Intervista

La Guardia di Finanza e la lotta ai pirati delle identità contraffatte

Il generale Mancazzo (Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza): «Vigilare è un dovere di tutti»

(Ansa)

6' min read

I punti chiave

  • Spid sotto attacco
  • A che cosa servono più identità digitali
  • Privato e pubblico

6' min read

«Ciò a cui stiamo assistendo è purtroppo un forte aumento delle frodi poste in essere attraverso l’utilizzo di falsi Spid a monte dei quali, è bene sottolinearlo, c’è quasi sempre un furto d’identità digitale». A confermare l’aggravarsi del rischio di questa tipologia di frodi paventato da Plus24 è il generale di brigata Antonio Mancazzo, comandante del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza.

Generale il Nucleo speciale tutela privacy e frodi tecnologiche tra i suoi compiti istituzionali ha il contrasto alle frodi telematiche e alle violazioni di dati personali. Si tratta di due campi che abbiamo visto intrecciarsi negli ultimi tempi con il sempre più diffuso fenomeno dei furti d’identità. In dettaglio riceviamo in redazione parecchie mail di lettori che raccontano di avere subito frodi portate a termine grazie alla creazione di un falso Spid. Come è possibile tecnicamente?

Loading...

Mi sia consentita una doverosa premessa: in un’economia globalizzata quale quella attuale anche le organizzazioni criminali avvertono l’esigenza di rinnovare le proprie strategie e tecniche criminali attraverso le quali potersi insinuarsi negli spazi anonimi della rete così da “promuovere” le stesse attività illecite perpetrate nel mondo reale. La presa di coscienza delle gravi minacce al sistema Paese derivanti dall’utilizzo illecito delle nuove tecnologie ha portato, quindi, la Guardia di Finanza a rafforzare il dispositivo di contrasto che oggi è anche orientato al controllo economico del “territorio virtuale” attraverso il monitoraggio della rete telematica, soprattutto quella nascosta, in cui, come detto, trovano sempre più una propria proiezione pervasiva le organizzazioni criminali che hanno solide radici nel mondo reale. In tale ambito, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche rappresenta, ad oggi, il Reparto del Corpo specializzato nel contrasto al cyber crime garantendo il costante presidio di polizia economico-finanziaria in Rete Contestualmente, il Reparto opera anche a contrasto delle violazioni in materia di protezione di dati personali: “connubio vincente” voluto dalla nostra Amministrazione proprio per l’interconnessione imprescindibile oggi esistente tra la data governance e la cybersecurity. Ed è per questo che il Nucleo assume il ruolo di referente unico per la Guardia di Finanza nei rapporti con l’Autorità Garante per la tutela dei dati personali e con l’Agenzia per l’Italia Digitale (Ag.I.D.), con i quali (e per conto dei quali) - a seguito della stipula di specifici Protocolli d’intesa – vengono eseguite specifiche attività finalizzate anche all’accertamento della regolare emissione dello SPID.

Spid sotto attacco

Cercando di rispondere alla sua domanda, devo effettivamente sottolineare come purtroppo stiamo assistendo ad un forte aumento delle frodi poste in essere attraverso l’utilizzo di “falsi SPID” a monte dei quali, è bene sottolinearlo, c’è quasi sempre un furto d’identità digitale. Ecco perché bisogna prestare massima attenzione a non far circolare sul web, laddove non estremamente necessario, propri documenti di identità. Infatti, proprio attraverso l’utilizzo di essi, malintenzionati potrebbero creare un falso SPID attraverso cui poter accedere alle prestazioni fornite da pubbliche amministrazioni e da fornitori di servizi privati che consentono l’accesso ai servizi online con tale modalità.

 L’impegno del Nucleo da Lei comandato si estrinseca anche nell’attività ispettiva curata dal Garante della Privacy anche nei confronti dei provider. Nella deliberazione Gpdp del 19 dicembre 2024 in particolare si fa riferimento all’attività ispettiva nel periodo gennaio-giugno 2025. È possibile avere qualche dato quantitativo (statistiche e quant’altro)?

Come dicevo in precedenza il Nucleo, tramite il dipendente Gruppo Privacy, svolge le attività ispettive delegate dal Garante per la protezione dei dati personali in forza di uno specifico Protocollo d’intesa. Tra queste rientrano anche quelle in materia di SPID - settore espressamente indicato tra quelli oggetto di controllo come da delibera di programmazione dell’attività ispettiva del Garante già a partire dal 2022 (deliberazione del 21 luglio 2022) - che vengono svolte, il più delle volte, congiuntamente da nostri militari e da funzionari della citata Authority e che sono tuttora in corso. Si tratta, quindi, di un settore su cui alta è l’attenzione da parte del Garante tanto è vero che, come da Lei sottolineato, è stato ulteriormente inserito anche nella Delibera di programmazione delle attività ispettive per il primo semestre 2025.

Quali sono i soggetti vigilati?

Tali controlli sono rivolti specificatamente nei confronti dei gestori dell’identità digitale o Identity Provider (imprese private accreditate allo SPID che ottengono la licenza da parte di AgID) e della filiera dei soggetti (LRA - Local Registration Authority e RAO – Registration Authority Officer) di cui si avvalgono per il rilascio dei servizi fiduciari (identità digitali SPID, firme digitali ed elettroniche qualificate, certificati di autenticazione CNS) di cui al Regolamento (UE) n. 910/2014 sull’identità digitale, al fine di verificare il rispetto della normativa in materia di protezione dei dati personali. In particolare, per quanto concerne le società autorizzate al rilascio dei servizi fiduciari (LRA o società presso cui operano i RAO) gli accertamenti ispettivi riguardano i trattamenti di dati effettuati ai fini dell’identificazione dei richiedenti interessati da parte dei RAO con riferimento alle informazioni e alla documentazione da loro raccolta per verificarne la correttezza.

