Come funziona il furto di identità online: la spiegazione tecnica

Il furto di identità online è un reato che non richiede forzature fisiche né scassinatori professionisti. Avviene tutto in rete, attraverso una raccolta metodica di dati personali che consente ai criminali di impersonare le loro vittime, accedere ai conti bancari, contrarre prestiti a loro nome o aprire conti di posta elettronica falsi. Comprendere come funziona questo meccanismo è il primo passo per proteggersi davvero.

Cos'è il furto di identità online e come nasce

Il furto di identità online non è un singolo attacco, ma un processo costituito da più fasi. Il criminale non cerca soltanto di accedere al tuo profilo Facebook o Instagram: il suo obiettivo è reale e concreto, acquisire abbastanza dati su di te per entrare nei tuoi account finanziari, firmare contratti a tuo nome, o richiedere crediti presso banche e istituti. Per farlo, ha bisogno di una combinazione precisa di informazioni: nome completo, data di nascita, codice fiscale, numero di documento d'identità, indirizzo, numero di telefono, e spesso anche informazioni sul conto corrente.

Come ottiene questi dati? Raramente da un unico attacco. Nella maggior parte dei casi, la raccolta è progressiva e composita: parte da frammenti visibili su internet, si mescola a informazioni carpite tramite inganno, e si completa con dati rubati da server violati. Ogni pezzo è una tessera del puzzle.

Le tecniche principali: phishing, malware e violazioni di dati

Esistono tre canali principali attraverso cui i criminali raccolgono i dati necessari al furto di identità.

Il phishing: l'inganno via messaggio

Il phishing è una tecnica di ingegneria sociale. Il criminale invia un messaggio di posta elettronica, un SMS o una notifica che finge di provenire da una banca, da una piattaforma di pagamento, da un'agenzia pubblica o da un servizio noto. Il messaggio crea un senso di urgenza: il conto è stato compromesso, la password scadrà, c'è stata una transazione sospetta. Viene incluso un link che punta a una pagina falsa, identica all'originale, dove la vittima immette le credenziali di accesso pensando di trovarsi sul sito autentico. Spesso il link è offuscato: l'indirizzo web appare legittimo, ma reindirizza altrove. Una volta che il criminale possiede nome utente e password, accede all'account reale e raccoglie informazioni aggiuntive direttamente dal profilo della vittima.

Il malware: il software spia

Il malware è un programma dannoso installato sul computer o sul telefono della vittima, spesso scaricato da un allegato email sospetto, da un link infetto o da un'applicazione fraudolenta. Una volta attivo, il malware funziona come uno spione: registra le pressioni dei tasti (keylogging), cattura screenshot, accede ai file salvati localmente, ruba le credenziali memorizzate nel browser, e comunica continuamente i dati al server del criminale. Il proprietario del dispositivo continua a usare il computer normalmente, ignaro che ogni informazione sensibile è stata intercettata.

Le violazioni di database e breach

Periodicamente, database di aziende, servizi pubblici e piattaforme di e-commerce vengono violati. I criminali sfondano i sistemi di sicurezza di un server, estraggono i dati di milioni di utenti e li vendono nel dark web o li usano direttamente per il furto di identità. In questi casi, la vittima non ha fatto alcun errore: i suoi dati erano già in mano all'azienda, che non ha saputo proteggerli. Il criminale può quindi disporre di email, password, indirizzi, numeri di telefono e talvolta anche dati finanziari, senza aver mai contattato la vittima.

Come il criminale usa i dati rubati

Una volta raccolti dati sufficienti, il criminale agisce. Accede ai tuoi account di posta elettronica e li usa per richiedere il reset delle password dei servizi finanziari. Contatta la banca fingendo di essere te, usando i dati personali per superare le domande di verifica di sicurezza. Apre conti correnti a tuo nome presso altri istituti. Contrae mutui o prestiti personali. Richiede carte di credito. Accesa a servizi di utilità come luce e gas. Tutto avviene digitalmente, senza che il vero proprietario dell'identità si renda conto di nulla, fino a quando non riceve una notifica di una transazione strana o una lettera di una banca ignota.

In alcuni casi, il criminale vende direttamente i tuoi dati ad altri malintenzionati: un vero e proprio mercato della identità sottratte, dove il prezzo dipende dalla completezza e dalla qualità delle informazioni.

Protezione e prevenzione

La difesa consiste in una combinazione di buone abitudini e strumenti tecnici. Non aprire allegati email da mittenti sconosciuti. Non cliccare su link in messaggi SMS o email non richiesti, anche se sembrano autorevoli. Usare password uniche e complesse per ogni account. Abilitare l'autenticazione a due fattori, che protegge l'accesso anche se la password è stata rubata. Monitorare regolarmente gli estratti conto bancari e le notifiche di apertura di nuovi account. Utilizzare una rete privata virtuale quando ci si connette a reti pubbliche. Tenere il software antivirus aggiornato.

Inoltre, verifica il funzionamento degli account principali: di tanto in tanto, accedi ai servizi di posta elettronica, banca e piattaforme di pagamento e controlla l'elenco dei dispositivi autorizzati e le attività recenti. Molti servizi permettono di visualizzare quando e da dove è stato effettuato l'accesso.

Se sei già vittima di furto di identità

Se scopri di essere stato vittima di furto di identità, agisci immediatamente. Contatta la banca e le società di credito per bloccare i conti. Cambia le password di tutti gli account importanti da un dispositivo pulito. Consulta il sito dell'Agenzia delle Entrate per verificare se qualcuno ha presentato dichiarazioni fiscali a tuo nome. Presenta una denuncia alla polizia postale. In molti paesi europei, puoi anche contattare l'autorità di protezione dei dati per segnalare la violazione e richiedere supporto.

Domande frequenti

Il mio indirizzo email è stato violato. Significa che il mio furto di identità è automatico?

No. L'indirizzo email da solo non è sufficiente per il furto di identità finanziaria. Il criminale ha però uno strumento potente: può usare la tua email per richiedere il reset delle password degli altri account. Per questo motivo, cambia la password della email compromessa subito, da un dispositivo diverso, e verifica l'elenco dei dispositivi e delle app autorizzate di accesso.

L'autenticazione a due fattori mi protegge completamente?

La rende molto difficile, ma non impossibile. Se il criminale possiede il tuo numero di telefono (perché lo ha registrato a suo nome presso l'operatore telefonico), potrebbe intercettare i codici. Per questo è meglio usare un'app di autenticazione piuttosto che SMS. Ma sì, l'autenticazione a due fattori è uno dei migliori strumenti disponibili.

Vale la pena sottoscrivere un servizio di monitoraggio dell'identità?

Dipende dal tuo profilo di rischio. Se hai già subito una violazione di dati, se usi lo stesso account per molti servizi, o se la tua email è stata compromessa, un servizio di monitoraggio può avvisarti se i tuoi dati appaiono sul dark web o se viene aperto un account a tuo nome. Non lo previene, ma lo rileva prima che i danni siano massimi.