Il furto d'identità: un reato con molte e gravi conseguenze. Intervista alla Professoressa Annalisa Plava

Tempo di lettura stimato: 5 minuti

Qui sul nostro blog parliamo spesso di uno dei reati più insidiosi commessi dai cybercriminali: il furto d'identità. Oggi vogliamo approfondire questo tema, e in particolare le sue conseguenze su chi lo subisce, con chi lo studia da diversi anni: la Professoressa Annalisa Plava, ricercatrice all'Università di Bologna e docente di Sociologia della Salute presso quella di Ferrara, che con il suo lavoro all'interno del progetto europeo EITHOS vuole gettare luce proprio sulle vittime del furto d'identità e offrire loro gli strumenti per reagire.

Cominciamo da una definizione utile per chiarire ciò di cui parliamo: cos'è esattamente la nostra “identità digitale”?

Si tratta di un insieme di dati, informazioni e anche attributi relativi a un individuo, che costruiscono una proiezione della nostra identità reale in rete, dove come utenti interagiamo con un sistema informatico e con altri utenti. Tutti i dati e le informazioni che appartengono a una persona reale in rete formano la sua identità digitale. Siamo poi noi a decidere se farla combaciare con quella reale in modo parziale o completo, o ancora se dissociarle totalmente. Volendo dare alcuni esempi, la forma più popolare di identità digitale è l'account con autenticazione ad un solo fattore (username + password), come quello legato a un profilo social o all'home banking, ma anche ad esempio lo SPID o la PEC. 

E cosa accade quando viene rubata?

A livello pratico, il furto d'identità rappresenta un reato che è caratterizzato da un’appropriazione indebita dei dati e delle informazioni relativi a una persona, che possono includere anche la sua immagine, i suoi video, e insomma un ampio ventaglio di materiali appartenenti a una persona reale. Gli scenari che si possono aprire sul piano tecnico sono variegati. Tra le modalità di furto d'identità più note e comuni ci sono il phishing, il ransomware, o ancora il catfishing. Le varianti possibili sono moltissime, ma all'abilità tecnica dei criminali sempre di più si associano delle strategie psicosociali, come ad esempio l'ingegneria sociale, che con l'inganno prova direttamente a scardinare la fiducia della vittima per farsi consegnare i suoi dati. E spesso a cascarci sono anche utenti esperti della rete.

Frequentemente le vittime non denunciano il furto d'identità, perché ritengono che il danno subito non sia abbastanza significativo, o non dispongono di risorse adeguate per contrastarlo. Alla luce della ricerca che stiamo portando avanti all'interno del progetto europeo EITHOS, vediamo che le vittime di furto d'identità subiscono sia delle conseguenze pratiche (come perdite economiche o reputazionali, con anche un forte danno di immagine), che anche emotive. Molte percepiscono insicurezza, stress, senso di impotenza, senso di colpa, vergogna, fino ad arrivare alla depressione. Ci sono poi anche conseguenze sociali, perché la narrazione che emerge a livello sociale e mediatico spesso risulta giudicante nei confronti di chi subisce un furto d'identità. Anche per questo le vittime faticano a esporsi, a denunciare.

Quanto è ormai diffuso l'uso dei deepfake da parte dei cybercriminali?

La tecnologia deepfake è sempre più accessibile e in grande evoluzione, e va di pari passo con il tema dell'ingegneria sociale. Impersonare in modo convincente delle persone reali significa anche riuscire a confondere, modificare il modo in cui vengono percepite la realtà, la verità, l'autenticità, con un impatto ancora una volta legato soprattutto alle traiettorie biografiche, psicologiche e sociali delle vittime. Nella nostra ricerca il deepfake emerge sempre di più come parte del modus operandi del criminale contemporaneo, che lo usa per conquistare la fiducia delle vittime, per convincerle a cliccare su un certo link o fornire direttamente informazioni sensibili e via dicendo. Quando qualcuno prende la nostra voce o i nostri video, ad esempio da una storia di Instagram, abbiamo poi paura di non essere creduti. E questo purtroppo anche nel confronto con le autorità, che spesso non hanno i mezzi tecnici per distinguere i deepfake dalla realtà, data la rapidità con cui evolve questa tecnologia. In più la creazione di deepfake è sempre più “democratica”, perché spesso basta munirsi di app facilmente scaricabili.

