Furto e frodi di identità

31 Ott 2008

L'area tematica "furto e frodi di identità" comprende diversi aspetti, approfonditi attraverso l'attività di ricerca:

  • le dinamiche del fenomeno a livello europeo e internazionale, con particolare attenzione per la Gran Bretagna e gli Stati Uniti, e le contromisure adottate a livello normativo e di buone pratiche
  • la diffusione e l'evoluzione dei crimini di identità nel contesto italiano, degli schemi di frode e delle tecniche di acquisizione dei dati
  • le interdipendenze tra crimini di identità, riciclaggio di denaro sporco e finanziamento al terrorismo
  • la correlazione tra il furto e le frodi di identità e la falsificazione documentale
  • l'impatto dei crimini di identità sul settore dei servizi, con particolare riferimento al credito, alla telefonia e ai servizi essenziali
  • le metodologie di rilevazione ed assessment del rischio di frode
  • la gestione aziendale del rischio di frode
  • l'in-formazione e l'educazione dei cittadini per incrementare l'autotutela e comportamenti proattivi per la riduzione del rischio di vittimizzazione

I crimini di identità non sono certo un fenomeno nuovo... ladri, trafficanti e criminali cercano da sempre di dissimulare la propria identità non solo per non essere identificati dalle forze di polizia, ma anche per poter diversificare la propria attività criminale. Il "fascino" della dissimulazione dell'identità da parte di criminali e frodatori contribuisce anche ad alimentare la loro immagine di persone astute, ingegnose, furbe, tanto che esiste una nutrita lista di titoli di libri e film che raccontano storie di "identità criminali"; la più famosa è sicuramente quella di Frank Abagnale Jr., raccontata in Catch me if you can con Leonardo di Caprio e Tom Hanks.

Oggi, però, il fenomeno dei crimini di identità ha delle caratteristiche del tutto particolari, che lo rendono insidioso e potenzialmente molto dannoso, sotto diversi punti di vista:

  • le tipologie di frode in danno dell'identità sono molto più numerose e, facilitate dalla presenza di Internet e delle nuove tecnologie, riescono ad evolvere molto velocemente
  • le tecniche di acquisizione dei dati personali altrui si moltiplicano velocemente sia perchè i cittadini, così come le aziende e le istituzioni non proteggono in modo adeguato le informazioni, sia perchè i contesti in cui sono disponibili i dati personali sono i più diversi...
  • il profilo delle vittime è variegato: dal singolo individuo, alle aziende ("company ID theft") alle istituzioni stesse
  • le motivazioni spaziano dalla finalità economica alla vendetta, alla rivalsa fino alla vera e propria persecuzione attuata anche attraverso lo stalking
  • i danni non sono solo economici (diretti e indiretti), ma anche emotivi, psicologici, organizzativi, giuridici... a seconda della vittima e dello schema di frode utilizzato...
  • la risposta sia repressiva sia preventiva richiede conoscenza, coordinamento, impegno e condivisione degli obiettivi tra diversi soggetti, ma anche nuovi strumenti - in primis normativi - per poter ridurre le opportunità criminali e potenziare il lavoro delle Forze dell'ordine e della magistratura

 

Il "rischio social-networks"

L'ultimo, più recente "allarme" per la tutela dell'identità da fenomeni fraudolenti e di abuso - lanciato da alcune forze di polizia e ripreso con enfasi soprattutto dai mezzi di comunicazione - sembra essere correlato ai social networks e, in particolare a Facebook e Myspace, in virtù della loro diffusione. 

Repubblica.it - Identità rubate su Facebook e Myspace. I criminali creano profili manipolati

Corriere.it - Come evitare la Rete dei ladri di identità

La Stampa.it - Social network e diritto all'oblio, il Garante per la Privacy stila decalogo per i neofiti della Rete

Che questi strumenti permettano una maggiore visibilità - e quindi accessibilità a chiunque... - dei propri dati personali e soprattutto delle proprie abitudini, delle attività e delle relazioni personali, è innegabile; è vero anche, però, che mai come per i social networks, l'utente ha un ruolo centrale e, quindi, le maggiori responsabilità: è l'utente, infatti, a poter scegliere se e quanto "rivelare"! Più l'utente decide di esporsi, più deve accettare i possibili rischi che questa scelta può determinare.

