Il furto d’identità online (o digitale) è un reato che avviene quando le informazioni personali di un individuo vengono illegalmente acquisite e utilizzate per commettere frodi o attività illecite in suo nome.
Le informazioni sottratte a questo fine possono includere tutto ciò che, variamente disseminato online, definisce la nostra “persona digitale” (il nostro profilo anagrafico, fiscale, finanziario).
Ovvero: i dati riportati su documenti come carta d’identità, codice fiscale, patente, nonché credenziali di login agli account di posta elettronica, numeri di telefono e carta di credito.
In questo articolo, vedremo quali sono le tipologie più comuni di furto di identità digitale, in che modo avvengono e che cosa deve fare chi ne è vittima.
- Tipologie di furto d’identità online
- Come avvengono i furti d’identità online
- Che cosa dice la legge
- Che cosa fare in caso di furto d’identità online
1. Tipologie di furto d’identità online
Il furto d’identità digitale può essere totale o parziale: il criminale informatico può riuscire a sottrarre tutti i dati di un individuo, clonando in buona sostanza la sua identità, oppure può limitarsi a sottrarre quelli ritenuti utili ai propri scopi.
Quando i dati personali provengono da soggetti diversi e vengono composti, come un collage, per costruire una “nuova” identità, si parla di Synthetic Identity Theft.
In ciascun caso il furto può essere effettuato ai danni di soggetti in vita oppure di soggetti defunti. In quest’ultima circostanza si parla di Ghosting (Identity theft).
A seconda del fine per cui vengono commessi, i furti d’identità digitale si possono suddividere in svariate altre categorie.
I Medical Identity Theft, per esempio, consistono nel furto dei dati sanitari di un individuo, in genere per ottenere farmaci e device medici da immettere sul mercato nero.
La macrocategoria più ampia e diffusa è quella dei Financial Identity Theft, reati contro il patrimonio, perché, notoriamente, lo scopo della maggior parte dei criminali informatici è la sottrazione di denaro.
Ma il furto d’identità online può anche configurarsi come reato contro la persona, quando è finalizzato a danneggiarne la reputazione, come accade in caso di Impersonation in ambito di Cyberbullismo, e in qualsiasi contesto in cui il ladro di dati finga di essere un altro individuo, o ente, organizzazione, azienda, per denigrare e diffamare.
2. Come avvengono i furti d’identità online
Il furto d’identità digitale può avvenire con tutti i mezzi attraverso i quali i criminali informatici riescono ad accedere ai dispositivi elettronici altrui. Ogni malaware in grado di spiare e registrare dati, come gli spyware (LINK INTERNO?), si presta allo scopo.
Secondo più di un osservatorio (per esempio il Clusit – Associazione Italiana per la Sicurezza Informatica nel Rapporto sulla sicurezza ICT in Italia 2022), il sistema ancora oggi più comune per rubare dati personali è il Phishing, ovvero l’adescamento tramite posta elettronica: l’attaccante invia un’email in cui dichiara, ingannevolmente, di essere un ente o una società fidata – tipicamente banca o ufficio postale – con la richiesta di informazioni personali a fronte di una ragione in apparenza legittima.
Variante “vocale” del Phishing, il Vishing sfrutta lo stesso meccanismo ma il contatto tra malintenzionato e vittima avviene via telefono, tramite contatto diretto a voce. Se l’adescamento avviene tramite sms di parla di Smishing.
In ciascun caso la violazione è condotta (e spesso portata a termine) grazie alle tecniche di ingegneria sociale cui il Phishing e le sue varianti sono strettamente correlate, e rispetto alle quali la prima tutela consiste nell’alzare la soglia del sospetto. A pensare male ci si azzecca sempre, dice un proverbio. E non è certo vero in generale, ma in questo caso sì.
3. Che cosa dice la legge
Poiché il terreno del furto d’identità online è lo spazio illimitato della rete, si può facilmente comprendere quanto sia difficile normare la materia, adeguando la legislazione allo scenario sfuggente e in continua evoluzione dello spazio digitale.
Nell’ordinamento italiano non esiste una specifica norma per il furto d’identità online, che viene quindi disciplinato dall’art. 494 del codice penale (reato di sostituzione di persona) e dall’art. 640 ter del codice penale (reato di frode informatica).
La pena per il reato di sostituzione di persona prevede fino a un anno di reclusione. Il reato di frode informatica, di cui il furto d’identità rappresenta un’aggravante, prevede invece da due a sei anni di reclusione, e una multa da 600 a 3.000 euro.
Ciò che interessa, dal punto di vista giuridico e per la tutela delle vittime, è quanto segue:
- il furto d’identità online, qualsiasi forma assuma, è un reato penale
- in quanto reato di sostituzione di persona, è perseguibile d’ufficio. Ciò significa che può sporgere denuncia anche chi non ne è vittima diretta (per esempio, il direttore di una banca
unil cui cliente sia stato adescato e danneggiato tramite Phishing)
- la denuncia da parte della vittima è comunque indispensabile (secondo recenti pronunce della Cassazione, la mancata denuncia può diventare elemento indiziario a carico dell’imputato)
4. Che cosa fare in caso di furto d’identità online
Il furto d’identità digitale deve essere segnalato e denunciato alla Polizia Postale, ovvero al comparto della Polizia di Stato specificamente preposto al monitoraggio dei crimini informatici.
Per agevolare gli utenti, il portale consente di sporgere denuncia online, direttamente dall’Homepage, nella sezione “Denuncia per reati telematici”.
Se la frode è di natura finanziaria, andrà segnalata al proprio istituto di credito (prima di tutto, naturalmente, per bloccare l’accesso a conto corrente e carta di credito). Se il furto d’identità avviene tramite social media (Facebook, Twitter, Instagram, ecc.), dovrà essere segnalato alla sezione di assistenza della piattaforma.
Infine è consigliabile segnalare il fatto anche all’Autorità Garante per la Protezione dei dati personali e all’Autorità per le Garanzie nelle Comunicazioni.
Seguici su: