COME TI RUBO L'IDENTITA' SUL WEB: Tutti i rischi di server colabrodo
Ci possono negare un mutuo per colpa di un furto di identità avvenuto su internet. O possiamo ritrovarci con strani addebiti ogni mese sul conto corrente. Addirittura possono accusarci di reati se un criminale li compie con un'auto intestata a nostro nome. È quanto sta succedendo ad un numero crescente di italiani, a quanto riferiscono i dati e le esperienze raccolte da Repubblica in questa inchiesta. Ma sono in pochi a saperlo. È noto - persino con qualche esagerazione paranoica - il rischio di furto di carte di credito online. Mentre paradossalmente sono sottovalutati i danni, ben più gravi, che possono colpirci se riescono a carpire i nostri dati anagrafici e di conto corrente.
Secondo quanto riferisce la Polizia Postale, le denunce per furto di identità via internet in Italia nei primi dieci mesi del 2014 sono state 8.906. Dato indicativo, visto che i casi reali - non denunciati o per cui non è stato possibile capire che il furto è avvenuto via internet - sono certo molti di più.
Ma è un'altra la cosa più grave: possiamo essere vittime di un furto di identità senza averne colpa, perché i criminali hanno sottratto i nostri dati da chi avrebbe dovuto ben custodirli: le istituzioni. Server di Comuni, Inps, Asl sono un colabrodo, riferiscono esperti della Polizia Postale.
Riassumendo, sono tre i modi in cui i criminali possono mettere le mani sui nostri dati: truffe con cui carpiscono la nostra fiducia (il phishing); l'uso di malware installato su computer o - sempre più spesso - cellulari; la sottrazione dei dati su server di aziende o amministrazioni pubbliche che per un motivo o per l'altro li stanno ospitando. Su tutti questi fronti i pericoli stanno aumentando e diventando più difficili da combattere.
"Il phishing si è affinato, diventando spearphishing, ovverossia campagne di truffe mirate", spiega Raoul Chiesa, uno dei più noti hacker (buoni) in Italia e consulente di cyber security. "I criminali selezionano le vittime e ne osservano le abitudini, soprattutto grazie alle informazioni pubbliche che loro stesse lasciano sui social network. Mandano quindi una email non più generica - come nel phishing classico - ma mirata e personalizzata", dice Chiesa. Nel phishing classico ci sono mail a pioggia che dicono clicca qui e compila questo modulo con i tuoi dati (per vari motivi fasulli, per esempio per vincere un premio, per riattivare un conto eccetera). Nello spearphishing i criminali scrivono dettagli che rendono la mail più credibile. Per esempio: su Facebook hanno letto che hai ordinato un pacco da Amazon con un certo oggetto; ti mandano quindi una mail nella quale si dice che il corriere ha un problema per quel pacco e di fornire di nuovo i dati.
"I malware che rubano i nostri dati sono numerosissimi e spesso non vengono nemmeno rilevati dagli antivirus", dice Antonio Apruzzese, direttore del servizio di Polizia Postale e delle Comunicazioni e uno dei padri della cybersecurity italiana. "I nuovi pericoli si celano tra le app dei nostri cellulari. Alcune, per esempio, rubano di nascosto i dati della vittima per l'accesso ai social network e della rubrica", dice.
"Un'altra nuova tecnica è quella dei finti antivirus. Qui il trucco è semplice", aggiunge Chiesa."I 'cattivi' acquistano posizioni pubblicitarie sui motori di ricerca, collegate a parole chiave quali 'antivirus gratuito'. L'utente trova la pubblicità su Google, clicca sul link e scarica quello che crede essere un antivirus gratuito: in realtà contiene del malware che inizia a registrare i dati che l'utente digita sulla tastiera, dalla password di Facebook o della propria casella email sino alle password per l'e-banking. Versioni più avanzate ed aggressive scaricano dal PC della vittima tutti i documenti personali, per esempio dove sono contenuti il codice fiscale, l'indirizzo di residenza, contratti, fatture e così via".
E poi che cosa ci fanno con i nostri dati? C'è l'imbarazzo della scelta. Lo scopo ultimo più frequente è acquistare beni aprendo un finanziamento sul conto della vittima. "Basta avere nome, cognome, data di nascita e numero di un conto corrente", dice Chiesa. "Naturalmente il criminale deve fare un documento falso con quei dati e la propria foto. Poi si reca da un'agenzia e ottiene un finanziamento". Ma è così facile? "Certo c'è a volte una collusione tra i cybercriminali e, per esempio, agenti di commercio che guadagnano sulle provvigioni dei contratti stipulati e che quindi possono chiudere un occhio su un documento sospetto".
"Ci sono anche stati casi nei quali, grazie al finanziamento o al leasing, i criminali acquistavano a rate automobili, per poi rivenderle, generalmente in nazioni europee quali l'Albania e la Romania, ma anche in paesi del Nord Africa. Generalmente, dopo la seconda o terza rata, il ladro di identità smette di pagare, la società di finanziamenti o di leasing se ne accorge e blocca il credito ma, nel frattempo, il criminale è già sparito con il bene acquistato illegalmente", continua Chiesa. "E' solo a questo punto che la vittima del furto di identità si accorge della frode, proprio quando viene contattato per chiarimenti o, addirittura, riceve comunicazione giudiziaria". Dal Crif (la Centrale Rischi che si occupa di sistemi di informazioni creditizie per banche e finanziarie) riferiscono di persone a cui hanno negato un mutuo o che si sono trovate rate addebitate sul conto per colpa di un finanziamento fatto a loro nome.