Una storia molto interessante viene dalla Francia ed è raccontata da Repubblica.it. Il giornale "Le Tigre" ha ricostruito l'esistenza di Marc, 28 anni, grazie a Facebook, Google, Flickr...

Repubblica.it - Scopre la sua vita sul giornale che ne ha raccolto le tracce sul web (gennaio 2009)

Un'altra storia che testimonia e conferma le vulnerabilità di Facebook e la centralità delle scelte dell'utente viene dall'Italia ed è stata pubblicata da molto quotidiani. Alcuni paziendi dell'Azienda ospedaliera Universitaria Santa Maria della Misericordia di Udine si sono ritrovati inspiegabilmente la loro immagine su Facebook... Alla fine si è scoperto che l'autrice del "fattaccio" era una infermiera dell'ospedale che ha dichiarato: "ho semplicemente raccolto foto, scattate in tempi diversi, per farne un album ricordo per dei colleghi che andavano in pensione. A mio giudizio i pazienti sullo sfondo non erano riconoscibili, perciò non ho sfumato le foto. Non volevo ledere l'immagine di nessuno. La paziente apparsa sulla prima pagina del Corriere è mia collega ed amica: la foto è stata scattata per festeggiarla dopo un'operazione che aveva subito" (dichiarazione tratta da Corriere.it)". Una leggerezza, nata con buona probabilità dalla scarsa conoscenza del sistema, che ora può costarle cara...

 

Semplificazione amministrativa e rischi per l'identità: qualche "riflessione criminologica"

E' di questi giorni la notizia secondo cui gli sportelli bancari saranno messi a disposizione del progetto Reti Amiche, promosso dal governo nell'ambito del piano di e-government 2012 finalizzato a favorire l'erogazione di servizi attraverso canali diversi dagli uffici pubblici. Questo vuol dire che, già dai prossimi mesi, gli sportelli bancari di Unicredit (prima banca che ha aderito all'iniziativa e che ha avviato un progetto specifico) potranno servire anche per il pagamento di contributi per colf e badanti, per il versamento dei contributi previdenziali e il riscatto degli anni di laurea, grazie ad un accordo con l'Inps e l'Inail. In futuro, però, i servizi potranno essere molto più ampi e potranno comprendere anche la richiesta, tramite il canale bancario, della carta di identità e del passaporto (Per maggiori informazioni, leggi l'articolo di Repubblica.it).

Una innovazione sicuramente importante, orientata alla semplificazione della "vita burocratica" dei cittadini.

Adottando una "prospettiva criminologica", non si possono, però, non considerare anche le implicazioni, in termini di rischi, che questa iniziativa è suscettibile di comportare.

Ampliare le reti di diffusione sia dei documenti sia delle informazioni vuol dire anche, per alcuni versi, ampliare la catena dei rischi a cui possono essere esposti. Con riferimento alle informazioni, aumentano ad esempio le reti di transito, le banche dati di deposito (più o meno temporaneo), i soggetti che possono effettuare - numerose e diverse - operazioni di trattamento dei dati, i profili di vulnerabilità rispetto a possibili minacce sia esterne sia interne per la confidenzialità e l'integrità dei dati stessi... Per i documenti lo scenario cambia da virtuale a "materiale", ma questo non riduce i rischi, soprattutto se si considera il ruolo centrale che proprio i documenti giocano nella nostra società. Infatti, ancora oggi il documento "vale" comunque più dell'informazione e senza il documento la sola informazione non basta.

