In termini generali, significa “farsi passare” per qualcun altro su Internet. Si parla al riguardo di usurpazione dell’identità digitale altrui. Le motivazioni possono essere molteplici, così come le modalità di esecuzione: si va dall’uso online non autorizzato di una fotografia e/o del nome di un amico/a particolarmente avvenente per “conquistare” gli utenti di una chat, alla creazione di un profilo falso su Facebook per creare attorno alla persona una cattiva reputazione, fino all’attuazione di vere e proprie truffe informatiche, ad esempio trafugando le credenziali d’accesso ad un conto bancario online.
Quali meccanismi vengono utilizzati per rubare l’identità?
In questo campo l’inventiva non ha limiti. Chi usurpa l’identità, prima di tutto, deve procurarsi dei dati personali, come una fotografia, nome/cognome, indirizzo postale fisico ed elettronico, professione, numero di telefono, abitudini, interessi ecc. della persona interessata. Più dati personali sarà in grado di reperire, più il falso profilo sarà credibile. I dati personali possono essere reperiti online perché sono stati pubblicati dalla persona stessa oppure essere ottenuti con l’inganno, ad esempio facendo credere alla persona che il proprio partner bancario, assicurativo o il fornitore di servizi e-mail o di carta di credito necessita di disporre delle credenziali di accesso all’account online per risolvere un problema nell’interesse dell’utente. Oppure ancora i dati personali possono essere reperiti forzando le password, tramite veri e propri attacchi informatici, come pure causando l’istallazione di software malevolo tale da porre sotto controllo il dispositivo dell’utente. Quest’ultimo attacco viene generalmente perpetrato tramite l’invio di e-mail di massa indesiderate (lo spam) infette oppure inserendo del codice malevolo sui siti.
Quali le truffe più frequenti?
Durante il seminario previsto per il 3 giugno all’USI organizzato da Netcomm Suisse e HR Ticino esamineremo dal profilo giuridico quattro tipologie di situazioni. La prima concerne un caso tipico di cosiddetto “phishing” (“pescare password”). Il criminale invia e-mail di massa facendosi passare per un istituto bancario importante. Il testo è credibile e molto curato. Addirittura il messaggio sembra provenire dal dominio ufficiale della banca (ad esempio: prevenzionefrodi@banca.ch). Il destinatario attiva un link che lo conduce apparentemente su una pagina della banca, dove gli viene richiesto di inserire le credenziali di accesso. Ecco che questi importanti dati sono stati trafugati. Parallelamente, il criminale deposita sul dispositivo della vittima un software malevolo che gli permette di controllare a distanza il dispositivo, consentendogli di rubare altre informazioni riservate. Il secondo caso riguarda ancora l’ambito bancario. Il criminale assume il controllo dell’account e-mail del cliente di una banca e inizia a corrispondere con la medesima. Il tutto è finalizzato a creare nella banca l’attesa di un ordine di bonifico particolarmente urgente, da eseguirsi in momenti particolari (nel caso concreto: sotto Natale e Capodanno). Il criminale reperisce un ordine di trasferimento firmato dal cliente a suo tempo inviato alla banca tramite e-mail (allegato) e lo utilizza per allestire un nuovo ordine, che invia tramite fax alla banca. La banca esegue il trasferimento verso un conto in Cina, che viene prontamente svuotato. Il terzo esempio riguarda un drammatico caso di cyberbullismo. Due ragazzi creano un falso profilo su un social network a nome di un compagno di scuola, attraverso il quale propagano insulti e propositi razzisti di ogni tipo. Il compagno di scuola viene aggredito da sconosciuti per strada e minacciato di morte. Il quarto esempio riguarda la truffa del parente in difficoltà. Il criminale, mediante tecniche di phishing, riesce a farsi comunicare la password del servizio e-mail del soggetto interessato. Facendosi passare per quest’ultimo, invia ai contatti un messaggio di aiuto, chiedendo l’invio urgente di denaro. I famigliari provvedono e il denaro immancabilmente sparisce.
Le categorie più a rischio?