Ci sono poi casi in cui si può essere vittime per un furto di identità subito da terzi. Il caso più banale è quando arriva un messaggio da un amico su Facebook, del tipo: "Aiutami, sono a Londra e mi hanno rubato i documenti, le carte, tutto! Ho bisogno di soldi presso Western Union, urgentemente...". Ma ci sono casi più sofisticati che hanno causato danno ingenti alle imprese italiane che usavano fornitori cinesi. Alcuni criminali sono riusciti a rubare l'identità di questi ultimi e a loro nome hanno mandato una mail alle aziende chiedendo di versare su un certo conto corrente quanto dovuto. Per decine o centinaia di migliaia di euro. È successo alle aziende Paravia di Salerno e Lavatelli di Torino, nel 2013. Hanno spedito denaro su conti correnti di criminali, anche se hanno messo, come beneficiario del bonifico, il nome del proprio fornitore.
In teoria questo trucco non dovrebbe riuscire perché la banca dovrebbe controllare la corrispondenza tra il conto corrente del bonifico e il nome dell'intestatario. Nella pratica però gli istituti hanno fatto passare lo stesso il bonifico, perché in alcuni paesi europei (dove il criminale ha aperto un conto) non è richiesto che ci sia quella corrispondenza.
Meno frequenti altri modi per sfruttare i dati rubati. "La criminalità organizzata o i terroristi possono crearsi false identità con le generalità degli utenti e sfuggire così alle autorità. Oppure i dati possono essere usati per dare una identità credibile, con i relativi documenti, a immigrati clandestini", dice Francesca Bosco, una delle più note cybercriminologhe al mondo in servizio presso l'Unicri, l'Istituto internazionale delle Nazioni Unite per la ricerca sul crimine e la giustizia. "Oppure i nostri riferimenti possono essere venduti ad aziende normali, disposte a usare metodi illegali per ottenere vantaggi competitivi", aggiunge Apruzzese.
"A un certo punto ci hanno segnalato una grande quantità di accessi anomali alle banche dati degli istituti di previdenza Inps e Inpdap. Abbiamo quindi scoperto un gruppo criminale che vendeva a studi legali, agenzie di investigazione o società finanziarie e di recupero crediti un servizio on line con cui interrogare questi database. A 2,50 euro per ogni interrogazione", dice Apruzzese. "Il servizio sfruttava le credenziali personalmente assegnate agli operatori di patronato". "Informazioni sanitarie mal protette dalle nostre Asl possono invece fare gola ad assicurazioni private. Valgono tanti soldi", sottolinea. "Il problema principale è che molte banche dati nazionali sono aperte all'accesso da parte dei Comuni, i cui sistemi sono molto deboli", ricorda ancora Apruzzese. "Insomma, i criminali riescono a rubare le credenziali dei Comuni e accedere alla banca dati".
"Da tanto tempo denunciamo questi problemi. Gli enti usano software non aggiornati, quindi facili da violare. Oppure non hanno policy adeguate contro i malware". Lo dimostra un fatto finito nelle cronache a fine ottobre: decine di Comuni italiani hanno trovato i propri sistemi bloccati da un malware, con tutti i dati criptati e quindi inutilizzabili; le amministrazioni hanno pagato 400 euro ai criminali per avere la password con cui sbloccarli. "Il problema di fondo è che in Italia, caso straordinario in Europa, i dati dei cittadini sono sparsi tra tante amministrazioni pubbliche", dice Alessandra Poggiani, neo direttrice dell'Agenzia per l'Italia Digitale. L'ente, presso la presidenza del Consiglio, che tra l'altro dovrà sviluppare i servizi di pubblica amministrazione online nei prossimi anni.
"Troppa frammentazione crea inevitabilmente sistemi poco sicuri. Il criminale ha sempre la possibilità di trovare l'anello debole della catena con cui accedere ai dati del cittadino. La soluzione è quindi accentrare le infrastrutture. Un processo che stiamo guidando in questi mesi, per esempio con il progetto dell'Anagrafe Unica del cittadino, centralizzata. Peccato - denuncia sempre Poggiani - che il legislatore ha deciso di lasciare lo stesso in mano ai Comuni copia dei dati anagrafici, che restano quindi vulnerabili". Una scelta dettata da un'esigenza più politico-burocratica che pratica: i Comuni non volevano rinunciare alla propria sovranità sui dati dei cittadini.
"I sindaci hanno generalmente scarsa consapevolezza del problema. Ci è capitato di vedere che molti di loro nemmeno vengono a saperlo quando il sito del Comune viene violato", aggiunge Apruzzese. "E' colpa anche di come sono fatti i bandi di gara per i sistemi digitali della pubblica amministrazione: non prevedono quasi mai voci dedicate alla sicurezza informatica, che viene quindi sottovalutata", dice Chiesa.
"Non ci sono standard governativi per la sicurezza e ogni amministrazione è lasciata libera di impostare i propri programmi: il problema è tutto qui e apre rischi enormi per i nostri dati, man mano che questi vengono sempre più spostati su banche dati connesse a internet", aggiunge Andrea Rigoni, esperto di cybersecurity e collaboratore con i passati governi alla stesura delle norme dell'Agenda digitale. "La situazione è che la quasi totalità delle amministrazioni hanno un approccio alla sicurezza estremamente frammentato e non governato, aprendo così il fianco a gravi vulnerabilità informatiche", continua Rigoni.
Con queste premesse, con questa mancanza di cultura digitale e di attenzione al problema anche da parte delle istituzioni che dovrebbero proteggere i nostri dati, gli italiani stanno rischiando grosso. Le nostre identità in internet sono già mercato. Ma il futuro promette anche peggio.
