Esiste un vero e proprio “mercato nero del web” dove, per pochi spiccioli, chiunque può comprare i dati personali registrati da un utente sul web e utilizzarli per proprie finalità. Per acquistare i dati di un utente attivo sull’app Uber bastano 4 dollari. Se ne spendono solo 3 per i dati di un profilo Facebook, mentre quelli delle carte di credito sono oramai svenduti a circa 22 centesimi di dollaro.
Questi numeri allarmanti emergono da una ricerca sul commercio di identità digitali condotta, poco tempo fa, dall’Azienda F5 Networks. Un traffico illecito, sconosciuto e difficilmente accessibile ai semplici utenti del web, che inizia a movimentare volumi d’affari considerevoli e a sollevare l’attenzione crescente delle autorità giudiziarie.
I sistemi per rubare l’identità digitale a una persona possono essere diversi, analogici o digitali. Tra i più conosciuti ricordiamo, solo per citarne alcuni, lo skimming, il sistema di clonazione delle carte di credito, il phishing, l’invio di mail fraudolente contenenti un link di una falsa pagina che richiede l’inserimento delle credenziali del proprio conto, lo spamming, l’invio di mail contenenti link o file che installano sul pc della vittima software malevoli, sino al keylogging, malware in grado di intercettare le password digitate sulla tastiera. La lista dei potenziali attacchi all’identità digitale è ben più lunga e destinata a crescere sviluppando modalità via via più sofisticate.
Sempre diverse sono anche le finalità criminali a cui le identità sottratte vengono piegate: estorcere del denaro, ottenere crediti, prestiti o aprire conti correnti in nome della ignara vittima, utilizzare i suoi dati per compiere atti illeciti di varia natura, per ottenere prestazioni sanitarie o semplicemente per assumerne la personalità e inviare in suo nome messaggi in rete (pensiamo, ad esempio, a quanto frequentemente personaggi noti si ritrovino vittima di abusi simili).
A minare l’inviolabilità delle nostre informazioni personali c’è sempre alla base una mancanza di cultura della sicurezza, una scarsa informazione, una vulnerabilità degli strumenti messi in campo: disattenzione, superficialità nella navigazione di siti poco sicuri, password deboli.
Altre volte siamo in balia di un server violato da un attacco hacker, come nel caso che ha coinvolto in questi giorni i server di AdultFriendFinder, famoso sito d’incontri, dal quale sono stati trafugati, tra gli altri, migliaia di account email governativi. O piuttosto di una scarsa attenzione alla sicurezza informatica da parte delle aziende (e purtroppo anche le pubbliche amministrazioni) che detengono a vario titolo i nostri dati personali. Secondo il recente rapporto Aipsi (Associazione Italiana Professionisti Sicurezza Informatica), infatti, il 37% delle aziende italiane ha subito nell’ultimo anno dei danni per attacchi informatici. Una percentuale che potrebbe essere destinata a crescere, e di molto, se solo pensiamo che non sempre le aziende che subiscono un attacco informatico se ne rendono conto. Lo spostamento di molte attività in cloud e il crescente utilizzo dei dispositivi mobile, inoltre, non aiutano, anzi, complicano notevolmente le cose moltiplicando i punti deboli esposti a potenziali aggressioni.
Lo stesso Spid (Sistema Pubblico di Identità Digitale) è stato oggetto in queste settimane di discussioni accese in merito alla sua sicurezza dal momento che una qualsiasi persona sarebbe riuscita ad accreditarsi al sistema come Matteo Renzi o con il nome di un collega, dimostrando, di fatto, quanto il criterio di assegnazione dell’identità digitale non sia proprio infallibile.
Oltre alle falle macroscopiche nei sistemi di sicurezza delle grandi organizzazioni, non bisogna trascurare l’importanza del ruolo del singolo, del dipendente che spesso può diventare l’anello debole della catena della sicurezza, anche a fronte dei migliori sistemi di difesa messi in essere dalla sua azienda, rimanendo vittima di tecniche di social engineering sempre più subdole e convincenti.
Basti pensare alle email contenenti link malevoli che ci ritroviamo nelle nostre cartelle di posta quotidianamente, messaggi diventati sempre più plausibili e convincenti fino a farci credere, almeno a prima vista, che a inviarceli possano davvero essere stati l’Agenzia delle Entrate, Poste Italiane o nostri diretti conoscenti.
Per combattere il dilagare di questo fenomeno e le sue negative conseguenze non rimane che utilizzare come armi la corretta e diffusa informazione degli utenti della rete sui pericoli esistenti e sulle misure (a volte estremamente semplici) da mettere in campo per proteggersi (antivirus e firewall attivi, sistemi operativi aggiornati e massima attenzione nell’apertura degli allegati e-mail, per citarne solo alcuni) e soprattutto una valida formazione dei dipendenti e degli operatori del digitale, i quali devono sviluppare solide competenze di sicurezza informatica che rendano loro stessi e le organizzazioni per le quali operano più impermeabili e resistenti ai mille stratagemmi dei cybercriminali.
L’unica e reale arma a disposizione quindi per sviluppare un’innovazione digitale sicura è la conoscenza. Del resto, “l’incertezza della conoscenza non è diversa dalla sicurezza dell’ignoranza”, diceva Charles Bukowski. Ricordiamocelo.