A rischio sono tutte quelle persone che non hanno maturato un’adeguata consapevolezza sui rischi di sicurezza collegati ad Internet e che, pertanto, non adottano un comportamento prudente, rispettivamente misure di protezione a livello tecnologico. Ad esempio, è fondamentale creare password forti (combinazione di minuscole / maiuscole e lettere / numeri) da sostituire regolarmente, che non devono essere assolutamente comunicate a terzi o trascritte. Occorre dotarsi di un antivirus (anche sul cellulare), di un firewall e di un browser sempre aggiornati. In particolare, mai comunicare a terzi informazioni personali o confidenziale tramite e-mail, né attivare collegamenti contenuti in messaggi elettronici non richiesti. Particolarmente a rischio sono gli anziani, coloro che diffondono in maniera disinvolta i propri dati personali online e i frequentatori di siti a rischio.
Ci sono dati relativi ai trend di crescita del fenomeno?
A livello di criminalità informatica, i dati statistici e i rapporti SCOCI (Polizia federale) danno atto di un trend all’aumento in maniera consistente dei reati di furto di dati e di truffa tradizionale ed informatica. Le segnalazioni di casi di phishing nel 2013, ad esempio, sono triplicate rispetto al 2012. Nelle scuole il problema del cyberbullismo attraverso finti profili sui social networks comincia a farsi sentire in maniera preoccupante. Vittime non sono solamente gli allievi, bensì anche gli insegnanti.
Quali reati sono posti a tutela dell’identità nel diritto penale?
Va detto che in Svizzera, diversamente da altri Stati (come la Francia), non esiste un reato specifico di furto d’identità. In un’interpellanza depositata in Consiglio nazionale il 18.09.2013, Jean Christophe SCHWAAB ha posto il tema di una possibile lacuna del diritto penale al riguardo. Il Consiglio federale si è espresso nel senso che il furto d’identità, non essendo generalmente fine a sé stesso, risulta punibile in funzione degli obiettivi ricercati, rispettivamente dei beni protetti altrui violati, come, ad esempio, la pace informatica (furto di dati, hacking, danneggiamento di dati), il patrimonio (truffa) e l’onore (diffamazione e calunnia). Nel caso del finto parente in difficoltà di cui sopra, i principali reati ipotizzabili sono l’acquisizione illecita di dati (art. 143 CP), la falsità in documenti (art. 251 CP), l’accesso indebito a un sistema per l’elaborazione di dati (art. 143bis CP), il danneggiamento di dati (art. 144bis CP) e la truffa tradizionale (art. 146 CP). Nel caso del profilo razzista, il principale reato commesso dai due compagni di scuola era la calunnia (art. 174 CP).
Come muoversi nel caso ci si accorga che la propria identità sia stata violata?
Occorre reagire rapidamente. Nel caso di account violato (ad esempio: posta elettronica, social networks), occorre modificare la password di accesso. Nel seguito, facendo capo a specialisti, è opportuno individuare quali azioni abusive siano state compiute durante il periodo di compromissione. Al riguardo, è utile sapere che i provider di servizi online tracciano tutti gli accessi, memorizzando segnatamente data/ora e indirizzo IP del dispositivo richiedente. Se si trova un indirizzo IP riconducibile ad un Provider di accesso ad Internet straniero, allora è probabile che l’account sia stato violato. Se il problema consiste in profilo falso sui social networks (di cui, ovviamente, non si dispone delle credenziali di accesso), si segnalerà al social network in questione l’abuso, nel senso di una violazione delle regole della Comunità online, richiedendo la cancellazione del profilo. Se il furto d’identità riguarda il conto online oppure la carta di credito, è fondamentale segnalare immediatamente il caso alla banca tramite le apposite help-line telefoniche.
Nei casi gravi, si raccomanda di depositare rapidamente una querela penale presso il Ministero pubblico (spesso i reati ipotizzabili sono soggetti a querela), onde attivare la procedura penale. La querela va depositata entro 3 mesi. Il termine decorre dal giorno in cui l’avente diritto ha conosciuto l’identità dell’autore del reato. È importante sporgere querela tempestivamente, in quanto l’azione penale non viene promossa se la querela è tardiva. In tale ipotesi, alla vittima non resta che procedere giudizialmente contro l’autore del reato davanti ai Tribunali civili, postulando la cessazione della condizione illecita e / o la condanna al risarcimento del danno subito.