Data don't breach!

Interessante esperimento quello che negli USA ha portato a creare un database contenente informazioni relative ad un centinaio di consumatori inserendo dati inventati: nome, residenza, e-mail, telefono. Un’anagrafica fittizia ma studiata con attenzione affinché risultasse credibile anche ad un occhio più attento: nomi ricorrenti negli USA, indirizzi e-mail sensati rispetto al nome, numeri di telefono che corrispondono alla zona di residenza, e così via. Inoltre, i tecnici della FTC hanno inserito, per ciascuna stringa individuale, dati relativi ad uno tra tre tipici strumenti di pagamento elettronico: carta di credito, portafoglio bitcoin, ed un online payment service non meglio specificato (potrebbe trattarsi di Paypal o provider simile).Ci sono voluti solo 9 minuti prima che i malfattori che frequentano la rete provassero ad impiegare per fini illegali le identità altrui. In totale, sono stati effettuati 1.200 tentativi di utilizzo illecito dei dati. La Polizia Postale italiana dice che i furti d’identità spesso non vengono scoperti, o magari lo sono solo dopo 12-18 mesi. Perché spesso non ce ne accorgiamo nemmeno: entrano nel nostro pc, nel nostro profilo social e non lo vediamo. Una versione evoluta di ricerca credenziali è il vishing, in cui la mail ti chiede, per fregarti meglio, di chiamare un finto call center, che ti chiederà a voce quei dati. I criminali selezionano le vittime e ne osservano le abitudini, imparano chi sono e cosa fanno tramite tutte le informazioni che lasciano sui social network. Così, quando mandano la mail, sono più credibili. Come il trashing (sì, potrebbero frugare nella carta che butti al riciclo e trovare tutti i tuoi dati bancari su quell’estratto conto che hai soltanto appallottolato…). Il fenomeno del c.d. “identity theft”, ovvero del furto di identità in rete è per lo più riconducibile a due principali fattori: la errata custodia delle credenziali di autenticazione e la creazione di un account falso da parte di un terzo (c.d. "fake").

Il problema sta nel fatto che il social network, al momento della registrazione, non fornisce all'utente alcuno strumento in grado di potergli consentire una immediata capacità di individuazione dell'illecito, e quando ne viene a conoscenza, è spesso ormai troppo tardi.

 Pur non corrispondendo “materialmente” ad una sostituzione della persona, in mancanza di una fattispecie incriminatrice specifica, il furto di identità in rete viene ricondotto dalla giurisprudenza di legittimità nell'ambito del reato di cui all'art. 494 c.p., relativo alla “sostituzione di persona Sul punto, la Cassazione si è pronunciata più volte ritenendo che la condotta di chi crea ed utilizzi account o caselle di posta elettronica servendosi dei dati anagrafici di un terzo soggetto, inconsapevole, è in grado di indurre in errore, non il fornitore del servizio, bensì l'intera platea di utenti, i quali, convinti di interloquire con un soggetto, si troveranno ad interagire, invece, con una persona diversa da quella che a loro viene fatta credere, integrando così la fattispecie di reato prevista dalla norma (Cass. Pen. n. 46674/2007). L'applicabilità dell'art. 494 c.p. ricorre altresì laddove viene creato un preciso profilo al quale è associata una reale immagine della persona offesa. A tal proposito, gli Ermellini hanno ritenuto integrata la figura di reato in esame nella condotta del soggetto che realizzi e si avvalga di un determinato profilo su un social network che riproduca la foto della vittima (persona offesa) ascrivendo alla stessa una descrizione degradante e, attraverso tale identità, utilizzi il sito comunicando con gli altri iscritti e condividendone i contenuti (Cass. Pen. n. 25774/2014).Giova osservare, da ultimo, che il legislatore, con d.l. n. 93/2014 (convertito dallal. n. 119/2014) ha introdotto, per la prima volta, nel codice penale, il concetto di “identità digitale”.  Infatti, l'art. 9 del citato decreto, rubricato  “Frode informatica commessa con sostituzione di identità digitale” ha modificato l'art. 640-ter c.p., con l'inserimento di un terzo comma, ove il legislatore ha previsto la pena della reclusione da due e sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti; trattasi di un delitto per il quale è prevista la querela della persona offesa salvo che ricorra l'ipotesi di cui al 2° o 3° comma dell'art. 640-ter ovvero altra circostanza aggravante.

Emblematica in tal senso è stata la vicenda che aveva coinvolto una donna di Trieste che, subito dopo essere stata licenziata dalla sua datrice di lavoro, ha inteso vendicarsi inserendo le iniziali del nome ed il numero di telefono della stessa in una chat per incontri a sfondo sessuale, facendole così ricevere, anche in ore notturne, molteplici chiamate e messaggi provenienti da vari utenti della chat interessati ad incontri o a conversazioni di tipo erotico. Condannata per il reato di sostituzione di persona, l'autrice del "furto" giungeva fino in Cassazione, ma i Giudici del Palazzaccio rigettavano il ricorso in quanto "l'inserimento in una chat telematica di incontri personali, del numero di utenza cellulare di altra persona associato ad un nickname pure a costei riferibile, al fine di danneggiarla facendola apparire sessualmente disponibile, integra il reato di cui all'art. 494 c.p., nella modalità dell'attribuzione di un falso nome". Nelle motivazioni della sentenza in esame, il Giudice evidenzia una riflessione in merito alla natura dalla norma applicata. La tutela fornita dall'art. 494 del Codice Penale, infatti, dovendo intervenire in presenza di "inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi reali", potendo questi per la loro collocazione in Rete evidentemente oltrepassare la ristretta cerchia di uno specifico destinatario, non è rivolta in modo esclusivo alla fede privata e alla tutela civilistica del diritto al nome, ma ha ad oggetto in linea più ampia la pubblica fede. Ora lo sai.