In un periodo in cui tanto la cronaca quanto gli studi criminologici dimostrano come l'identità sia particolarmente a rischio, perchè le tecniche di acquisizione e di riutilizzo delle generalità altrui mutano velocemente e compongono schemi di frode verso i quali la prevenzione e la repressione faticano a prendere il passo, le perplessità circa i possibili risvolti di una "innovazione burocratica" quale quella in atto, meritano di essere messe sotto i riflettori, sperando possano contribuire ad innestare un processo di analisi critica di ogni accordo e, più in dettaglio, di ogni processo e di ogni procedura che andrà a concretizzare l'accordo stesso.

La sicurezza non è nemica dell'innovazione, al contrario può essere un elemento di promozione e un incentivo di primaria importanza; è fondamentale, però, che la sicurezza sia pensata, adattata alle reali esigenze e in linea con obiettivi chiari, capaci di coniugare efficienza e semplicità. Per raggiungere questo obiettivo, è fondamentale che la sicurezza sia orientata dalla conoscenza, attraverso un approccio multidisciplinare, che non guardi alla sicurezza unicamente come ad un "problema tecnologico" e ad un "problema di policy"

Un esempio banale, ma meno raro di quanto si possa credere.... la policy per il trattamento dei dati richiede che la password venga sostituita almeno mensilmente; l'operatore dal canto suo non sa neppure dove e come procedere a cambiarla.

Altro esempio banale, ancora meno raro del precedente... la policy per il trattamento dei dati richiede che la password siadi almeno 8 caratteri alfanumerici; l'operatore, vista la difficoltà di ricordarsela, la scrive su un bigliettino che appiccica al pc o che al massimo ripone nel cassetto della scrivania...

In sintesi, la sicurezza deve essere concreta perchè possa davvero essere sicura...

 

Furto di identità e responsabilità delle banche: interviene la Cassazione

La Terza sezione civile della Corte di Cassazione, con la sentenza n. 3350 dell'11 febbraio 2009, interviene in relazione ad un caso di furto di identità, realizzato attraverso l'esibizione di un documento altrui rubato e senza neppure la sostituzione della foto del legittimo titolare, il quale si è ritrovato poi a subire procedimenti penali per l'emissione di assegni a vuoto, con riferimento a 3 conti correnti aperti dal ladro di identità in 3 banche diverse.

La Corte ha stabilito un "precedente" molto importante, stabilendo che:

  • il controllo del documento e della corrispondenza della fotografia non può essere considerato un onere aggiuntivo per la banca, ma rientrano nei controlli minimi per l'identificazione del cliente
  • "risultando in fatto dimostrati il furto di identità e l'utilizzazione da parte del reo di un documento altrui in nulla alterato o modificato, la riconoscibilità dell'abuso era da ritenere in re ipsa, e da presumere fino a prova contraria.  Era a carico della banca, quindi, e non del danneggiato, l'onere di fornire la prova della scusabilità del suo errore (per la somiglianza fra le due persone o per altra causa)"

 

L'attività di ricerca

L'attività di ricerca sviluppata dai ricercatori di RiSSC, nell'ambito di numerosi progetti, ha permesso di acquisire una conoscenza approfondita sia del fenomeno sia delle sue numerose e diverse implicazioni.

Il progetto ID TRASH, il Progetto NESSUNO, la realizzazione del Rapporto Annuale sulle Frodi Creditizie 2007 di CRIF e del Manuale di Analisi Documentale, e più recentemente il Progetto ALIAS, in collaborazione con UCAMP-Ufficio Centrale Antifrode dei Mezzi di Pagamento del Ministero dell'Economia e delle Finanze, sono solo alcuni esempi del lavoro di analisi su questo tema.

Attualmente, il lavoro di ricerca è incentrato sullo studio delle esperienze straniere e delle buone pratiche sviluppate a livello nazionale e internazionale, delle interdipendenze con altri fenomeni criminali, dei rischi nei flussi economici e delle soluzioni di tutela aziendale e di prevenzione del rischio di frode creditizia.

Per maggiori informazioni: info@rissc.it