 Sulla scorta della Vostra esperienza la dotazione di strumenti di sicurezza dei vari provider per prevenire questi fenomeni è idonea allo scopo? Quali sono i punti più vulnerabili nei sistemi di sicurezza riscontrati?

Tecnicamente le dotazioni di sicurezza sono oggetto di ispezione da parte dell’AgID che verifica la conformità di queste in ordine al Regolamento eIDAS (elettronic identification and trust services for elettronic transactions in the internal market) e dal Codice dell’ Amministrazione Digitale. In particolare, per rafforzare i sistemi sicurezza i vari provider normalmente utilizzano le seguenti tecniche di autenticazione di 2° (dove i sistemi informativi dei fornitori dello SPID notificheranno sulla e-mail di contatto scelta dall’utente ogni “tentativo di accesso”, a seguito di una richiesta di autenticazione tramite l’app creata ad hoc dal provider o tramite codice di verifica OTP via SMS, invitando l’utente a contattare l’Assistenza Clienti nel caso in cui non si riconoscesse nella richiesta di autenticazione) e 3° livello (in cui gli strumenti prima citati vengono coinvolti congiuntamente).

Più Spid per ognuno

Sulla scorta delle attività svolte, invece, sia di natura amministrativa che penale, le criticità riguardano le interazioni tra gli utenti ed i siti creati nell’ottica di attuare schemi di phishing ad opera di malintenzionati, attraverso cui vengono sottratti documenti d’identità e/o altri dati sensibili sensibili che, come detto prima, vengono usati per creare un falso doppio SPID.

Infatti, poiché la legge istitutiva dell’identità digitale consente di poter attivare più Spid, uno per ogni provider, usando le stesse credenziali anagrafiche ma utilizzando un diverso numero di telefono e un indirizzo e-mail, sono stati riscontrati tentativi di clonare l’identità digitale, accedendo a informazioni riservate.

Più vigilanza

Ecco perché diventa fondamentale che i fornitori di tali servizi (Identity provider) pongano in essere controlli nei confronti di ciascun soggetto della filiera autorizzato al rilascio delle identità digitali prevedendo stringenti audit riguardo il loro operato: infatti, in alcuni casi, è stata riscontrata la necessaria compiacenza di alcuni RAO che, contravvenendo alle regole imposte dall’Identity Provider o dalla Local Registration Authority, hanno proceduto alla creazione di SPID utilizzando dati diversi da quelli reali o forzando alcuni passaggi della catena di controllo in sede di identificazione (sulla base di moduli di richiesta con firme autografe apocrife oppure sulla base di documenti di identità falsi ovvero rubati). Ulteriormente, si sono registrati casi di utilizzo di “falso SPID” per accedere abusivamente al sistema informatico dell’Agenzia delle Entrate per “mobilizzare” crediti d’imposta presenti sul Cassetto fiscale, dell’Inps per la richiesta di sostegni, sussidi e indennità ed anche di alcuni Ministeri per l’indebito sfruttamento di bonus.

Il settore privato

Con riguardo al settore privato, si rilevano possibili profili di riciclaggio connessi all’ apertura – mediante SPID - di conti correnti e/o conti di gioco intestati ad ignari soggetti su cui far transitare somme provento di attività delittuose.

Quali sono le iniziative che il privato cittadino può intraprendere per evitare verificare che a sua insaputa non si sia generata generi una falsa identità digitale?

Il primo consiglio, già richiamato, è quello di porre la massima attenzione, se non evitare, la condivisione dei propri documenti di identità tramite sistemi di messaggistica comuni come whatsapp, sms o e-mail, cercando di utilizzare solo canali e siti certificati. Infatti, i propri dati personali sono alla base del processo di creazione di una identità digitale falsa per cui bisogna porre in essere – per quanto possibili – tutti gli accorgimenti possibili per evitare che gli stessi ci vengano trafugati. Ad esempio, è buona prassi aggiornare frequentemente le password, attivare l’autenticazione a due fattori, non cliccare mai su link allegati a e-mail o sms che invitano a verificare l’identità spid o a fornire i propri dati per evitare di essere reindirizzati verso falsi siti in mano a malintenzionati. Ovviamente rimane sempre valida la possibilità di esercizio dei diritti previsti dal GDPR nei confronti di ciascun provider (ad es. chiedendo se vi sono altri account creati a propria insaputa).

 

Che cosa deve fare il cittadino nel malaugurato caso in cui ciò si sia verificato?

Nel caso di furto d’identità digitale le conseguenze possono essere di carattere penale e di trattamento illecito dei dati, pertanto il cittadino in tale situazione deve immediatamente rivolgersi alle Autorità competenti e/o di Pubblica Sicurezza per denunciare il furto d’identità (si possono configurare i reati di sostituzione di persona ex art. 494 c.p., e frode informatica ex art. 640-ter, comma 3 c.p.) oppure presentare reclamo/segnalazione all’Autorità Garante per la protezione dei dati personali, oltre ad avvisare tempestivamente l’Identity provider che ha rilasciato le credenziali SPID in modo da cambiare subito la password del falso SPID impedendo a chi detiene di continuare a utilizzarlo.

Copyright reserved ©
Loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti