Nuova puntata dell’esclusiva rubrica #LegallyIT costruita in collaborazione con TD SYNNEX e Colin & Partners.
Un appuntamento dedicato al furto d’identità per scoprire tutto quello che c’è da sapere in caso di furto d’identità, cosa rischiamo e, sopratutto, cosa fare.
Sapere che qualcun altro ha ottenuto illegalmente benefici o acquistato beni a nostro nome è forse una delle esperienze peggiori che ci possano capitare. Il furto d’identità, infatti, va a colpire innanzitutto la nostra persona, provocando anche conseguenze significative economiche e dal punto di vista dell’immagine.
Ma quando siamo esattamente in presenza del furto d’identità? Definizioni alla mano, questa fattispecie si verifica quando qualcuno acquisisce le informazioni personali di un’altra persona, al fine di sostituirsi in tutto o in parte alla stessa e compiere azioni illecite in suo nome o ottenere credito tramite false credenziali. L’obiettivo di questa azione, solitamente, è quello di commettere una frode, oppure di danneggiare la reputazione altrui. Naturalmente le informazioni personali sottratte possono essere molteplici (dal numero della nostra carta di credito alla carta d’identità, cc), così come anche le frodi messe in atto con questo comportamento.
I numeri del furto d’identità
Un primo aspetto da sottolineare è che il furto d’identità è tutto tranne che un fenomeno recente: da sempre i malintenzionati hanno cercato di spacciarsi per qualcun altro con l’obiettivo di ottenerne illeciti vantaggi. Non c’è dubbio, però, come il boom del furto d’identità sia strettamente connesso ai nostri tempi fortemente digitalizzati. Secondo i dati del nuovo “Osservatorio sulle Frodi Creditizie e i furti di identità” realizzato da CRIF-MisterCredit, sono stati censiti nel nostro Paese ben 11.200 casi nei primi sei mesi del 2020, con un danno stimato di oltre 65 milioni di euro. L’importo medio della singola frode è cresciuto del 24,2% raggiungendo i 5.792 euro, ovvero una cifra decisamente importante e significativa.
Come avviene il furto d’identità
Ma in che modo avviene oggi il furto d’identità? Le casistiche sono estremamente numerose e vanno dall’accesso o l’acquisizione dei nostri dati da parte di terzi non autorizzati, al furto o la perdita di dispositivi informatici contenenti dati personali, passando da veri e propri attacchi esterni, legati alle azioni del cybercrime, come virus, malware, ecc.
In realtà molto spesso siamo noi stessi, con i nostri comportamenti incauti sul web (magari sui social), a spianare la strada agli autori di questi furti: molte volte per attuare la frode è sufficiente ottenere il nome, il cognome e l’indirizzo di un soggetto, la sua data e luogo di nascita, il suo indirizzo di casa o anche soltanto il suo codice fiscale. Oppure, disseminando indizi con facilità, diventa semplice ricostruire le nostre password di accesso ai servizi on line (come ad esempio le date di nascita dei figli).
Inoltre, sempre più spesso, i cybercriminali possono contare su programmi automatici che sono in grado di svolgere massivamente la ricerca di password personali. Un grande pericolo per le nostre identità personali è poi rappresentato dal Phishing, una tecnica di social engineering particolarmente insidiosa: in questo caso l’utente riceve delle comunicazioni mail in apparenza del tutto attendibili, venendo così spinto a rilasciare in perfetta buona fede informazioni personali, come password, numeri di carte di credito e così via.
Come difendersi dal furto d’identità
In altri casi, il furto di identità è frutto della violazione di server e database aziendali, di cui spesso le organizzazioni si accorgono soltanto a distanza di diversi mesi, se non addirittura di anni: questi veri e propri data breach permettono agli hacker di impadronirsi di numeri ID, password, indirizzi, numeri di passaporto, informazioni sulla carta di credito e tanto altro ancora, che poi possono essere magari rivendute sul Dark Web, mettendo ulteriormente a rischio le nostre identità personali.
Le regole per ridurre il rischio di cadere vittima di un furto di identità on line sono simili a quelle più generali della sicurezza informatica. Innanzitutto il consiglio base è quello di dotarsi di Antivirus e di Firewall, aggiornandoli periodicamente, così da limitare i tentativi di sottrazione dei nostri dati personali. Ovviamente è importante evitare di rivelare eccessive informazioni sul nostro conto sui social network, così da impedire agli hacker di approfittarne per scopi illeciti.
Allo stesso tempo, per evitare i problemi del Phishing, occorre ricordarsi che banche e organizzazioni non chiedono mai di ricevere informazioni personali via mail, dunque è bene cestinare questo tipo di messaggi anziché rispondere. Cruciale per la protezione dei dati personali è la scelta di password forti e non intuibili, senza mai inviarle a qualcuno.
Cosa dice il GDPR
Il furto d’identità ha a che fare con i nostri dati personali, dunque risponde in Europa a una normativa estremamente nota, vale a dire il GDPR, la normativa europea sulla privacy. In particolare viene stabilito che le violazioni di dati personali (data Breach) che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, vanno tramesse dal titolare del trattamento entro 72 ore dal momento in cui ne ha avuto conoscenza al Garante nazionale per la protezione dei dati personali.
Tra le casistiche rientra la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Ma soprattutto, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. Insomma, per salvaguardare i propri utenti ma anche per evitare le salate multe previste dal GDPR, i titolari dei trattamenti dei dati (ossia molto spesso le aziende) devono dimostrare di aver fatto il possibile – da un punto di vista tecnico e organizzativo – per evitare il furto d’identità.