L’esposizione nella rete ci rende vulnerabili, amiamo condividere la nostra quotidianità, affamati di approvazione e di consensi. Forniamo intenzionalmente dei “pezzi” della nostra persona e della nostra vita con chiunque, con l’ingenuità del bambino che accetta una caramella da uno sconosciuto.
Da piccoli, quando passavamo pomeriggi interi al parco, questo era senza dubbio l’avvertimento che i nostri genitori ci ripetevano più spesso, ma ora, che trascorriamo sempre più tempo davanti allo schermo di uno smartphone, la premura ridondante è: ”Non accettare l’amicizia (su Facebook) dagli sconosciuti”.
Parliamo spesso dei rischi connessi ad un uso irresponsabile della rete, ed in questa occasione tratteremo del furto d’identità digitale.

Sommario
Come si realizza il furto d’identità online?
Se possiedi un profilo social o semplicemente un indirizzo mail la prossima vittima potresti essere tu. (Puoi toccarti nelle parti basse o fare gli scongiuri che ritieni più opportuni).
Per “rubare” l’identità di un altro utente su un social network non occorrono grandi abilità: è sufficiente sottrarre l’immagine del profilo (e quanto più materiale accessibile) e creare un nuovo account. Il gioco è fatto, ci sarà un nuovo Mario Rossi a tua immagine e somiglianza.
Bada bene non stiamo chiaramente esortando nessuno a provarci ma è un’operazione talmente banale che spesso non viene nemmeno considerata.
“Fino a qui tutto bene! Il problema non è la caduta ma l’atterraggio..” diceva un famoso film di qualche anno fa! Difatti ciò che deve destare serie preoccupazioni è ciò che consegue alla “duplicazione” del tuo profilo.
L’Identity Theft (cd. furto d’identità) è infatti un fenomeno criminoso complesso che si articola in diverse fasi: dapprima il reo ottiene le informazioni personali delle vittima dopodiché le utilizza illecitamente per commettere ulteriori reati, non necessariamente contro il patrimonio, ma anche ad esempio diffamazioni o minacce.
Quando il malintenzionato si spaccia per una persona che conosce, in genere, intende sostituirsi a lei per compiere azioni al suo posto, ad esempio pubblicare foto inappropriate, fornire dichiarazioni diffamatorie, estrapolare informazioni a terzi, etc.
In questi casi il carnefice vuole “sporcare” la reputazione virtuale della persona offesa, il più delle volte spinto da sentimenti di rancore e di vendetta ed in genere non si introduce nel profilo della vittima ma ne crea uno ad hoc (cd. fake identity).
Diversamente, in altre fattispecie l’identità della vittima è irrilevante: al reo non interessa colpire la vittima in sè, si avvale infatti della sua identità come mezzo per ottenere illecitamente un profitto sottraendole denaro o dati sensibili oppure commettendo reati a suo nome con gravissime conseguenze in capo alla stessa. Si pensi all’adescamento di minori, alla pedopornografia, al cyberbullismo, all’estorsione.
Nelle ipotesi più gravi inoltre il malintenzionato non crea un profilo/una mail sulla falsariga di quella originale ma altera il funzionamento del sistema informatico della vittima: si realizza un vero e proprio furto delle credenziali di accesso (cd. Identity theft in senso stretto).
La tecnica più diffusa è il phishing che consiste nell’invio di e-mail abilmente contraffatte, che segnalano all’utente inesistenti problemi al server dell’istituto bancario o la necessità di aggiornare i propri dati, per indurre l’utente stesso a cliccare su un apposito link in cui gli viene richiesto di fornire i propri codici identificativi.

Quali fattispecie delittuose integra?
L’identità digitale rappresenta un bene giuridico nuovo che presuppone il diritto all’utilizzo esclusivo in capo all’utente delle proprie generalità ed attributi nei sistemi informatici. Esso può essere ricompreso nel novero dei diritti della personalità ed è un bene giuridico primario sicuramente meritevole di attenzione e di tutela penale.
Tuttavia non esiste una specifica norma nel codice penale italiano che disciplini il furto d’identità digitale come reato autonomo.
Pertanto, con una interpretazione estensiva, la condotta posta in essere da colui che “ruba” il profilo altrui può essere collocata principalmente nel reato di sostituzione di persona ex art. 494 c.p.
Il malintenzionato si sostituisce illegittimamente alla vittima, attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, con il fine di indurre terzi (amici, parente, istituti di credito, etc.) in errore per ricavare un vantaggio per sé o per altri o procurare un danno alla persona sostituita.
In questa fattispecie delittuosa viene ricondotto anche il phishing.
Tuttavia il D.L. n. 933 del 2013 (convertito in L. 119/2013) ha riformulato l’art. 640ter c.p. sulla frode informatica introducendo il terzo comma che prevede l’aggravante del furto d’identità informatica.
Pertanto nel caso in cui un soggetto alteri in qualsiasi modo il funzionamento di un sistema informatico o telematico al fine di procurare a sé o ad altri un ingiusto profitto con altrui danno, è punito con la pena della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.
Infine, per completezza espositiva, vale la pena citare in questo contesto anche il reato di accesso abusivo a sistema informatico (art. 615ter c.p.). Questa fattispecie non è riconducibile al furto d’identità; il reo è in possesso delle credenziali d’accesso della vittima (solitamente da quest’ultima fornite) ma accede al suo sistema informativo senza esserne autorizzato. Il reo è quindi abilitato all’accesso ma vi si introduce o vi permane contro la volontà del titolare.
Ciò non esclude che tale reato possa concorrere con quelli poc’anzi trattati.
Per approfondimenti leggi anche (Accesso abusivo a sistema informatico – Cass. pen. sent. n. 565/2019; Phishing e Home Banking: il cliente truffato deve essere risarcito dalla banca – Cass. civ. sez. VI – ord. 9158/2018 )