Nel suo lavoro ha più volte sottolineato quanta leggerezza ci sia, anche tra gli utenti della rete più esperti, nei confronti di un tema importante come la protezione della propria identità online. Quali sono i rischi che prendiamo più spesso, magari senza accorgercene?

Come utenti siamo noi a generare i nostri dati e le nostre informazioni, o in qualche modo acconsentiamo alla loro memorizzazione e archiviazione da parte di professionisti, piattaforme, ecc. E in questo modo ci esponiamo, e ci illudiamo di poter gestire i rischi potenzialmente imprevedibili che arrivano dalla rete. Quello che abbiamo notato, sia a livello di letteratura scientifica sia portando avanti il nostro studio empirico, è che spesso l'utente sa a grandi linee o anche con una certa precisione che la rete può essere un luogo di pericoli, come ad esempio il furto d'identità, ma li considera un'eventualità remota. È proprio questo ad esporci maggiormente al rischio, che sottovalutiamo. Per l'utente esperto si aggiunge una sopravvalutazione delle proprie competenze. Ormai viviamo contemporaneamente sia nella vita reale che online, e ci sentiamo molto a nostro agio con gli strumenti digitali che sono diventati una protesi del nostro vivere, e questo ci porta spesso a sottovalutare implicazioni come la sorveglianza a cui siamo sottoposti, che anche se impercettibile è molto invasiva.

Parliamo proprio dei nostri dati che sono in mano ad altri, e in particolare di quelli più delicati, come ad esempio i dati sanitari. Sono al sicuro?

Questo è un tema molto importante. Soprattutto dopo la pandemia, gli attacchi ai sistemi informatici legati alla sanità sono aumentati. E si tratta di una tipologia di dati molto appetibile, perché è molto fruttuosa nel mercato illegale. Anche in questo caso, noi accettiamo di fornire i nostri dati per la nostra salute, per curarci o anche per monitorare il nostro stato di benessere, e quindi li affidiamo alle istituzioni sanitarie, private o pubbliche. Il problema è che nel campo sanitario la cybersicurezza è spesso carente. Mancano gli investimenti, sia per il privato ma soprattutto per il pubblico, e come la cronaca ci racconta, le violazioni all'interno di database sanitari sono all'ordine del giorno. E oltre ad essere in gioco i nostri dati sensibili, le vittime sono spesso inconsapevoli o comunque invisibili. Tutto l'iter che conduce l'organizzazione che ha subito la violazione a segnalare quanto avvenuto al garante della privacy è quantomeno nebuloso, e quindi anche la vittima fa fatica a comprendere se i suoi dati sono stati rubati, e in caso positivo cosa occorre fare per aprire un percorso legale per rivalersi. È un tema molto delicato. Noi abbiamo bisogno di condividere i nostri dati con le istituzioni sanitarie, ma dall'altra parte sono necessari maggiori investimenti per garantirne la protezione.

E cosa può fare il cittadino comune per proteggere meglio i suoi dati?

La prima cosa è senza dubbio l'attenzione. Adottare tutte le misure di protezione tecniche come l'autenticazione a due fattori, cambiare spesso le password, avere nomi utenti diversi per i diversi account. Insomma, tutto quello che è in nostro potere. Ma a questo aggiungerei anche sempre di più usare il buon senso e rispolverare un po' di vecchia sana diffidenza, poiché sempre di più il furto d'identità è dovuto a uno scambio dell'utente vittima con criminali che a loro volta sono sempre più esperti nell'individuare le sue vulnerabilità.