Foto Ansa

“Ogni due secondi qualcuno resta vittima di un furto di identità” avverte la pubblicità di tigerdirect.
com, un software antivirus e anti spy-ware, dalle pagine di Sky Mall una nota rivista commerciale statunitense. La pubblicità sottolinea che il pericolo non è solo di tipo economico, ma riguarda anche fasce sociali a rischio, come ad esempio i teenagers, che con il sistema di Instant Messenger o i vari cosiddetti social networks, rischiano di essere contattati da estranei anche con intenzioni criminali. Non a caso la pubblicità insiste sulla “sicurezza della famiglia” e dice che l’acquisto del software in vendita sostiene il National Centre for Missing and Exploited Children. Un concetto di identità che si estende ai membri della famiglia, facendo appello al senso di responsabilità dei genitori in un terreno in cui da soli non riuscirebbero a proteggere i più deboli adeguatamente.
Non vi è dubbio che se fino a pochi anni fa si era abituati a considerare il fenomeno delle intrusioni nei computer come attacchi alla “macchina” o, al massimo, come distruzione dei dati e malfunzionamenti, oggi la percezione di rischio si è trasferita sulla persona.
Secondo il McAfee/NCSA Cyber Security Survey, un’analisi della National Cyber Security Alliance (1) il 50% degli americani sarebbero già stati contattati da malintenzionati. L’analisi sottolinea che il senso di sicurezza è spesso falsato perché, seppure si installano antivirus, spesso non si procede all’aggiornamento, non ci si rende conto che i firewall sono disattivati e pochissimi hanno una protezione anti-spyware e protezione anti-phishing.
La Federal Trade Commission (FTC) statunitense sostiene che nel solo 2005 vi siano stati 8.300.000 cittadini americani vittime di furto di identità (2) , mentre la compagnia di consulenza finanziaria Gartner ha pubblicato uno studio secondo cui le vittime, nel 2006, sarebbero arrivate a 15.000.000 (3) .
Nella maggior parte dei casi si tratta di dati relativi a furto di identità legato a conti bancari e carte di credito, ma è vero anche che 1,8 milioni di persone sono rimaste inconsapevolmente coinvolte in truffe prevalentemente ai danni di Istituti di credito e commercianti, a causa del furto della loro identità (4) . La FTC ha riportato che il danno finanziario causato da tali furti nel 2003 negli USA è stato complessivamente di 52 miliardi di dollari (5) , di cui 5 frodati a persone e 47 agli Istituti finanziari.
In Europa il fenomeno è ancora relativamente contenuto. Una ricerca di Dynamics markets (6) dell’agosto 2008, riportata da Adiconsum, sostiene che nel Vecchio Continente i furti di identità ammontino a 6,5 milioni. In particolare, le vittime sono state 4,3 milioni nel Regno Unito, 1,8 milioni in Germania, 162.000 in Belgio, 128.000 in Olanda e 87.000 in Irlanda. In Italia, invece, un cittadino su quattro, secondo Adiconsum (7) , ha avuto esperienza diretta o indiretta (tramite familiari e conoscenti) del furto d’identità. C’è da rilevare che nella maggioranza dei casi le frodi non vengono denunciate perché si tratta di piccole somme o perché le vittime non si sono ancora rese conto del danno.
Il furto di identità, sebbene considerato un “nuovo crimine” ha, in realtà, radici lontane: basti pensare all’abuso dei documenti rubati insieme al portafoglio di un tempo. Al giorno d’oggi sia il furto d’identità che i reati ad esso collegati sono amplificati dalla diffusione delle informazioni su Internet. I reati più comuni commessi con le identità altrui vanno dalla falsificazione, contraffazione, truffe con carte di credito ed assegni, fino a reati connessi al terrorismo e all’immigrazione clandestina, ovvero ingresso illegale con documenti veri o falsi ma appartenenti a persone esistenti. A questi vanno aggiunti anche il traffico di auto rubate o dei pezzi di ricambio, accompagnati da documenti ed intestate ad ignari cittadini, l’accensione di mutui e l’apertura di conti correnti per attività illecite.
Per quanto riguarda il furto di identità legato all’immigrazione clandestina, basti citare il caso recente accaduto a Novara di un cittadino egiziano che si era procurato una carta di identità contraffatta recante i dati di un ignaro cittadino maghrebino regolare, con permesso di soggiorno contraffatto in cui risultavano i dati dell’immigrato regolare, ma con la foto del clandestino (8) . Il clandestino è stato arrestato per falsa attestazione a Pubblico Ufficiale, possesso di documenti contraffatti e sostituzione di persona.