Come prevenire questo fenomeno?
Attesa la semplicità con cui è possibile “rubare” delle informazioni, potrebbe essere utile seguire qualche accorgimento. Qui di seguito riportiamo una serie di consigli, indicati sul Sito istituzionale dell’Arma dei Carabinieri. (Link)
1. Ricordate che un computer può essere infettato non solo da un software malware ma semplicemente visitando un sito (drive-by download), senza che vi sia accesso all’hard disk. Per proteggervi, quindi, privilegiate l’adozione di uno scanner http che controlli i contenuti web prima che questi raggiungano il browser internet e provochino eventualmente dei danni.
2. Siate prudenti quando cliccate i link che ricevete in messaggi da altri utenti del social network.
3. Tenete presente che non sempre i messaggi, che sembrano provenire da persone che conoscete, sono autentici.
4. Mostrate prudenza e cautela di fronte a richieste di sconosciuti. Evitate di rispondere ad e-mail che chiedono di rivelare password o numeri di account, codici PIN o altre informazioni personali.
5. Diffidate di quegli applicativi in grado di accedere ai vostri dati personali e agli indirizzi delle vostre mailing list.
6. Digitate l’indirizzo del social network direttamente dal vostro browser o usate i preferiti. Infatti, se voi cliccate a questi siti attraverso link di altri siti, potreste incorrere in situazioni di phishing.
7. Scegliete un social
network che fornisca delle sufficienti garanzie di privacy.
8. Tenete presente che qualsiasi cosa decidiate di pubblicare in un social
network rimarrà permanente, anche
dopo la richiesta di cancellazione del vostro profilo.
9. Siate cauti quando
installate degli applicativi extra che potrebbero sottrarvi delle informazioni
personali.
10. Evitate di usare i siti di social
network in ufficio.
Nei limiti del possibile, questo fenomeno si può contenere. La prevenzione nasce in primis dalla scelta accurata delle password e della loro riservatezza.
Ad oggi, sebbene non sia sufficiente, esiste un sistema pubblico di identità digitale (cd. SPID), che potrebbe arginare in parte il fenomeno dei furti d’identità e dell’hacking.
Questo sistema consente a un soggetto di ottenere una propria identità digitale accessibile tramite user id e password come ogni altro tipo di profilo web, con la differenza che, al momento della richiesta e del conseguimento delle credenziali, viene seguito un iter di identificazione molto più rigido.
Sul mercato vi sono diversi gestori accreditati che offrono questo servizio.

Come comportarsi quando ci rubano l’identità?
Talvolta le vittime sono ignare di ciò che sta accadendo alle loro spalle e ne vengono a conoscenza tramite amici o parenti contattati dal trasgressore.
In ogni caso, una volta appresa la notizia del furto, occorre segnalare il fatto alla piattaforma/sito web/social network sul quale questo avviene e chiaramente sporgere denuncia alle Autorità competenti (Polizia postale, Polizia, Carabinieri).
Per la segnalazione, soprattutto sui social come Facebook o Instagram, basterà contattare l’assistenza e seguire le indicazioni offerte dalla piattaforma. Una volta presa in carico e valutata la gravità dei fatti il singolo social network prenderà i provvedimenti opportuni.
Nel caso di accesso non autorizzato ad un nostro account il primo approccio (piuttosto scontato) è quello di cambiare le credenziali di accesso, possibilmente scegliendole di una complessità maggiore rispetto a quelle hackerate.
Vi sono altresì diverse associazioni in difesa dei consumatori alle quali potrebbe risultare utile rivolgersi per ottenere consigli e consulenze su come agire per risolvere il problema, oltre alla possibilità di rivolgersi ad un legale che sarà certamente in grado di suggerirvi l’iter da intraprendere più confacente al caso concreto.
VP