’identità

La normativa vigente disciplina il furto di identità e prevedendo due reati distinti: la sostituzione di persona, punito secondo l’Art.494 del Codice penale, e quello di frode informatica trattato dall’Art.640-ter del Codice penale.

Seppur l’art 640-ter c.p. contestualizza il reato di furto di identità nel mondo digitale, la vigente normativa non sembra essere del tutto al passo con i tempi. Alla digitalizzazione e alla sempre maggior connessione delle reti è corrisposto un uso massiccio di internet, testato inoltre durante la pandemia da Covid 19, come mezzo essenziale per lo svolgimento delle normali attività quotidiane. Nell’odierno contesto sociale, ancora profondamente interessato da una predilezione dei rapporti virtuali a quelli reali, il concetto di identità sembra essere entrato nel nuovo millennio acquisendo la più consona definizione di identità digitale.

Il concetto di digital person fu formulato già nel 1994 dal tecnologo Roger Clarke che la definì come un “modello di personalità individuale pubblica basato su dati e mantenuto da transazioni, destinato ad essere utilizzato su delega dell’individuo”. Clarke riteneva, già negli anni 90, che la nozione di identità digitale fosse utile e necessaria per maturare la giusta comprensione del nuovo mondo digitale.

Nel 2013 il ricercatore Arnold Roosendaal aggiornò la definizione di persona digitale contestualizzandola in una dimensione, quella cyber, che nel frattempo aveva subito grandi mutamenti: “Una persona digitale è la rappresentazione digitale di un individuo reale, che può essere connessa a questo individuo reale e comprende una quantità sufficiente di dati (rilevanti) per essere usata, in uno specifico ambito e ai fini del suo utilizzo, come delega dell’individuo”.

La giurisprudenza italiana sembra essersi conformata alle nuove sfide della comunità virtuale, adeguando il reato tradizionale di sostituzione di persona al nuovo contesto digitalizzato, laddove dopo aver riconosciuto la responsabilità penale dell’illecito, ne ha considerato più sfaccettature integrando il reato come nel caso della sentenza 18826/2013 con la quale la Corte di Cassazione ha stabilito, grazie a un’interpretazione estensiva dell’articolo 494 del Codice penale, che la sostituzione di persona si configura anche quando ci si immedesima in un altro individuo all’interno di una chat.

I due profili della tutela dell’identità personale

Alla stessa maniera, il legislatore ha considerato che la tutela dell’identità digitale debba considerare due profili: la tutela della privacy e la sicurezza informatica. Il Decreto del Presidente del Consiglio dei ministri del 24 ottobre 2014 chiarisce, infatti, all’Art. 1, lettera ‘o’, che “l’identità digitale – è – la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi”.

Una più ampia riflessione, tuttavia, impone di avere una visione onnicomprensiva, che consideri non solo la disciplina del reato ma anche i tempi e l’iter attraverso cui l’offesa dovrebbe essere punita. Se si valuta l’identità digitale alla stregua dell’identità reale, l’aggressione telematica dovrebbe essere punita con gli stessi tempi con cui si affronta quella personale, prevedendo un iter resiliente che, applicando i principi contemplati dalla nostra giurisprudenza, riesca a ripristinare lo status di una vittima velocemente.

Conclusioni

Dunque, la sicurezza di un’identità digitale deve essere garantita in termini di prevenzione ma anche di azione e remediation. La denuncia alle autorità di competenza dovrebbe innescare un effetto domino che interessi più ambiti. In tal senso, è esplicativo, per quanto esemplificativo, il recente caso di un informatico torinese che nel febbraio 2020 è stato vittima di un furto di identità digitale, i cui dati sono stati utilizzati per contrarre dei debiti, acquistare delle prestazioni che non sono mai state pagate, incorrendo in delle multe che non sono mai state saldate. Tale furto ha impedito al soggetto di acquistare un’auto, perché considerato cattivo pagatore e lo ha coinvolto in diverse vicende giudiziarie e amministrative, e a oggi lo vede indagato dalla Procura di Napoli.

L’incremento del reato di furto di identità digitale assume un carattere di urgenza: poiché le nuove fattispecie di illeciti legate all’evoluzione tecnologica richiede un intervento legislativo adeguato e perentorio, considerati anche i tempi di rilevazione dei reati dove il 54% dei casi viene scoperto entro 6 mesi, mentre i restanti casi di frode vengono intercettati anche anni dopo dalla loro effettiva attuazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati