strong authentication - furto identità digitale

Il rischio di furto dell’identità digitale

Il furto dell’identità è un rischio sempre presente, sia nella vita reale sia in quella virtuale. Rubando i dati personali di una persona, ci si può spacciare per questa e compiere delle azioni fraudolente.
Quando ciò avviene rubando in rete le informazioni personali di un soggetto e riutilizzandole, si parla di furto di identità digitale.

Spesso questo avviene assieme alla frode informatica, in quanto vengono utilizzati dati come quelli delle carte di pagamento per effettuare pagamenti a spese di qualcun altro. In linea generale, la frode informatica si configura quando utilizzando false generalità si trae inganno qualcuno a fini fraudolenti.

Pertanto, il reato non si limita al furto dell’identità ma si estende anche alle azioni che ne conseguono. 

In particolare, sono considerate reato le seguenti condotte:

  • Quando una persona si spaccia per un’altra;
  • Quando una persona utilizza un falso nome, legato a una identità immaginaria che costruisce ad hoc;
  • Quando una persona si attribuisce una qualità che non ha con conseguenze giuridiche, per esempio quando dichiara di essere sposato e non lo è o viceversa.

 

Nel caso del furto dell’identità digitale, sono sempre più frequenti i casi in cui un soggetto utilizza i dati di un’altra persona operando via internet. In questo caso, i reati possono essere la sostituzione di persona oppure la frode informatica. 

A seconda dell’obiettivo che l’hacker intende raggiungere, può cercare di ottenere l’accesso ad una serie di dati.

In linea generale, i dati che riscuotono maggior interesse da parte dei ladri di identità digitale sono:

  • Dati anagrafici, che permettono di sostituirsi a un’altra persona e di agire anche in modo fraudolento a suo nome.
  • Dati bancari, che consentono l’accesso a carte di pagamento e conti bancari.
  • Credenziali di accesso, che aprono le porte a vari account e ad altri dati privati.

Come evitare il furto di identità digitale

Il furto dell’identità digitale può rappresentare un pericolo particolarmente serio non solo per i privati ma anche per le aziende. Il furto delle identità dei dipendenti, così come degli utenti e dei clienti, può dare luogo a una serie di azioni fraudolente:

  • Violazione della privacy e reperimento illecito di dati personali con cui possono essere compiute azioni fraudolente;
  • Rivendita dei dati personali ad altri soggetti;
  • Sfruttamento dei dati per organizzazione di truffe, minacce, richieste di riscatto, etc.


A livello europeo, il GDPR obbliga coloro che trattano i dati personali a fornire tutte le garanzie necessarie a tutelare i proprietari dei dati stessi, al fine di tutelare gli utenti dal rischio dello sfruttamento dei dati personali.

Ciò comprende anche la sicurezza dei dati informatici, che devono essere custoditi in modo sicuro utilizzando tutte le strategie necessarie ad offrire la massima protezione. L’organo preposto al controllo è il Garante per la protezione dei dati personali che può sia comminare sanzioni amministrative sia avviare procedimenti penali contro i trasgressori, con sanzioni fino ai 3 mila euro e pene fino ai sei anni di reclusione.  

Pertanto, la tutela dei dati non è solo un invito alla buona condotta da parte di quelle aziende o piattaforme che si trovano a gestire i dati dei propri utenti, ma è un obbligo di legge vincolante.

Dal punto di vista dell’utente, il primo accorgimento da seguire è quello di affidarsi ad aziende e piattaforme che si mostrino trasparenti nella richiesta e nel trattamento dei dati, e che utilizzino sistemi di sicurezza affidabili come la Strong Authentication (SCA).

L’autenticazione multifattoriale, caratteristica della SCA, si presenta come il metodo più sicuro per contrastare le violazioni degli account: la sola password non rappresenta un sistema di protezione degli account sufficientemente sicuro, in quanto facilmente violabile o ottenibile con astuti mezzi fraudolenti come il phishing o come attacchi a “forza bruta” su password triviali.

Nel caso del phishing, è l’utente a rivelare inavvertitamente la propria password, ingannato da comunicazioni fraudolente che lo spingono a cliccare su link pericolosi o a rivelare i propri dati personali pensando di accedere al proprio account. Invece, negli attacchi a “forza bruta” si sfrutta la vulnerabilità della scelta di password identiche e/o banali facilmente ipotizzabili.

