strong authentication - Dati personali e identità digitale

Dati personali e identità digitale

Nell’era in cui il binomio vita reale-digitale sta diventando sempre più indissolubile, quotidianamente una grande quantità di dati personali, informazioni e preferenze approdano nel cyberspazio, in maniera più o meno consapevole.

Questa trasposizione online delle nostre vite ha generato la creazione della cosiddetta “identità digitale”, per nulla dissimile dall’identità personale.

L’identità digitale rappresenta un insieme di informazioni che si basano su dati personali e permettono di definire sul web un determinato soggetto, rappresentandone quindi virtualmente l’identità personale.
Facciamo un passo indietro, inquadrando meglio l’unità base della nostra identità digitale: i dati personali.

Con i dati personali si indicano quelle informazioni attraverso le quali un determinato soggetto è identificato o identificabile.

Tuttavia, un singolo dato personale, in genere, non è sufficiente a identificare una persona, ma sono necessari più dati che, incrociati, rendono la persona fisica non confondibile con altre.

Normalmente gli stati hanno un codice per identificare in maniera univoca un individuo (in Italia il Codice Fiscale CF), che alle volte non si rivela neanche sufficiente. Nei casi in cui questo dato non sia disponibile è necessario incrociare più dati che arrivano da diverse fonti per permettere l’identificazione di un individuo con sufficiente grado di accuratezza.

Per questo, il concetto di dato personale deve sempre essere riferito al contesto e analizzato in relazione alla possibilità di identificare una persona fisica.

Dati personali: a quali categorie appartengono

I dati personali si suddividono in diverse categorie:

• I dati per l'identificazione

In questa categoria rientrano i dati anagrafici, che fanno parte di quelli che permettono l’identificazione diretta, e i dati che invece consentono l’identificazione indiretta, come la targa dell’automobile e l’indirizzo IP;

• I dati sensibili

Ovvero quelli che caratterizzano il soggetto all’interno di determinate categorie, come l’etnia, le convinzioni religiose, le idee politiche e le informazioni sulla propria salute. Il Regolamento UE 2016/679 ha stabilito che fanno parte di tale categoria anche i dati biometrici, i dati genetici e l’orientamento sessuale;

• I dati penali e giudiziari

Ovvero quelle informazioni che fanno riferimento a provvedimenti giudiziari in base ai quali il soggetto o è iscritto nel casellario giudiziale oppure è indagato. Il Regolamento UE 2016/679 all’art. 10 ha incluso tra questi dati le condanne penali, i reati e le misure di sicurezza.

Negli ultimi anni, si è aggiunta un’altra categoria di dati personali, che sono quelli ottenuti grazie alle nuove tecnologie, per esempio in relazione agli spostamenti registrati tramite la geolocalizzazione.

Identità personale e identità digitale

Illustrati brevemente i dati personali, possiamo tornare sul nostro argomento principale, ovvero l’identità digitale.

Riassumendo, si tratta dell’insieme di informazioni digitali, basate anch’esse sui dati personali, che permettono di identificare una persona all’interno di un sistema informatico.

Stabilire l’univocità tra identità digitale e la persona fisica non è semplice in quanto sono necessarie azioni che effettivamente consentano l’identificazione del soggetto. In risposta a questo problema, in Italia, sono stati introdotti lo SPID e, ultimamente, la CIE (la carta di Identità Elettronica). Questi sistemi di identificazione nel mondo digital sono stati adottati dalla Pubblica Amministrazione per Identificare in modo certo un cittadino italiano attraverso un ID unico ed utilizzabile “erga omnes” riducendo i rischi di frode o di furto di identità, digitalizzando e semplificando al tempo stesso le note lunghe procedure burocratiche.

Furto di identità digitale: che cosa comporta e quand’è reato

Nel corso del tempo, a causa dell’incremento dei servizi digitali fruibili per via telematica, il furto di identità digitale è diventato un rischio piuttosto diffuso.

La trasmissione dei propri dati via internet non solo è all’ordine del giorno, ma interessa tutti in moltissime operazioni quotidiane. Pertanto, il rischio di furto dell’identità digitale continua ad aumentare dovuto principalmente ad una scarsa cultura della sicurezza digitale, e ad attacchi sempre più raffinati che traggono in inganno anche un cittadino avvezzo all’uso delle nuove tecnologie.

Esistono cyber attacchi di ampia portata, come i data breach, attraverso i quali i cyber criminali riescono a “bucare” i sistemi di server internazionali e copiare i dati degli utenti. A ciò, poi, si aggiungono fenomeni più localizzati, come phishing o malware attraverso i quali gli hacker riescono a entrare nell’account di una singola persona appropriandosi dei suoi dati personali sensibili

Spesso i dati vengono poi inseriti nel cosiddetto darkweb dove vengono rivenduti o riutilizzati per compiere azioni fraudolente, per esempio utilizzando i dati della carta di credito dell’utente.

Talvolta il furto dei dati avviene in maniera progressiva: violando l’accesso alla mail, gli hacker possono riuscire a reperire altri dati dell’utente, per esempio attivando una nuova SIM (SIM Swap attack) con i dati della persona a cui è stata rubata l’identità. 

Il furto di identità digitale è una condotta che si verifica quando attraverso la rete una persona si presenta con una identità che non corrisponde alla propria.

Secondo il Codice Penale, le azioni passibili di sanzioni sono quelle che si verificano quando:

  • Ci si sostituisce ad un’altra persona, utilizzandone i dati personali, ovvero quando si finge di essere un’altra persona con il suo consenso o meno. Ciò piò avvenire, nella vita reale e sul web, per esempio, quando si partecipa ad un concorso pubblico al posto di un’altra persona.
  • Quando si utilizzano dei dati falsi, per esempio creando un’identità immaginaria che non corrisponde a nessun’altra persona reale.
  • Quando si utilizzano alcuni dati anagrafici falsi oppure ci si attribuiscono delle caratteristiche che non si posseggono. Per esempio, quando si millanta di avere un titolo di studio che non si possiede oppure ci si dichiara single mentre si è sposati.

Quando queste condotte vengono tenute utilizzando il web, allora si rientra nel reato di furto di identità digitale, che rappresenta una variante della sostituzione di persona (articolo 494 del Codice Penale) e che può comportare anche la frode informatica (articolo 640 del Codice Penale). Ciò avviene, per esempio, quando per potersi sostituire ad un’altra persona vengono utilizzate le sue credenziali di accesso a un sito e utilizzate a proprio vantaggio oppure vengono usate per compiere azioni illecite.  

In particolare, il furto di identità digitale spesso viene utilizzato per frodi commerciali o finanziarie, introducendosi in account altrui e avviando trattative o compravendite a nome di un’altra persona.

Per evitare di incorrere questi rischi, è molto importante usare misure di sicurezza come la Strong Authentication, o autenticazione forte, che permette la protezione dei dati. La sua introduzione è diventata obbligatoria con la PSD2, la normativa europea sui servizi di pagamento, per tutelare le transazioni on line e consentire acquisti più rapidi e più sicuri.