Il furto di identità digitale rappresenta una minaccia sempre più diffusa, in ragione del fatto che i servizi informatici sono sempre più estesi nella vita quotidiana e la maggior parte delle attività sono condotte online, tramite strumenti tecnologici come il pc, lo smartphone o il tablet: tutte le informazioni che un utente inserisce, ad esempio all’interno di forum online, social network o piattaforme di e-commerce, sono esposte al rischio di essere sottratte da parte di criminali informatici.
Le probabilità di subire un furto di identità – “un reato perpetrato dall’autore di un attacco che utilizza la frode o l’inganno per ottenere informazioni personali o sensibili da una vittima e utilizzarle in modo illecito per agire a nome del malcapitato” – stanno quindi diventando sempre più frequenti e concrete. La sottrazione dei dati spesso avviene attraverso attacchi mirati che colpiscono le fasce della popolazione meno sensibilizzate a tale minaccia, o che hanno meno dimestichezza dei sistemi informatici
Furto d’identità: dati e danni del fenomeno
Secondo il Rapporto “Censis-DeepCyber” sulla sicurezza informatica in Italia, pubblicato in aprile 2022, l’81,7% degli utenti del web teme prima di tutto “di essere vittima di furti e violazioni dei propri dati personali sul web.” Dati alla mano, nel 2021 sono stati rilevati nel web “4,5 miliardi di dati sottratti a individui tra e-mail, carte di credito, Carte di Identità e passaporti”.
Secondo quanto dichiarato recentemente da Franco Gabrielli, Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, “il dominio cibernetico, attraverso la tecnologia, ci ha reso la vita più semplice, ma allo stesso tempo anche drammaticamente più fragile e vulnerabile.
Furto d’identità, come avviene e quali dati vengono trafugati
I criminali informatici, attraverso attacchi cyber (specialmente ransomware e phishing) o tecniche di social engineering sottraggono informazioni sensibili agli utenti, come password, numeri di telefono, Codici Fiscali, numeri di Carte di Identità o carte di credito che vengono poi riutilizzate immedesimandosi nelle vittime dei furti. Attraverso l’utilizzo di queste informazioni, infatti, gli autori del crimine possono per esempio effettuare acquisti online, avere accesso a informazioni sanitarie o finanziarie, accendere mutui, richiedere finanziamenti, intraprendere azioni legali a nome delle vittime, compiendo molto spesso reati.
Le modalità con cui questi attacchi e/o furti avvengono sono diverse ma raramente implicano passaggi singoli: al malintenzionato è sufficiente avere, per esempio pochi dati, come quelli di accesso alla mail, da usare successivamente per ottenere le password di tutti i servizi per cui l’indirizzo e-mail è stato inserito come metodo di recupero della chiave di sicurezza; un altro esempio è quello della SIM dei cellulari: se si attiva un numero di telefono a nome di qualcuno a cui si è stata rubata l’identità, quel numero può essere utilizzato in un secondo momento per registrarsi a tutti i servizi che lo usano come fattore di autenticazione.
Furto di identità online: ecco perché i danni del ritardo tecnologico del Paese li paghiamo tutti
I dati che interessano maggiormente ai criminali informatici sono: le informazioni anagrafiche, ovvero tutte quelle che permettono di impersonare un utente; le credenziali di accesso, ovvero gli abbinamenti di nome utente e password di servizi e piattaforme; informazioni bancarie, ovvero tutti quei dati che permettono l’accesso a conti correnti e carte di credito.
Il fattore tempo e la vendita dei dati
In questi casi di furto di identità digitale il problema più rilevante è spesso il tempo. Di fatto, la persona a cui vengono sottratti i dati non si accorge subito della violazione e ciò avviene solo più tardi e a fronte dell’evidenza di aver subito danni economici o a fronte di comunicazioni di reati da parte delle autorità competenti.
Un altro problema rilevante è la vendita sul dark web dei dati rubati, dove nella maggior parte dei casi sono inseriti in archivi preorganizzati che ne facilitano la reperibilità per il loro utilizzo in successivi attacchi: come spiegava Pierluigi Paganini, Cto di Cybaze e membro di Enisa, nel dark web “è possibile reperire archivi relativi a dati di utenti di un settore o una azienda specifica, oppure dati organizzati per distribuzione geografica”.
Le tipologie più diffuse di furti dell’identità digitale
Nel complesso, monitorando l’utilizzo che viene fatti dei dati sottratti a terzi, si possono distinguere due casistiche onnicomprensive delle motivazioni che spingono i criminali a rubare l’identità digitale di un soggetto pubblico o privato: nel primo caso per realizzare attività addossandone le conseguenze a qualcun altro; nel secondo caso per accedere a servizi o applicazioni da cui sottrare denaro o vendendo i dati esfiltrati per ricompense economiche.
Tra le tipologie più diffuse di furti dell’identità digitale si possono elencare le seguenti:
- la clonazione dell’identità di un soggetto per crearne una nuova;
- il furto dell’identità finanziaria allo scopo di utilizzare i dati identificativi di un utente (che può essere sia una persona fisica che una persona giuridica) per ottenere crediti, prestiti, accendere mutui o aprire nuovi conti correnti a nome della vittima;
- il furto dell’identità per compiere atti illeciti di varia natura, in vece della vittima;
- il furto dei dati personali di diversi utenti che vengono combinati per “costruire”, in tutto o in solo in parte, una nuova identità che risponda alle necessità dei criminali;
- il furto dell’identità per appropriarsi dei dati sanitari altrui per ottenere prestazioni mediche;
- l’appropriazione di identità di persone defunte; il furto dell’identità per impersonare qualcun altro che, tramite cellulari o piattaforme web, compie atti di disinformazione.
