Subire un furto dati, come reagire al meglio

Tramite l’utilizzo del Web, condurre azioni mirate al furto di di dati sensibili è diventato molto più semplice.

Ingenti quantità di dati vengono sottratte ogni anno.
L’interesse di coloro che sottraggono queste informazioni va dalle motivazioni più disparate. Quasi sempre i dati che vengono rubati più di frequente sono:  nome utente, numero di telefono, indirizzo e-mail (personale o professionale cambia poco), informazioni sanitarie, orientamento sessuale, indirizzi di residenza, posizione lavorativa e orari. Tutto ciò che contribuisce a delineare il profilo della persona è da considerarsi informazione potenzialmente sensibile.

Il concetto di data breach ha già creato un forte allarmismo nel nostro Paese. Il motivo di tanto timore deriva dalle conseguenze che potrebbero emergere in seguito alla diffusione delle informazioni dei soggetti coinvolti.

In aggiunta, dobbiamo dirlo, ad oggi metà della popolazione italiana ha subito almeno un furto di dati sensibili.

Brevemente diremo che, il furto di dati viene definito come il trasferimento illegale di qualsiasi informazione di natura riservata, personale o finanziaria (password, algoritmi, codici software, informazioni proprietarie orientate al processo e tecnologie).

Chi commette questo reato si introduce in computer, dispositivi elettronici, server o all’interno di un account per ottenere informazioni riservate.

I dati rubati possono essere di diverse tipologie, come:

• Password, altresì dette il bersaglio principale dei cybercriminali;
• Informazioni sul conto bancario e carte prepagate;
• Documenti per l’espatrio, come il passaporto e la carta d’identità;
• Codici fiscali;
• Patenti di guida di qualsiasi tipo;
• Cartelle cliniche;
• Sottoscrizioni e abbonamenti online;
• Foto compromettenti.

Una volta che una persona non autorizzata riesce ad accedere alle informazioni personali o finanziarie, può eliminarle, modificarle o impedirne l’accesso senza l’autorizzazione del proprietario. L’attore dell’attacco copia, o duplica, le informazioni per poterle usare per raggiungere i propri obiettivi.

Le conseguenze del furto di dati possono essere gravi sia peri singoli utenti che per le aziende. Per questo motivo si tratta di una deplorevole violazione della sicurezza e della privacy.

In passato, il furto di dati era principalmente un rischio per le aziende e le organizzazioni.
Al giorno d’oggi, purtroppo, è un problema oggettivo per chiunque.

Nel nostro Paese, il furto dell’identità digitale è un reato punito dal Codice Penale, una violazione riconosciuta dagli articoli 494 e 640.
L’articolo 494 definisce la situazione di sostituzione di persona; il secondo articolo, il 640, invece, inquadra la frode informatica.

Ma torniamo al furto di dati sensibili.

In Italia, ai fini delle sanzioni penali a tutela della privacy si è scelto di mantenere in vigore quanto stabilito dal Codice della Privacy del 2003.

• Trattamento illecito dei dati

  Si tratta di un reato comune, nel senso che può essere commesso da chiunque; perché si integri la fattispecie è necessario che ricorra il dolo specifico, cioè la volontà di trattare illecitamente i dati personali al fine di trarne un guadagno economico oppure di danneggiare la vittima.

• Acquisizione fraudolenta di dati personali

  oggetto di trattamento su larga scala;

• Falsità nelle dichiarazioni al Garante

  e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;

• Inosservanza dei provvedimenti del Garante

  Costituisce reato la violazione di precisi provvedimenti adottati dall’autorità garante, di limitazione provvisoria o definitiva al trattamento, incluso il divieto stesso. L’inosservanza di questi provvedimenti è punita con una sanzione amministrativa.

Cosa stabilisce il Garante della Privacy?

“Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.”

Il furto di dati avviene tramite mezzi diversi, dannosi a modo loro.
Gli esempi più comuni includono:

• Attacco malware, capaci di estrarre informazioni riservate.
• Phishing: un esempio attraverso la tecnica di ingegneria sociale fraudolenta sfruttata in gran parte delle campagne di phishing.
• Brute Force attack. Come abbiamo ribadito prima, solo il principale “mazzo di chiavi” dei cybercriminali. Una chiave “debole” è di facile intuizione.
• Minacce interne, come un dipendente disonesto che rivende i dati sensibili a proprio vantaggio.
• Vulnerabilità del sistema, come un sistema antivirus non aggiornato e sistemi di rete progettati male.
• Errore umano come l’invio di informazioni sensibili alla persona sbagliata, una configurazione errata, un database contenente informazioni sensibili online senza alcuna restrizione, ecc.
• Download compromessi, come lo scaricamento di programmi infettati da virus come worm o malware.

Per le seguenti ragioni:

• I vostri dati possono essere venduti ad altri criminali.

  Un modo in cui i cybercriminali lucrano sui dati rubati è rivenderli nel dark web.
  Queste raccolte includono milioni di record di dati rubati. I compratori possono usare questi dati per i propri scopi illeciti, come creare documenti falsi, clonare carte di credito, ecc.

• I dettagli di accesso sono necessari per impadronirsi di un account.

  Le credenziali di accesso rubate sono usate per introdursi negli account con dettagli di pagamento, come nei siti di e-commerce.
  I cybercriminali si impadroniscono di fatto dell’account, cosa che porta al furto di identità. Se l’hacker cambia la password, diventerà impossibile l’accesso. Se l’account includeva dettagli di pagamento, questi possono essere utilizzati per svuotare le carte di credito.

• I dati personali sensibili sono alla base dei furti di identità.

  In questo caso, i dati personali delle vittime vengono usati per ottenere vantaggi a loro spese.
  Agli utenti sono richiesti i propri dati personali per poter usufruire di servizi online.
  I criminali rubano questi dati dagli account online per commettere furti di identità, come utilizzare la carta di credito della vittima o chiedendo prestiti a loro nome.

• I dati sottratti vengono usati per effettuare attacchi di phishing ed estorsioni mirate.

  Con queste informazioni personali rubate, i criminali possono scegliere con più precisione le potenziali vittime degli attacchi di phishing.
  In queste truffe, le vittime vengono convinte a fornire informazioni come dati delle carte di credito a criminali che si spacciano per enti legittimi.
  Se i criminali ottengono accesso a dati sensibili, potrebbero anche chiedere riscatti alla vittima.

• I dati personali rubati possono essere usati per fare un danno alle aziende.

  Tramite l’uso dei dati sottratti, i criminali possono convincere il personale a fornire ulteriori dati sensibili o a effettuare pagamenti.
  Inoltre, loro possono anche provare a ottenere l’accesso alle reti aziendali per spiarle e infettarle con malware.

Nei casi di furto dell’identità digitale è possibile sporgere denuncia direttamente alla polizia postale e al Garante della Privacy.

La denuncia penale resta però indispensabile, anche se si segnalano le piattaforme bancarie colpite: dopo una prima segnalazione, occorre sempre procedere con la querela alla polizia, atto che potrà poi essere messo a disposizione della banca, delle Poste e del giudice.

Se il furto d’identità è avvenuto attraverso social network, l’accaduto dovrà essere immediatamente segnalato alla piattaforma, la quale procederà a bloccare l’account falso.

Abbiamo visto come reagire al meglio, con l’aiuto delle Forze dell’Ordine e con i consigli degli esperti di cybersicurezza.

Come possiamo evitare che possa ricapitare il furto?

• Usare password sicure

  Più corta e meno complicata è la password, più semplice sarà da individuare e violare per i cybercriminali.

• Evitare di annotare le password
  

  Noi consigliamo sempre di affidarvi ad un gestore di password per tenerne traccia in sicurezza.

• Evitare di usare la stessa password per account diversi
  

  Se un cybercriminale indovina la password del vostro account email, se è la stessa per il vostro account bancario, social network e altri siti, il gioco è fatto.
  

• Usare l’autenticazione a più fattori
  

  soprattutto per l’Internet Banking e il vostro Fascicolo Sanitario Elettronico.
  

• Limitare le condivisioni delle informazioni sensibili sui social media.

  Evitare di postare la data di partenza e di ritorno dalle vacanze, targhe della vostra auto, la via riconoscibile della vostra abitazione, anche per proteggervi dai ladri “tradizionali”, non solo quelli “digitali”.

• Fare attenzione quando si condividono le informazioni personali
  

  Un cybercriminale fiuta ogni vostro post, o dato online per poter trovare informazioni da usare contro di voi.

• Chiudere gli account non in uso
  

  Vi ricordate dei profili social creati quando eravate alle scuole superiori ai quali non avete più fatto accesso?
  Conviene chiuderli immediatamente prima che siano oggetto di violazione, così da evitare che contenuti indesiderati del passato possano rovinarvi la reputazione.

• Eliminare le informazioni personali, sul vostro sito aziendale o account social.
  

• Fare attenzione alle connessioni Wi-Fi gratuite, evitarlo se possibile.
  Se proprio ne avete bisogno, utilizzare un VPN: proteggerà i vostri dati di navigazione.

• Tenersi (in)formati.
  La sicurezza informatica si evolve giorno dopo giorno, la giusta prevenzione e informazione vi semplificheranno la vita.