IL FURTO D’IDENTITÀ DIGITALE DAI FAKE AL PHISHING

Il furto d’identità digitale è assimilabile al reato di sostituzione di persona previsto dal Codice Penale nel libro II Titolo VII all’art.494; attraverso questa fattispecie prevista dal legislatore del 1930 infatti, oggi è possibile includere anche le falsificazioni avvenute online.

Le modalità di questo reato sono molteplici, partendo da utenti che si fingono qualcun altro sul web per vantaggio personale, i cosiddetti fake, fino a veri e propri sistemi che alterano l’utilizzo di servizi online per vantaggio patrimoniale.

La norma, essendo stata riadattata al furto d’identità digitale e non essendo stata creata ad hoc, risulta generica e dunque fortemente influenzata dall’interpretazione della Magistratura.

Attualmente questa fattispecie prevede due falsificazioni alternative ovvero la sostituzione completa di persona, oppure l’attribuzione di un nickname, uno status o delle qualità personali false; risulta infatti punibile anche chi attraverso una falsa qualifica professionale organizza colloqui di lavoro per scopi personali.

Per comprendere in maniera completa questo reato appare essenziale fare delle comparazioni con il sistema e la dottrina statunitense, patria delle piattaforme digitali e di ciò che ne è correlato. In America, infatti, il furto d’identità digitale si divide in tre categorie, non associate a scopo di profitto economico: il catfishing, falsa identità contro una pluralità di utenti e il digital knidapping.

Il primo, da cui prende il nome anche il famoso programma tv di MTV, rimanda ad un vero e proprio “fake” dunque, alla condotta di chi “attira qualcuno in una relazione creando un personaggio online immaginario” (Oxford dictionary). Il catfish, attraverso l’inganno sui social network, raggira altri utenti intrattenendo relazioni virtuali senza mai svelare la propria vera identità, fisica e personologica.

La seconda categoria non sviluppa una relazione con un solo utente, ma interagisce con una molteplicità di utenti, in modo diretto o indiretto, anche attraverso degli intermediari a volte inconsapevoli della situazione creatasi.

Infine, con digital knidapping ci riferiamo a un utente che attraverso giochi di ruolo, quindi nascondendo la propria identità e non falsificandola, controlla altri individui non solo all’interno del gioco stesso.

Tornando alla legislazione italiana, identifichiamo questo reato come plurioffensivo, e procedibile d’ufficio, poiché esso lede la fede pubblica e una pluralità di utenti indeterminati: gli individui a causa di questi criminali, non riescono a fidarsi degli altri e non vivono serenamente i rapporti stretti online.

Analizzando gli elementi soggettivi del reato di furto d’identità digitale, notiamo come anche il tentativo è configurabile poiché la vittima potrebbe essere ingannata anche se il delitto non viene consumato, pur venendo in contatto con un profilo fake o altresì attraverso una mail sospetta di phishing.  

Inoltre, è riconosciuto il dolo specifico: l’autore, con coscienza e volontà, deve porre in essere l’atto al fine di arrecare un danno procurandosi un vantaggio patrimoniale o non patrimoniale.

In alcuni casi invece, potrebbe configurarsi un reato impossibile quando manca l’elemento offensivo: un utente potrebbe utilizzare dei dati diversi dai propri per la registrazione ad un sito o sostituire la propria identità con una inesistente; la giurisprudenza però a volte cerca di configurare anche questi come reati per la teoria della generalprevenzione.

Il furto d’identità digitale si ricollega ad altre due tipologie di illeciti sul web: il phishing e il cyberlaudering.

A livello normativo, il phishing non è categorizzato precisamente, ma viene interpretato considerando il reato-mezzo, la sostituzione di persona, e il reato-fine ovvero la frode informatica.

Attraverso la “mail esca”, inviata apparentemente da siti istituzionali al fine di aggiornare dati personali con il collegamento a un link, il cybercriminale ingannerà l’utente riportandolo su un’altra piattaforma creata ad hoc: ed è proprio così che si sviluppa l’identity theft succeduto dall’ identity abuse.

Spesso, a stretto contatto con il phisher potrebbe esserci il financial manager, ovvero colui che utilizza i proventi dei dati sottratti per il riciclaggio di denaro, ovvero il cyberlaudering. 

Analizzando questo reato dal punto di vista criminologico, invece, risulta importante dare attenzione alle tracce digitali che vengono lasciate sui sistemi di vittima e offender, importanti per la digital evidence e il profiling.

Gli elementi di prova devono essere suddivisi in tre fasi: l’identificazione dell’autore, attraverso lo studio dell’attacco e dell’obiettivo; l’analisi dei dati, attraverso la valutazione di motivazioni e skills, e infine il profiling vero e proprio.

Per identificare l’autore del reato si parte dunque dalla tipologia di attacco effettuato e dalla motivazione che lo ha spinto a scegliere un determinato sistema e determinate vittime.

È importante risalire all’utilizzo che il criminale ha fatto dei dati rubati ed alla complessità dell’attacco, i quali ci forniscono informazioni sulle competenze tecniche applicate ai cybercrimes. In base al metodo di aggressione, infatti, è possibile definire anche il livello di conoscenza dei linguaggi di programmazione, indagando l’utilizzo di codici già usati o innovativi.

Attraverso queste informazioni base, è possibile dunque, svelare i tratti caratteristici personologici e il progetto criminoso dell’offender.

Il profilo della vittima, invece, è molto più complesso da delineare: l’attacco potrebbe essere indirizzato verso utenti scelti o casuali oppure verso server ed enti istituzionali. Nel caso di singoli utenti scelti, essi potrebbero conoscere il criminale oppure potrebbero possedere simili caratteristiche attrattive. Altre vittime, invece, potrebbero essere selezionate casualmente da piattaforme istituzionali attraverso l’attacco a server di home banking, gestori telefonici e servizi di pubblica utilità.

La vulnerabilità rimane l’elemento comune di tutte le vittime, che essa sia dovuta alla disinformazione o alla mancanza di misure di sicurezza e così la prevenzione attualmente rimane l’arma più potente contro i cybercriminali.

Dunque, cosa fare concretamente per evitare d’incorrere in rischi come questo?

Il primo consiglio che sento di dare a tutti gli utilizzatori del web è di leggere attentamente prima di accettare qualsiasi tipo di autorizzazione e soprattutto di analizzare l’interlocutore che si incontra dall’altra parte dello schermo.

Se si nutre qualche dubbio rispetto alla mail ricevuta o alla richiesta di amicizia sospetta e non si riesce a capire la vera identità dell’utente, è sempre meglio farsi consigliare da un nostro caro o conoscente che è più preparato nell’utilizzo di pc e web.

Ognuno di noi dovrebbe supportare soprattutto anziani e bambini, che spesso per disinformazione, sono i più esposti a questi fenomeni.

Ricordiamoci: alcune volte, fidarsi è bene, non fidarsi è meglio.

Claudia Colonna, assistente sociale, criminologa, socia di Fermi con le Mani