10 regole per comprendere il furto d'identità
In questo primo decalogo valutiamo insieme alcune regole molto semplici per difendersi dal furto d'identità e per comprenderne gli aspetti principali nella gestione dei nostri dati.
Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi farà compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.
Alcune premesse
Tutti gli utenti di smartphone, di account di posta elettronica, di servizi sul web e di profili sui social network dovrebbero essere consapevoli, in ogni momento, dell’importanza che ha assunto la tutela della loro identità.
E ciò non solo per il tempo che viene trascorso online (ossia con riferimento a quella che viene definita come “identità digitale”) ma, anche, prevedendo le conseguenze che potrebbero derivare, nella vita “fisica”, da un attacco ai nostri dati identificativi.
L’idea che qualcuno ci possa “rubare” la natura stessa della nostra personalità, e presentarsi proprio “come noi” (e "al posto nostro") nella quotidianità mentre questo soggetto si relaziona con persone e aziende, è una rappresentazione capace di inquietare chiunque.
Potremmo allora intendere, molto genericamente, il “furto di identità” come quell’azione criminale portata da soggetti che vogliono entrare in possesso di alcune informazioni che ci riguardano – o di tutte – per, poi, farne un uso illecito.
Si pensi all’uso di un'identità altrui per qualsiasi tipo di attività criminale che si possa svolgere online o offline: dalle false transazioni di beni alle false prenotazioni online di servizi, dallo stalking alle frodi sentimentali sino a vari tipi di truffe con modalità capaci anche di ingannare le autorità in sede di eventuali controlli (specie se i controlli non sono troppo approfonditi...).
La diffusione del furto di identità negli ultimi anni ha evidenziato anche una chiara evoluzione del crimine informatico e della sua natura.
Siamo in presenza di un fenomeno che, oggi, si avvicina sempre di più all’idea di truffa e di sostituzione di persona e ha abbandonato, in molti casi, gli aspetti più tecnici e le specifiche competenze informatiche necessarie per operare atti criminali in rete. Detto in altri termini, oggi per fare bene il criminale informatico è più importante, in alcuni casi, avere capacità di inganno più che capacità di hacking.
Spesso, inoltre, le vittime in alcune circostanze diventano “complici” o, quantomeno, agevolano il crimine, soprattutto quando hanno preso la cattiva abitudine di comunicare i loro dati personali senza particolari cautele, né controlli.
Un vero e proprio "commercio" e compravendita di identità avviene, così, in rete. Qui si possono trovare senza particolari problemi credenziali, dati, dati di accesso a servizi ma, anche, fotocopie e scansioni di documenti di identità e altre informazioni che possano comunque identificare una persona o un gruppo di persone.
La password, in particolare, è un elemento della nostra identità assai interessante per i criminali.
Un utilizzo della stessa password per più account e servizi è considerato, ad esempio, il “caso di scuola” di una tipica vulnerabilità diffusissima in capo a innumerevoli utenti e che agevola tantissime azioni criminali, oltre ad alimentare il traffico di identità.
In pratica: non si differenziano le credenziali di accesso tra i diversi profili sui social network e servizi online di una singola persona (che, sovente, sono decine e decine) e, in un'ottica criminale, entrare in possesso di una sola coppia di credenziali può consentire l’accesso a quasi tutti i servizi che fanno capo a una singola vittima.
I criminali, in questo "mercato nero" delle credenziali e, quindi, delle identità, acquistano combinazioni e "pacchetti" di e-mail e password rubate e tentano di accedere a molti altri siti o servizi per vedere se quelle stesse credenziali sono state riutilizzate nel senso di cui abbiamo descritto poco sopra.
DIECI semplici regole
- Dobbiamo essere consapevoli, innanzitutto, che la nostra identità digitale è, oggi, altrettanto importante di quella offline. È, in sintesi, ciò che ci rappresenta in tutte le attività che svolgiamo in rete, ludiche o professionali che siano.
- La nostra identità digitale, poi, si compone di tanti elementi (o dati, o frammenti di dati, o correlazioni di informazioni, chiamateli come volete) che vanno, tutti, protetti anche perché si possono facilmente correlare tra loro grazie a semplici ricerche riferite a una persona e generare, così, nuove informazioni.
- Le nostre credenziali, al contempo, non sono solo estremamente importanti per noi ma sono anche gli elementi della nostra identità più ricercati dai criminali. Ci riferiamo, in particolare, a PIN, nomi-utente, password e codici di accesso vari.
- La password non dovrebbe essere usata per più servizi, soprattutto critici, ma dovremmo scegliere una password diversa per ogni servizio o, al limite, “famiglie” di password legate alla specifica criticità del servizio.
- Possiamo agevolare, nostro malgrado, l’azione dei criminali diffondendo i nostri dati senza motivo né criterio, anche comunicandoli al telefono o pubblicandoli online.
- Sono da proteggere anche i nostri documenti, sia scansionati, sia nella loro copia digitale. Sono elementi ricercatissimi al "mercato nero".
- Non dobbiamo mai fornire informazioni relative alla nostra identità digitale, soprattutto per e-mail.
- Il rinnovare regolarmente le nostre credenziali, cambiando la password con una certa frequenza (anche se il sistema non ce lo dovesse imporre) è un’ottima strategia di sicurezza, indispensabile per quelle password che ci consentono di accedere a servizi critici.
- Dobbiamo immediatamente domandare la rettifica o integrazione di nostri dati online che non siano corretti. È un nostro diritto essere rappresentati correttamente anche nel mondo digitale, e non soggiacere a una “falsa luce” che dia, di noi, un’immagine distorta.
- Abbiamo, in molti casi, anche il diritto di cancellare i nostri account, ossia di far “morire” la nostra identità digitale (una delle tante che abbiamo), nel caso non fosse più di nostra utilità quell’account o quel servizio.