Assieme agli attacchi ransomware, questo tipo di attacchi va sotto l’ombrello del social engineering, in cui l’utente in modo spontaneo fornisce le proprie credenziali digitali a soggetti e/o organizzazioni criminali.

La strong authentication per ridurre il rischio di furti

La Strong Authentication rappresenta un ottimo sistema per contrastare il rischio di furti di dati informatici. Con l’autenticazione multifattoriale, infatti, per entrare in un account si richiede l’inserimento di almeno due fattori appartenenti a due categorie diverse, ovvero:

  • Un dato che l’utente conosce, come la password o il pin;
  • Un dato che l’utente possiede, come app su un device o un token che permette di ricevere un codice temporaneo;
  • Un dato biometrico, come l’impronta digitale o il riconoscimento facciale.

L’unione di due dati appartenenti a due categorie diverse rende l’autenticazione particolarmente sicura, in quanto supera le criticità legate alle password, spesso facilmente violate dagli hacker.

In questo senso, Ireth si presenta come una delle aziende più autorevoli e sicure del settore, grazie a una serie di servizi e prodotti per l’autenticazione forte con un eccezionale livello di sicurezza, oltre che uno studio e aggiornamenti costanti per creare software e hardware sempre più performanti. 

Proteggersi dai furti di identità digitale: consigli agli utenti

Per quanto le piattaforme a cui si accede possano essere sicure, non c’è la totale garanzia di non incappare in un furto di identità.

Se i gestori dei dati sono tenuti a mettere a punto le migliori protezioni di sicurezza, allo stesso modo gli utenti sono invitati a seguire alcune buone pratiche che li tutelino dalle violazioni.

  • Utilizzare un antivirus su tutti i device e tenerlo costantemente aggiornato;
  • Utilizzare password forti uniche per ogni account e che prevedano l’inserimento di caratteri maiuscoli e minuscoli, numeri e segni alfanumerici;
  • Evitare di aprire e-mail sospette, controllando sempre il reale mittente;
  • Non fornire codici di accesso né password via mail o via telefono: le piattaforme e i portali affidabili non le richiedono mai.
  • Mantenere un elenco aggiornato degli account attivi e dei device utilizzati.

 

Per quanto riguarda, invece, le aziende è consigliabile:

  • Formare i propri dipendenti riguardo le misure da adottare e i rischi a cui si può andare incontro;
  • Rispettare le direttive del GDPR;
  • Dotarsi di adeguati sistemi di sicurezza informatica e attuare un piano di crisis management nel caso si dovesse realizzare un attacco informatico.

I principali attacchi informatici per il furto dei dati

Le modalità attraverso cui gli hacker tentano di violare le misure di sicurezza e rubare i dati informatici sono di diverso tipo e spesso fanno leva sull’inesperienza e sulla disattenzione dell’utente.

Oltre ai data breach, agli attacchi ransomware e al phishing, vi sono altre situazioni che possono configurarsi come potenziali punti deboli attraverso cui si possono creare falle nei sistemi di sicurezza.

  • Navigazione in siti non sicuri: accedendo a siti non protetti o non proteggendo i propri device, si può incorrere in attacchi di phishing che permettono agli hacker di prelevare i dati dai propri account o che inducono a rivelarli inavvertitamente.
  • Furti di documenti postali: spesso attraverso la posta fisica vengono ancora oggi inviati documenti che contengono dati personali e che, una volta rubati, possono aiutare i cyber criminali a simulare l’identità di altre persone.
  • Clonazione e furto di carte di pagamento: la carta è un oggetto fisico che può essere rubata o di cui possono essere copiati i dati (numero, intestatario, codice di verifica, data scadenza) utilizzandola poi per acquisti on line. Inoltre, esistono dei sistemi inseriti in modo fraudolento nei bancomat per clonare la carta stessa.
  • Spoofing telefonico: si tratta di un sistema attraverso il quale una chiamata telefonica risulta derivare da un numero diverso da quello reale. Grazie a questa truffa, la vittima può essere indotta a rivelare informazioni private e dati personali.