WEB 2.0 E RISCHI INFORMATICI: IL FURTO D'IDENTITA'

 

La diffusione di tali tecnologie e, in generale, del web 2.0 (da intendersi come l’insieme di applicazioni che consentono un elevato livello di interazione on line) da un lato ha sostenuto la crescita dell’e-commerce, ma dall’altro ha inevitabilmente comportato anche un forte aumento di rischi informatici per gli utenti della rete.

Studi come l’Internet Security Threat Report, il Cisco Annual Security Report, il Rapporto Clusit, evidenziano in modo unanime una significativa proliferazione di violazioni informatiche (+62% nel corso dell’ultimo anno), con attacchi sempre più sofisticati, mirati e dannosi per chi li subisce.

Tra i pericoli più diffusi, sia per il segmento consumer sia per quello aziendale, spicca il furto d’identità: secondo Symantec, nel 2013 su web, social network e dispositivi mobili sono stati rubati 552 milioni di identità, contro i 93 milioni dell’anno precedente. Si tratta per lo più di dati personali quali nomi e cognomi, date di nascita, password. che consentono di accedere agli account delle vittime o comunque di utilizzare le informazioni indebitamente ottenute per compiere azioni illecite a loro nome.

L’ultimo Identity Fraud Report pubblicato da Javelin Strategy & Research distingue tra identity theft (il mero furto di informazioni) e identity fraud (che si manifesta nell’utilizzo delle informazioni rubate a scopo di lucro) e stima che il numero delle vittime di frode di identità sia salito nel 2013 a 13,1 milioni, vale a dire una ogni 2,4 secondi.

In particolare negli Usa il fenomeno dell’identity theft ha assunto proporzioni preoccupanti e ha già provocato danni ingenti: ai mutui stipulati mediante l’utilizzo di identità rubate risulterebbe imputabile circa il 10% dei danni conseguenti alla crisi dei subprime e, non a caso, in California la sostituzione di persona su internet, via email o nei social network, è ora punita con una multa fino a 1.000 dollari e con la reclusione fino a un anno.

In Italia, il tema del furto dell’identità digitale è stato affrontato per la prima volta dal Parlamento nella scorsa legislatura, nell’ambito di un’indagine conoscitiva sulla sicurezza informatica delle reti a cura della IX Commissione della Camera. In tale sede è emerso da un lato che i furti d’identità digitale nel nostro Paese riguardano in maniera preponderante i codici di pagamento elettronico e di accesso ai servizi di home banking e, dall’altro, che le aziende sono meno attente dei privati nella gestione dei propri sistemi elettronici e informatici.

All’esito di tale indagine e in considerazione dell’allarme sociale connesso alle suddette fattispecie, con l’art. 9 del decreto legge 14 agosto 2013 n. 93 (convertito con modifiche dalla legge 15 ottobre 2013 n. 119) è stata aggiunta nel codice penale un’aggravante speciale al reato di frode informatica (già introdotta nel nostro ordinamento dalla legge 23 dicembre 1993 n. 547 sui computer crime).

L’art. 640 ter c.p. punisce chi procura a sé o ad altri un ingiusto profitto (con danno al soggetto frodato), alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, ovvero intervenendo senza diritto su dati, informazioni o programmi informatici.

Il nuovo terzo comma prevede la perseguibilità d’ufficio e un innalzamento della pena (reclusione da due a sei anni e multa da 600 a 3.000 euro) qualora il reato di frode informatica sia commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. 

Si rileva che il concetto di furto dell’identità digitale non ha ancora una propria definizione normativa. In precedenza il d.lgs. 11 aprile 2011 n. 64 aveva definito il mero furto di identità (quindi non solo quella digitale) intendendo con questa espressione: 

Ai fini di una corretta esegesi, si richiama infine la Relazione n. III/01/2013 della Corte di Cassazione in cui si afferma che l’identità digitale viene comunemente intesa come “l’insieme delle informazioni e delle risorse concesse da un sistema informatico a un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett. u-ter del d. lgs. 7 marzo 2005 n. 82) nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”.

Appare, quindi, ragionevole ritenere che la casistica della frode informatica aggravata dal furto di identità digitale possa ricomprendere (a titolo esemplificativo) l’utilizzo fraudolento di:

Vale la pena sottolineare che la novella legislativa in commento concerne esclusivamente il delitto di frode informatica e non istituisce un’autonoma fattispecie penale relativa al furto dell’identità digitale (che, laddove sussistano i presupposti, viene attualmente punito dall’art. 494 c.p. inerente la sostituzione di persona).

A ogni buon conto il tema appare in rapida evoluzione e un ulteriore tassello del mosaico sarà costituito dal Sistema per l’Identità Digitale (previsto dall’Agenda Digitale), finalizzato a dotare ogni cittadino italiano di un’identità digitale certificata che permetta l’utilizzo in sicurezza dei servizi pubblici sulla rete.