Furto di identità online: tutti i pericoli di Internet

Internet è una risorsa di comunicazione, informazione e formazione. È uno strumento attraverso cui è possibile costruire relazioni sociali e di lavoro e rapportarsi con la Pubblica Amministrazione e con il mercato. La Rete nasconde anche pericoli. Tentativi di furto di identità online si susseguono senza soluzione di continuità. Le tecniche impiegate dai criminali informatici sono molteplici e in continua evoluzione. Le minacce e i rischi per gli utenti di Internet, si tratti di cittadini, professionisti, aziende oppure istituzioni, sono all’ordine del giorno. Difendersi è possibile, ma è indispensabile acquisire consapevolezza del fenomeno. 

Furto di identità online: che cosa è, quali sono i pericoli e come difendersi dalle trappole
Che cosa è il furto di identità online e come difendersi dalle trappole dei criminali informatici

Che cosa è il furto di identità online

Acquisire consapevolezza riguardo al furto di identità online è indispensabile per ridurre al minimo il rischio di cadere nelle trappole congeniate dai criminali informatici e attrezzarsi per difendersi dalle minacce veicolate attraverso Internet.

Confronta offerte ADSL

Furto di identità: le definizioni

Le definizioni di furto di identità sono molteplici. ONU (Organizzazione delle Nazioni Unite) associa il furto di identità agli scenari in cui informazioni o documenti riguardanti esclusivamente l’identità vengono sottratti o manipolati.

Se, invece, le identità sottratte o manipolate sono utilizzate per danneggiare terzi, si sconfina nella frode di identità (United Nations Economic and Social Council, Results of the second meeting of the Intergovernmental Expert Group to Prepare a Study on Fraud and the Criminale Misuse and Falsification of Identity, 2007).

Anche in ambito UE (Unione europea) non esiste un’unica definizione di furto di identità. Risulta pertanto difficile sviluppare una legislazione comune in materia, coordinare indagini internazionali e persino misurare l’entità del problema (I crimini di identità: la casistica e le tendenze internazionali, Francesca Bosco, UNICRI project officer, Emerging Crimes Unit).

In linea generale, è possibile fare riferimento alla definizione di furto di identità formulata da Neil Mitchison, Marc Wilikens, Lothar Breitenbach, Robin Urry e Silvia Portesi in Identity Theft: A Discussion Paper (European Commission, Joint Research Centre, 2004).

Il furto di identità si verifica quando una persona ottiene dati o documenti appartenenti a un’altra persona – la vittima – e poi si fa passare per la vittima medesima, si legge nel documento. E questa situazione si verifica anche, anzi, sempre di più, online.

Furto di identità: il Codice Penale

Il furto di identità è stato ricondotto al reato di cui all’ art. 494 del Codice Penale, rubricato “Sostituzione di persona” (Furto di identità in Rete: per la Cassazione è reato, Jus e Internet, 8 maggio 2014). L’articolo in oggetto recita:

«Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno».

Furto di identità: dal trashing e dal dumpster diving alla scrivania 

«L’ID-Theft (furto di identità, ndR) è un crimine moderno solo per le dinamiche tecnologiche con cui oggi si realizza. La “sostituzione di persona” affonda le sue radici lontano nel tempo e la previsione di una fattispecie penale nel codice vigente ne è la più autorevole testimonianza», spiegava nel 2009 Umberto Rapetto, allora colonello della Guardia di Finanza e comandante del Nucleo Speciale Frodi Telematiche (Gnosis, 4/2009, Agenzia Informazioni e Sicurezza Interna).

«Il “trashing” (il semplice rovistare in un cestino dell’immondizia, magari in prossimità di una fotocopiatrice) o il più professionale “dumpster diving” (il vero e proprio immergersi nei cassonetti della spazzatura o il trasformarsi in subacquei della discarica) permettono certamente di entrare in possesso di informazioni utili per innescare l’ID-Theft, ma – nonostante l’affascinante atmosfera che regalano all’immaginario collettivo – sono modalità scomode, faticose e utili solo per operazioni “importanti”», proseguiva Rapetto.

