Furto d’identità digitale, le conseguenze giuridiche e i consigli per non correre il rischio

Furto d’identità digitale, le conseguenze giuridiche e i consigli per non correre il rischio

Con l’evoluzione del digitale, il rischio di furti d’identità, tanto per le persone fisiche quanto per le aziende, è aumentato in modo esponenziale.

Comprendere il concetto di identità digitale e l’importanza della tutela dei dati personali è fondamentale per avere una maggior consapevolezza dei rischi connessi all’utilizzo del web e, di conseguenza, mettere in atto azioni efficaci di prevenzione e protezione dei dati personali o di dipendenti, clienti e fornitori.

Cos’è l’identità digitale

Con il termine “identità digitale” si fa riferimento all’insieme di dati e informazioni, riscontrabili all’interno di un sistema informatico, riguardanti una persona specifica.

Tendenzialmente l’identità digitale viene definita come la “rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale” (cd. Decreto SPID).

Attraverso di essa, dunque, è possibile conoscere non solo l’esatto momento in cui una persona ha avuto accesso a un determinato sistema informatico, ma anche quali azioni ha compiuto. Ciò consente spesso di ricostruire un vero e proprio profilo dettagliato dell’utente, in termini di personalità, preferenze e opinioni.

Le conseguenze del furto d’identità digitale

Il furto d’identità digitale costituisce un reato e, sebbene il Codice penale non preveda un articolo specifico su questo tema, dal punto di vista legislativo esso può essere ricondotto a:

  • reato di frode informatica (art. 640-ter. del Codice penale);

  • reato di sostituzione di persona (art. 494 del Codice penale).

Le pene previste possono essere anche molto severe.

Anche per le aziende, il rischio di incorrere in un furto d’identità digitale è un problema sempre più frequente e, quindi, da non sottovalutare. Sottrazione dei dati personali dei propri lavoratori, codici bancari, immagini e altre informazioni sensibili. In generale sono soprattutto 3 le azioni che riguardano il furto di identità digitale:

  • ottenimento illecito dei dati personali;

  • vendita dei dati personali ad altri soggetti;

  • oppure utilizzo per altri fini (truffe, richieste di riscatto, minacce, etc.).

Una volta venuti a conoscenza del furto d’identità digitale è importante denunciare l’accaduto alle Autorità competenti. Inoltre, le aziende, dovranno attuare tutte le tutele previste in materia dal GDPR (per es. in tema di data breach e violazione dei dati personali).

Alcuni consigli per evitare il furto d’identità digitale

I criminali informatici, attraverso gli attacchi cyber (specialmente ransomware e phishing) o tecniche di social engineering sottraggono informazioni sensibili agli utenti, come immagini, password, numeri di telefono, codici fiscali, numeri di carte di identità o carte di credito che vengono poi riutilizzate immedesimandosi nelle vittime dei furti.

Attraverso l’utilizzo di queste informazioni gli autori del crimine possono per esempio effettuare acquisti online, avere accesso a informazioni sanitarie o finanziarie, o compiere diversi reati quali diffamazione, estorsioni online spesso a sfondo sessuale etc. a nome delle vittime.

Dal punto di vista aziendale, il furto di identità digitale può essere messo in atto anche per attuare frodi commerciali. Ciò significa, ad esempio, rubare i dati di una figura chiave all’interno dell’impresa e spacciarsi per essa con clienti o fornitori, avviando trattative per la compravendita di beni o servizi in nome della persona reale.

Nonostante non sia possibile in senso assoluto eliminare il rischio di furto d’identità digitale, esistono però una serie di accorgimenti che possono aiutare a proteggere dati personali e aziendali (nonché dati personali dei lavoratori).

Ecco alcuni consigli pratici:

  • assicurarsi di possedere un buon software antivirus;

  • scegliere password non comuni e articolate, provvedendo a un loro aggiornamento periodico;

  • non aprire e-mail sospette e non diffondere dati personali e credenziali tramite posta elettronica;

  • Regolare le impostazioni sulla privacy degli account, rendendo il profilo privato, per impedire ad estranei di visualizzare e sottrarre contenuti multimediali (come foto o video). Questi elementi potrebbero essere usati per creare profili fake;

  • Limitare l’inserimento di informazioni private sui social network come dati anagrafici, numeri di telefono, posizione in tempo reale etc.;

  • assicurarsi, a livello aziendale, di rispettare quanto previsto dal GDPR;

  • formare il personale sui rischi e sulle misure da adottare;

  • dotarsi di un piano di gestione degli attacchi informatici.

stefania barone rubrica