Furto d’identità digitale: cos’è, come si verifica e come prevenirlo.

In costante incremento e difficile da prevenire o sanzionare, il furto dell’identità digitale sta diventando l’illecito più rischioso a cui sono esposti gli innumerevoli utenti della rete. Vediamo in cosa consiste, come si realizza e – ove possibile – come prevenirlo.

Il furto di identità: cos’è.

Il furto d’identità non viene sanzionato da una specifica norma del codice penale penale, ma viene per lo più ricollegato – con interpretazione estensiva – al reato di cui all’art. 494 c.p. (sostituzione di persona), che punisce con la reclusione fino a un anno chiunque induce taluno in errore, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici.

Nell’epoca dei computer il fenomeno sta assumendo proporzioni sempre crescenti, fino ad arrivare a costituire una vera e propria piaga del mondo informatico che desta allarme fra gli utenti della rete che utilizzano internet a fini ricreativi (reti sociali, siti di svago etc), o – soprattutto – per motivi di lavoro.

Come si verifica.

Il fenomeno dell’identity theft si manifesta in due modalità: tramite il furto delle credenziali di accesso (identity theft in senso stretto) oppure tramite la creazione di una falsa identità (fake identity).

Nel caso di identity theft in senso stretto, il furto può avvenire facendo leva su debolezze o fattori psicologici dell’utente medio (modeste vincite, piccoli guadagni, incontri con l’altro sesso), per fargli compiere azioni in grado di fornire al malintenzionato le informazioni e i documenti di cui ha bisogno per effettuare la violazione. Ma può anche avvenire attraverso tecniche di social engineering che gli consentono di appropriarsi di dati altrui in rete: in questo caso, non v’è alcuna cooperazione del soggetto offeso, il quale potrebbe non commettere alcuna azione imprudente, ma v’è piuttosto l’abilità del ladro nello sfruttare le tecnologie di accesso abusivo a un sistema informatico altrui (hacking). Ecco perché – solo in quest’ultimo caso – al reato di cui all’art. 494 c.p. si somma anche quello di accesso abusivo al sistema informatico ai sensi dell’art. 615-ter c.p., punito con la reclusione fino anche a cinque anni.

Nel caso di fake identity, invece, il furto d’identità si verifica attraverso la creazione di nuovi profili falsi.
Questa è l’ipotesi che preoccupa più di tutte, per via della semplicità con cui può essere messa in atto e per l’impossibilità di prevenirla: infatti, nella maggior parte dei casi, per associare un profilo, un account o qualsiasi altro tipo di identità digitale ad un nome e cognome è sufficiente creare un finto indirizzo e-mail a nome del soggetto la cui identità verrà rubata, per poi utilizzarla come casella di quest’ultimo in fase di registrazione dei dati. E il gioco è fatto. Tanto più che al massimo vengono richiesti, come dati ulteriori, il luogo e la data di nascita: informazioni piuttosto semplici da ottenere.

La Corte di Cassazione si è espressa più volte sul furto d’identità digitale, associandolo alla violazione dell’art. 494 c.p.: infatti, sussiste sia l’induzione in errore dell’altra parte e sia l’appropriazione arbitraria di un’identità altrui; più difficile, invece, ravvisare in tutti i casi il conseguimento di un vantaggio o l’aver arrecato ad altri un danno.

Infatti, la questione è semplice se il furto avviene per truffare utenti della rete a nome di qualcun altro o per far attribuire a un soggetto usi e costumi sessuali che non ha mai adottato al fine di screditarlo, oppure, ancora, per far ricadere obbligazioni o – ancor peggio – debiti su terzi ignari. In tutti questi casi, infatti, il danno a carico del “derubato” e/o la contestuale utilità conseguita o conseguibile dal ladro è molto semplice da rinvenire.

Ma capita anche, invece, che l’identità venga rubata senza l’obiettivo di ottenere un guadagno vero e proprio, né tantomeno di danneggiare la persona offesa (si badi che l’induzione in errore di qualcuno e il furto di identità fine a sé stesso non sono sufficienti a realizzare il furto in questione senza anche l’esistenza del vantaggio e/o del danno, che tuttavia non deve per forza essere economico ma anche solo morale): si pensi al caso del profilo social fake: in questo caso chiunque potrebbe appropriarsi delle foto dell’ipotetico Sig. Mario Rossi dal suo profilo Facebook per poi ricopiarle su un profilo finto utilizzato dal ladro d’identità solo per navigare nel web e visitare le altre pagine e gli altri profili del social network. Nel caso appena descritto è molto difficile rinvenire un vero e proprio danno a carico del derubato oppure un vantaggio vero a proprio del ladro (il vantaggio di poter navigare sul social a nome di qualcun altro sarebbe davvero minimo se non associato anche ad azioni verso l’esterno attribuibili al soggetto simulato; e, se il ladro creasse il profilo per poi non utilizzarlo mai, sarebbe addirittura nullo). Per questo motivo forse sarebbe auspicabile la creazione di una fattispecie penale a sé stante che sanzioni la sola creazione di una fake identity, indipendentemente dall’utilizzo della stessa da parte dell’autore del fatto.

A conferma di quanto detto, ad esempio, la recente giurisprudenza della Cassazione (Cass. Civ. n. 33862/18) ha ritenuto sussistente il delitto di sostituzione di persona ex art. 494 c.p. nel caso di creazione e utilizzazione di un profilo su un social network, utilizzando abusivamente l’immagine di una persona del tutto inconsapevole, poiché ritenuta una condotta idonea alla rappresentazione di una identità digitale non corrispondente al soggetto che lo utilizza. Nella specie, l’imputato aveva creato un profilo Facebook apponendovi la fotografia di una persona minorenne per ottenere contatti con persone minorenni e scambio di contenuti a sfondo erotico: ed ecco realizzato l’evento dannoso (danno morale del soggetto derubato e di chi forniva le proprie foto facendo affidamento sull’autenticità dell’identità).

Si può prevenire?

Senza cadere in scontate soluzioni (custodire in modo sicuro le password, non comunicarle mai a nessuno, etc), la prevenzione del furto di identità è davvero molto complessa.

Infatti, le attività di hacking e le creazioni di profili fasulli hanno in comune l’impossibilità da parte del derubato di sapere del furto e la totale non colpevolezza della condotta di quest’ultimo, il quale si affida alle tecnologie in uso per prevenire i furti. Ma quasi sempre non basta.

Tuttavia, una nuova prospettiva dà molte speranze. Si tratta dello SPID, ossia del sistema pubblico di identità digitale.
Questo sistema consente a un soggetto di ottenere una propria identità digitale accessibile tramite normali user id e password come ogni altro tipo di profilo web, con la differenza che, al momento della richiesta e del conseguimento delle credenziali, viene seguito un iter di identificazione molto più rigido, ad esempio obbligando il richiedente a recarsi presso un esercizio per il riconoscimento facciale tramite documento o tramite webcam.

Lo SPID non permetterebbe di annientare la piaga dei furti d’identità (le attività di hacking sono difficilmente azzerabili), ma riteniamo che, se adoperato da qualsiasi operatore del mercato internet, potrebbe creare un forte argine all’ulteriore diffusione di questo reato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.