E ancora: «Chi vuole ottenere un ottimo risultato a basso costo può trovare i dati che gli servono senza sporcarsi le mani e addirittura senza alzarsi dalla propria scrivania: il crescente “information spreading”, ossia l’inavveduta dispersione di informazioni personali, avviene in Rete e attraverso l’imprudente compilazione di moduli nella vita quotidiana magari per ottenere una tessera fedeltà di un supermercato o per partecipare ad un fastidioso sondaggio di opinione effettuato per strada. Chi naviga in Internet e magari è appassionato (solitudine e disagio relazionale complice) di “social network”, riversa sulle pagine di Facebook ogni dettaglio della propria esistenza, offrendo al malandrino di turno la possibilità di sapere tutto sempre e con il massimo livello di aggiornamento».

Le tipologie di furto di identità

Il furto di identità, offline e online, si declina in molteplici tipologie:

  • furto di identità bancaria e finanziaria
  • furto di identità nelle telecomunicazioni
  • furto di identità sanitaria
  • furto di identità criminale (identità usata per commettere altri crimini)
  • furto di identità attraverso patente di guida
  • furto di identità di identiticativo fiscale
  • furto di identità sintetico (per creazione di un altro profilo)
  • furto di identità su dati personali di minori
  • furto di identità aziendale (per ottenere prestiti e benefit)

(Esma Aїmeur, David Schonfeld, The Ultimate Invasion of Privacy: Identity Theft, Ninth Annual International Conference on Privacy, Security and Trust, 2011)

Furto di identità online: le tecniche

Molteplici sono anche le tecniche attuate per portare a termine un furto di identità online. La più banale, ma al contempo la più frequentemente utilizzata, è la tecnica del phishing, stando a una recente ricerca commissionata da CRIF a Smart Research, condotta su un campione rappresentativo della popolazione italiana compresa tra i 18 e i 64 anni di età.

Phishing

Con il termine phishing, si intende una tipologia di truffa realizzata attraverso Internet tramite l’invio di messaggi di posta elettronica ingannevoli che imitano la grafica di siti bancari o postali con l’obiettivo di ottenere dalle vittime informazioni personali o credenziali di accesso a conti correnti e carte di credito.

Di solito, il messaggio riferisce di problemi di registrazione o di altra natura e contiene un link che solo in apparenza rimanda al sito web della propria banca o del servizio cui si è registrati, spiegano gli esperti della Polizia Postale e delle Comunicazioni.

«In realtà, il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali», aggiungono gli esperti.

Malware e keylogging

Sempre con la finalità di carpire dati di accesso a servizi online, finanziari o di altra natura, i criminali informatici ricorrono anche ai malware. Il termine malware deriva dalla contrazione delle parole inglesi malicious e software e sta dunque per software maligno o codice maligno.

Le modalità di infezione sono diverse, proseguono gli esperti della Polizia Postale e delle Comunicazioni. La più diffusa è il classico allegato al messaggio di posta elettronica. Oltre i file con estensione .exe, i malware si diffondono anche celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc o .pdf.

Nel caso si tratti di un cosiddetto financial malware o di un trojan banking – aggiungono gli esperti – il malware si attiva per capire dati finanziari.

Altri tipi di malware entrano in azione quando sulla tastiera sono inseriti username e password. In questo caso si parla di keylogging.

I malware possono annidarsi anche nelle applicazioni per smartphone e tablet. Per essere più precisi, gli utenti di dispositivi mobili possono essere tratti in inganno, tramite la tecnica del phishing, e scaricare e installare app che contengono codice maligno.

Confronta offerte Internet Mobile

Smishing o SMSmishing

Sempre in ambito mobile, i criminali informatici ricorrono anche al cosiddetto smishing o SMSmishing, vale a dire all’invio diffuso di SMS contenenti l’annuncio di una vincita e un link che dovrebbe indirizzare verso un’azienda nota che elargisce il premio, ma che in realtà traghetta gli utenti verso un sito che ne imita la grafica.

Al “vincitore del premio” viene richiesto di compilare vari campi con le proprie generalità e con il numero di carta di credito o conto corrente bancario e di versare anche una somma di alcune decine di euro per portare a termine l’operazione. Oltre che a perdere la somma anticipata, l’utente fornisce anche dati sensibili a sconosciuti.

Vishing

È un’evoluzione del phishing applicata in ambito di VoIP (Voice over Internet Protocol). Con il vishing, i criminali informatici tentano di spacciarsi per una banca facendo comparire il vero numero di telefono dell’istituto di credito sul display dell’utente e spingendo quindi quest’ultimo a fornire i propri dati di accesso per risolvere problematiche inesistenti.