Il furto di identità, spesso, ha conseguenze gravose per le vittime, le quali possono vedersi minacciare dai creditori, possono incorrere in problemi bancari, taglio alle forniture e, nei casi più estremi, arresti e processi, con l’onere di dimostrare la propria estraneità ai fatti contestati. Questo tipo di vittime, oltre ai danni patrimoniali, soffrono di problemi psicologici dovuti agli sconvolgimenti causati dai problemi pratici. A questo si può aggiungere che circa l’11% delle vittime conosce i responsabili perché il crimine viene perpetrato da amici, colleghi o familiari (9) .
I fattori che in genere contribuiscono al furto di identità possono essere riassunti come segue: a) per quanto riguarda le vittime, uno dei problemi maggiori sta nel fatto che queste ci mettono molto tempo a scoprire il furto. Il danno è proporzionale al tempo trascorso dal furto alla scoperta. Peraltro, vittime più inconsapevoli spesso subiscono danni maggiori soprattutto, per quanto riguarda le insistenze dei creditori, tagli di servizi, rapporto con le banche e servizi bancari; b) per quanto riguarda i perpetratori, essi sono attratti dal furto di identità per due importanti ragioni: 1) è un crimine facile da commettere per via della disponibilità di dati personali in Internet o contenuti in files d’affari resi accessibili da impiegati disonesti; 2) le vittime scoprono il crimine anche molti anni dopo che è stato commesso.
Un fattore da non sottovalutare, come si è detto, è la familiarità della vittima con il perpetratore perché è più facile che si consegnino dati personali a persone percepite come affidabili; secondo dati riportati dal Centre for Policy Oriented Policing nel 2003 l’86% delle vittime negli USA conosceva il ladro dei propri dati (10) .
Vi sono due tipologie di truffatori: quelli che cercano di rubare la maggior quantità possibile di denaro dal conto forzato – ben sapendo che l’ammanco verrà presto scoperto e, quindi, i canali di accesso chiusi – e quelli che prelevano piccole somme, talvolta piccolissime, con costanza e per lungo tempo. Ci sono poi gli skimmer, piccoli apparecchi posti in alcuni sportelli automatici in grado di leggere i dati contenuti in un bancomat e registrare il PIN composto per prelevare denaro. Una volta scaricata la memoria dell’apparecchio in un computer, il bancomat viene clonato in pochi minuti. La metodologia criminale delinea, dunque, un panorama vario e articolato.
Il caso ormai più noto è quello pubblicato nel libro di Dell’Aiuto, Cronache da ultima pagina (11) , in cui si racconta la reale disavventura di una coppia che smarrì i propri documenti durante il viaggio di nozze alle Maldive nel 1989. Il danno patrimoniale subìto in seguito al prelievo di tutti i risparmi fu solo il primo anello di una catena di eventi che, a distanza di venti anni, non si è ancora risolta. Vennero minacciosi gli incaricati del recupero crediti di alcune aziende pretendendo pagamenti, ma le due vittime, in totale buona fede, pensarono ad un caso di omonimia. Dovettero, tuttavia, affidarsi ad un avvocato per risolvere la faccenda, e questi scoprì che a nome degli sventurati risultavano intestati 11 conti correnti bancari con sofferenze per importi che assommavano a due miliardi di lire. Per non parlare delle centinaia di multe comminate per ogni tipo di infrazione dalle dieci auto di lusso e grossa cilindrata che non sapevano di possedere, delle denunce non più impugnabili che li condannavano ad un totale di un anno di reclusione, alla bancarotta fraudolenta, per gli assegni scoperti firmati dall’uomo che possedeva la loro identità, ai pignoramenti dei mobili, della casa e degli stipendi e 70 processi da affrontare.
Già nel 1970 Frederick Forsyth nel suo famoso romanzo Il giorno dello sciacallo raccontava come il protagonista, incaricato di uccidere il Presidente francese Charles De Gaulle, si creasse ben quattro false identità. Egli dapprima cerca un nome, che trova sulla lapide di una tomba di un bimbo che avrebbe avuto pressappoco la sua età al tempo dell’azione del romanzo. Poi richiede il certificato di nascita del defunto. Poiché le informazioni contenute nell’atto non sono incrociate con l’eventuale certificato di morte, il killer raggiunge il suo primo obiettivo, che gli permetterà poi di ottenere il passaporto, la patente di guida, affittare una casa ed aprire un conto in banca. Il furto d’identità non è un reato fine a se stesso: il suo nuovo nome e i documenti – rigorosamente autentici – gli dovrebbero permettere la fuga dopo l’omicidio.
Il punto focale – infatti – è che il furto d’identità è funzionale alla perpetrazione di reati, ma deve essere considerato un grave reato esso stesso. Le legislazioni europee in materia non sono ancora coordinate: al 2004, anno in cui la commissione europea ha organizzato il Forum on the Prevention of Organised Crime e ha iniziato a dedicare attenzione sistematica al problema, solo 8 Stati su 19 interpellati avevano una normativa specifica sul furto d’identità.
Peraltro, va detto che gli stessi USA hanno creato una Identity Theft Task Force soltanto nel 2006. La task force americana ha lo scopo di sviluppare un piano coordinato per combattere il furto di identità e ha già prodotto alcune linee guida e raccomandazioni che possono essere riassunte in queste quattro aree: 1) tenere i dati sensibili dei consumatori lontano dalle mani dei ladri di identità, attraverso migliori pratiche di sicurezza dei dati e educando i consumatori a proteggere se stessi; 2) rendere più difficile per i ladri di identità, quando riescono ad ottenere dati sui consumatori, usare quei dati per rubare le identità; 3) assistere le vittime a riprendersi dagli effetti del crimine; 4) predisporre dei deterrenti per il furto di identità perseguendo e punendo con fermezza i criminali. Vi è la proposta di creare un Centro Nazionale per l’Applicazione della Legge sul Furto di Identità (National Identity Theft Law Enforcement Center) che favorisca il coordinamento fra le istituzioni penali e civili e il settore privato. Vi sono poi proposte complesse che riguardano, ad esempio, la possibilità per il giudiziario di ricevere informazioni dalle istituzioni finanziarie e la possibilità di condurre investigazioni e perseguire ladri di identità che risiedano in paesi stranieri. La sollecitazione è forte e, infatti, viene anche proposto maggiore impegno per l’addestramento delle Forze dell’ordine in questo campo, sempre in evoluzione e, in alcuni aspetti, non ben conosciuto.
Nella Convenzione sul Cyber-crime (12) del Consiglio d’Europa, il furto d’identità non è stato interpretato come un vero reato, sebbene l’articolo 8 della Convenzione riguardi le frodi telematiche, con l’intenzione di criminalizzare chi causa per qualcuno la perdita di proprietà con intenzionalità e senza averne diritto, attraverso qualunque mezzo, sia input, alterazione o cancellazione di dati di computer o altra interferenza con il funzionamento di un computer system, allo scopo fraudolento di procurare un beneficio economico a se stesso o ad altro (13) . Il Consiglio d’Europa fa riferimento specifico al furto di identità nel Rapporto del Comitato per gli Affari Economici e lo Sviluppo, intitolato “La lotta dell’Europa contro il crimine organizzato economico e transnazionale: progresso o indietreggiamento?” sottolineando che con lo sviluppo delle tecnologie informatiche oggi non si può più essere certi che la persona al capo di una fibra ottica sia quella che dichiara di essere (14) .
In Italia è l’art. 494 del Codice penale che prevede il reato di sostituzione di persona, eventualmente integrato da altri reati, tra i quali quello di frode informatica. La repressione di questo crimine, tuttavia, presenta ancora delle lacune se consideriamo quanto capitato al Direttore della rivista online Wired che, accortosi dell’esistenza di un omonimo sul social network Facebook che utilizzava gli stessi suoi dati, le stesse sue foto e ‘chattava’ con i suoi stessi amici, decide di denunciare l’accaduto ma trova molte difficoltà nel portare avanti la sua battaglia (15) .
In Italia, tuttavia, abbiamo agenzie d’eccellenza nella lotta al cyber-crime, a partire dal GAT della Guardia di Finanza, diretta dal colonnello Umberto Rapetto, che ha ottenuto un gran numero di successi nella caccia ai criminali, e l’Electronic Crime Task Force (ECTF), nata da un accordo tra il Secret Service statunitense – che opera contro le frodi dal 1865 – la Polizia di Stato e le Poste Italiane (16) . L’accordo per l’istituzione della ECTF, che avrà sede a Roma, è stato firmato all’inizio dell’estate 2009 dal direttore della Polizia Antonio Manganelli e dal direttore del Secret Service Mark Sullivan.
La dimensione internazionale del fenomeno dei reati informatici, impone necessariamente una stretta collaborazione tra le autorità di tutti i paesi coinvolti. Il furto d’identità per via telematica, infatti, è compiuto per lo più da Paesi terzi che, spesso, attraverso triangolazioni e utilizzando cittadini ignari come “portavalori”, violano sistemi bancari e leggi sull’esportazione di valuta. È quanto è accaduto a M.B. che ha accettato una proposta di lavoro ricevuta per e-mail (17) . Il suo compito era quello di effettuare trasferimenti di denaro contante dal proprio conto corrente ad alcuni nominativi in Russia ed in Ucraina, utilizzando i servizi di due società specializzate nell’invio di valuta all’estero, solitamente legate alla spedizione delle rimesse degli immigrati. Il denaro, però, non era frutto di transazioni legali, ma il risultato di un furto d’identità e conseguente prosciugamento del conto del sig. F.S., imprenditore. Il sig. M.B., grazie al passaggio del denaro sul proprio conto corrente, si è reso involontariamente complice dei criminali che, in questo modo, non sono mai emersi ed hanno evitato persino il transito interbancario e la tracciabilità. Difficilmente il denaro potrà essere recuperato, nonostante si conoscano i nomi e i recapiti di coloro che li hanno ricevuti, a causa della scarsa cooperazione tra i paesi in questa materia. Resta da porsi la domanda su come abbiano fatto a rubare l’identità del sig. F.S.. Il sistema più semplice per procurarsi l’accesso ad un conto corrente è quella del phishing, sebbene ormai sia sempre più difficile raggirare gli internauti che hanno acquisito una certa consapevolezza del fenomeno. Il proliferare dei conti bancari gestibili dal proprio computer ha generato un’enorme quantità di tentativi di truffa. Tutto ha inizio con una e-mail nella quale si chiede all’utente di verificare i propri dati di accesso al sito della banca o della carta di credito. L’e-mail, naturalmente, è falsa e conduce ad un sito clone della propria banca, dove verrà richiesto di inserire molti dati personali oltre a quelli di accesso. Cliccando su invio si regalano la propria identità e i propri risparmi ad ignoti truffatori (18) .
Secondo l’IBM Internet Security Systems X-Force 2008 Trend & Risk Report (19) , l’Italia si è piazzata seconda sul podio dei paesi luogo d’origine delle e-mail di phishing (14,0%), seguendo la Spagna (15,1%) ma distanziando Paesi tecnologicamente avanzati come Francia (6,4%), Germania (4,4%) e Stati Uniti (2,8%).
Un fenomeno in crescita è quello delle società e agenzie che ripuliscono la Rete dai dati sensibili, sebbene ciò sia possibile solo con i codici di accesso per i vari siti o attraverso una sentenza del tribunale.
Il problema della sicurezza dei dati personali in un contesto di libero scambio delle informazioni telematiche è in Francia materia di cui si occupa, fin dal 1978, un’Agenzia governativa: il CNIL (Comission Nationale Informatique et Libertés) che riunisce 17 membri tra i quali 2 deputati e 2 senatori, magistrati di cassazione e della Corte dei conti ed altri nominati dal Presidente dell’Assemblée Nationale, dal Presidente del Senato e dal Consiglio dei Ministri. La commissione dispone, inoltre, di 120 agenti con il compito prevalente di vigilare sul corretto trattamento dei dati personali e sulla sicurezza delle banche dati. A causa del suo ruolo consultivo per il governo in materia di sicurezza informatica, le delibere degli ultimi anni – tutte a favore di un maggior controllo di Internet attraverso l’utilizzazione di filtri informatici, del passaporto biometrico, dell’installazione di spie elettroniche (mouchard) da parte delle assicurazioni alle vetture dei propri assicurati, ecc. – sono state criticate da organizzazioni per le libertà ed i diritti civili. Il 14 dicembre del 2007 la sede parigina della commissione è stata occupata da alcune frange più estremiste. Il CNIL, tuttavia, è tra i primi organismi istituzionali ad allargare il dibattito dal furto d’identità al “diritto all’oblìo”. Si tratta, in breve, del diritto di vedere cancellate dalla rete informazioni che possono ledere la nostra vita professionale e privata. “Come può reagire un vostro interlocutore che ha raccolto delle informazioni sul vostro orientamento politico in un sito come Facebook? (…). Qual’è la ripercussione della pubblicazione di una condanna giudiziaria su Internet senza limiti di durata, considerando che, invece, se viene pubblicata su un giornale cartaceo ha un effetto puntuale e delimitato (…)? E, ancora, come evitare che un locatore rifiuti di affittare un appartamento ad un giovane professionista dopo che ha trovato su di lui le prove di una vita studentesca agitata?”. (20)
In sostanza si tratta del diritto di cancellare quelle informazioni che, altrimenti, rimarrebbero fisse ed intangibili e potrebbero essere moltiplicate da altri siti.
Questo problema è molto sentito negli Stati Uniti ed in Australia dove, oltre al problema di stabilire quale tribunale abbia la competenza territoriale nelle cause che coinvolgono Internet, il quesito rivela aspetti ancora più complessi: se per un risarcimento di danni morali in seguito a diffamazione, per le pubblicazioni a stampa o radiotelevisive ci si può basare su parametri come la tiratura o l’audience, la diffusione, l’autorevolezza, la periodicità, ecc., una pubblicazione sul Web è potenzialmente illimitata sia come lettori sia come permanenza nella Rete. La tendenza dei tribunali di questi due Paesi, infatti, è quella di considerare Internet più lesivo per la reputazione (21) .
Il desiderio di rifarsi una reputazione, compromessa da debiti e bancarotta ha, invece, aperto un fronte commerciale per numerosi siti e agenzie che offrono una nuova identità creditizia negli USA. Chi ha fatto bancarotta viene iscritto in un registro analogo a quello italiano dei protestati, dove il suo nome soggiornerà per 10 anni, impedendogli di ottenere credito, mutui, carte di credito ed altri servizi finanziari. Per risolvere la situazione si può ricorrere a speciali agenzie che forniscono nuovi numeri di previdenza sociale (SSN), equiparabili al nostro codice fiscale, ma formato da una sequenza numerica progressiva. In realtà si tratta di una doppia frode: da parte di chi vende i numeri, che non solo compie un illecito (22) , fornendo illegalmente dei regolari numeri legati all’ufficio del lavoro e non quelli della previdenza, dopo aver verificato che il corrispondente SSN non appartenga ad un protestato, ma froda anche l’acquirente – che commette anch’egli un reato – propinandogli un codice diverso da quello di cui ha bisogno.
Alle esigenze del mercato si sommano i piccoli gruppi che si affacciano reclamando la cancellazione dei propri dati da blog, social network e altro, dai quali si sono ritirati. Un gruppo formato su Facebook, che contava circa 300 iscritti ma che ora ha cessato di esistere si faceva provocatoriamente chiamare “Come si fa a farsi cancellare da Facebook senza chiamare un avvocato?”. Il problema non riguardava la semplice chiusura dell’account – che anch’essa sembra essere macchinosa e poco intuitiva per i meno smaliziati – ma il fatto che i dati, pur non visibili, sarebbero rimasti fluttuanti all’interno del social network per lungo tempo. Per ovviare a questo tipo di situazioni si sta diffondendo una voce sempre più insistente sull’esistenza di hackers che, dietro compenso, ripulirebbero i dati personali sparsi nel cyber spazio, naturalmente violando siti e protezioni (23) . Bisogna però correre il rischio di comunicare esattamente i dati che si vuole far scomparire, affidandoli di fatto, nuovamente, ad uno sconosciuto.
Al momento c’è chi ha iniziato a commercializzare kit per diventare investigatori privati specializzati nel furto di identità: il sito PI mall, che vanta di essere un network tra investigatori privati fin dal 1993, commercializza, tra i numerosi “aggeggi” utili alla professione, anche questo kit composto da tre manuali, un dvd e un cd con i moduli per l’affidamento di incarico e “tutti i moduli necessari per risolvere il caso”. Il costo è di 295 dollari e l’ordine si può fare attraverso una connessione criptata a 128 bit. Il diploma verrà spedito a casa dopo aver inviato il test, e allora si potrà iniziare la nuova attività che, promette la pubblicità, “vi farà diventare il loro salvatore e guadagnerete 500 dollari per ogni caso” (24) .
Si apre un vero e proprio commercio dell’anti furto di identità o dell’identità protetta o ripulita, potenzialmente molto redditizio. Altre iniziative rivolte alla prevenzione o all’assistenza delle vittime si stanno moltiplicando, dimostrando così che il problema è reale, preoccupante e fortemente sentito e necessita di adeguato e concertato contrasto.