Le conseguenze economiche, morali e psicologiche per le vittime
Di fatto, i principali rischi a cui gli utenti del web sono esposti riguardano sia aspetti economici che morali e psicologici. Questi ultimi sono legati soprattutto allo stress emotivo provocato dall’impiego di energie e tempo per riuscire a risolvere le problematiche, talvolta anche legali, che scaturiscono dalle modalità in cui viene impiegata la propria identità.
La normativa a tutela delle vittime di furto d’identità
La normativa vigente disciplina il furto di identità e prevedendo due reati distinti: la sostituzione di persona, punito secondo l’Art.494 del Codice penale, e quello di frode informatica trattato dall’Art.640-ter del Codice penale.
Seppur l’art 640-ter c.p. contestualizza il reato di furto di identità nel mondo digitale, la vigente normativa non sembra essere del tutto al passo con i tempi. Alla digitalizzazione e alla sempre maggior connessione delle reti è corrisposto un uso massiccio di internet, testato inoltre durante la pandemia da Covid 19, come mezzo essenziale per lo svolgimento delle normali attività quotidiane. Nell’odierno contesto sociale, ancora profondamente interessato da una predilezione dei rapporti virtuali a quelli reali, il concetto di identità sembra essere entrato nel nuovo millennio acquisendo la più consona definizione di identità digitale.
Il concetto di digital person fu formulato già nel 1994 dal tecnologo Roger Clarke che la definì come un “modello di personalità individuale pubblica basato su dati e mantenuto da transazioni, destinato ad essere utilizzato su delega dell’individuo”. Clarke riteneva, già negli anni 90, che la nozione di identità digitale fosse utile e necessaria per maturare la giusta comprensione del nuovo mondo digitale.
Nel 2013 il ricercatore Arnold Roosendaal aggiornò la definizione di persona digitale contestualizzandola in una dimensione, quella cyber, che nel frattempo aveva subito grandi mutamenti: “Una persona digitale è la rappresentazione digitale di un individuo reale, che può essere connessa a questo individuo reale e comprende una quantità sufficiente di dati (rilevanti) per essere usata, in uno specifico ambito e ai fini del suo utilizzo, come delega dell’individuo”.
La giurisprudenza italiana sembra essersi conformata alle nuove sfide della comunità virtuale, adeguando il reato tradizionale di sostituzione di persona al nuovo contesto digitalizzato, laddove dopo aver riconosciuto la responsabilità penale dell’illecito, ne ha considerato più sfaccettature integrando il reato come nel caso della sentenza 18826/2013 con la quale la Corte di Cassazione ha stabilito, grazie a un’interpretazione estensiva dell’articolo 494 del Codice penale, che la sostituzione di persona si configura anche quando ci si immedesima in un altro individuo all’interno di una chat.
I due profili della tutela dell’identità personale
Alla stessa maniera, il legislatore ha considerato che la tutela dell’identità digitale debba considerare due profili: la tutela della privacy e la sicurezza informatica. Il Decreto del Presidente del Consiglio dei ministri del 24 ottobre 2014 chiarisce, infatti, all’Art. 1, lettera ‘o’, che “l’identità digitale – è – la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi”.
Una più ampia riflessione, tuttavia, impone di avere una visione onnicomprensiva, che consideri non solo la disciplina del reato ma anche i tempi e l’iter attraverso cui l’offesa dovrebbe essere punita. Se si valuta l’identità digitale alla stregua dell’identità reale, l’aggressione telematica dovrebbe essere punita con gli stessi tempi con cui si affronta quella personale, prevedendo un iter resiliente che, applicando i principi contemplati dalla nostra giurisprudenza, riesca a ripristinare lo status di una vittima velocemente.
Conclusioni
Dunque, la sicurezza di un’identità digitale deve essere garantita in termini di prevenzione ma anche di azione e remediation. La denuncia alle autorità di competenza dovrebbe innescare un effetto domino che interessi più ambiti. In tal senso, è esplicativo, per quanto esemplificativo, il recente caso di un informatico torinese che nel febbraio 2020 è stato vittima di un furto di identità digitale, i cui dati sono stati utilizzati per contrarre dei debiti, acquistare delle prestazioni che non sono mai state pagate, incorrendo in delle multe che non sono mai state saldate. Tale furto ha impedito al soggetto di acquistare un’auto, perché considerato cattivo pagatore e lo ha coinvolto in diverse vicende giudiziarie e amministrative, e a oggi lo vede indagato dalla Procura di Napoli.
L’incremento del reato di furto di identità digitale assume un carattere di urgenza: poiché le nuove fattispecie di illeciti legate all’evoluzione tecnologica richiede un intervento legislativo adeguato e perentorio, considerati anche i tempi di rilevazione dei reati dove il 54% dei casi viene scoperto entro 6 mesi, mentre i restanti casi di frode vengono intercettati anche anni dopo dalla loro effettiva attuazione.