Sniffing

I cyber criminali possono tentare di carpire informazioni sensibili intercettando i dati trasmessi attraverso Internet, tramite software denominati sniffer.

P2P e File Sharing

Tentativi di furto di identità sono attuati anche in ambito di P2P e File Sharing, in special modo in seno ai circuiti di condivisione e scambio di file contenenti brani musicali e film. Anche in questo contesto entrano in azione malware che si celano nei file medesimi.

Furto di identità online e consapevolezza

Chi conosce il furto di identità si dimostra più attento nel proteggere i propri dati e i propri terminali di accesso a Internet, stando alla ricerca CRIF di cui sopra.

In Italia, gli utenti di Internet, e nello specifico i privati cittadini, mostrano una crescente attenzione alla tutela dei dati personali. Il 59% dichiara di proteggersi evitando di cliccare su link sospetti, il 49% utilizza antivirus gratuiti e il 36% si affida a sistemi di protezione a pagamento. Solo il 5,8% del campione dichiara di non fare nulla.

L’attenzione alla protezione aumenta al crescere dell’età, informa ancora la ricerca. E la consapevolezza della necessità di tutelarsi al meglio è maggiore in chi dispone di conti correnti bancari con opzione di home banking.

A stupire e a preoccupare è invece il fatto che la consapevolezza sia più bassa tra chi effettua acquisti online anche con una certa frequenza e in chi, per gli acquisti stessi, utilizza prevalentemente smartphone e tablet.

Chi subisce un furto di identità per l’apertura di un finanziamento, cambia abitudini, evidenzia la ricerca: il 42,9% degli intervistati si è limitato a controllare più di frequente l’estratto conto, ma il 57,1% ha assunto comportamenti di prevenzione attivi.

Nello specifico, nel 21,3% dei casi, le vittime hanno iniziato a condividere con maggiore cautela i propri dati sul Web, mentre nel 12,5% dei casi ad attivare SMS alert per essere avvisati di nuovi finanziamenti richiesti a proprio nome e/o a installare nuovi antivirus.

Furto di identità: come difendersi 

Per difendersi dai tentativi di furto di identità, è possibile seguire i consigli forniti dagli esperti della Polizia Postale e delle Comunicazioni e delle società specializzate in sicurezza informatica.

  • proteggere i dispositivi di accesso a Internet attraverso software antivirus, antispamming e antiphishing e aggiornare i sistemi operativi e i software utilizzati nei dispositivi medesimi
  • impostare password efficaci e differenti su personal computer, smartphone e tablet e attivare account ospiti che impediscano a familiari, amici, colleghi di lavoro etc. di accedere a documenti riservati
  • impostare password efficaci e differenti per ciascun servizio web utilizzato e  disconnettersi dal servizio al termine attività
  • modificare le password con regolarità
  • cancellare la cronologia di navigazione e/o usare la modalità di navigazione in incognito
  • utilizzare, ove disponibili, sistemi di protezione biometrici (es. Apple Touch ID)
  • attivare, ove disponibili, servizi di verifica in due passaggi
  • installare e/o attivare software per la crittografia dei dati per proteggere le informazioni archiviate negli hard disk
  • diffidare delle email che contengono link che indirizzano verso siti web ove confermare i propri dati di accesso a banche e altri servizi
  • posizionare il puntatore del mouse (o il dito) sul link contenuto nella email per verificare che compaia l’indirizzo Internet del sito indicato e non uno diverso
  • non cliccare sul link contenuto nella email, ma digitare l’indirizzo Internet del servizio web direttamente nel browser
  • non cliccare su finestre pop-up inattese che avvisano della presenza di virus e malware sul dispositivo
  • verificare che il sito web supporti la crittografia SSL (Secure Sockets Layer) o TLS (Transport Layer Security): l’indirizzo Internet deve iniziare con https (Hyper Transfer Protocol Secure) e alcuni browser mostrano anche una icona a forma di lucchetto
  • comunicare il proprio indirizzo email principale soltanto a persone fidate e utilizzare indirizzi secondari per compilare moduli web
  • non fornire mai informazioni sensibili e riservate in chat o nei social network

Commenti Facebook: