Nell’ambito della comunicazione via internet (sia mobile che desktop), si fa sempre più attuale e pressante un’esigenza di protezione dei dati personali. Tralasciando quelli relativi alle abitudini di navigazione online, tracciate dalle aziende tramite l’uso di cookies recentemente regolamentati[1], in questo articolo ci si vuole soffermare sull’aspetto di protezione dei dati personali dell’utente: età, sesso, indirizzo, numero di telefono e altro.
Perchè vogliono i nostri dati?
Si parta dal presupposto che i dati personali descritti rappresentano un piccolo tesoro disponibile a chi, fraudolentemente o meno, abbia a disposizione mezzi e tecnologie per usufruirne. È stato infatti calcolato che il loro valore, per quanto riguarda la dimensione europea, è di 315 miliardi e nel 2020 sarà di 1000 miliardi[2]. È evidente quindi che sia il singolo navigatore che le autorità preposte devono avere ben chiari i rischi a cui si va incontro nel corso dell’utilizzo di internet e devono adottare misure necessarie ad evitare l’uso non autorizzato di tali dati.
Piccola parentesi: l’emergere dell’Internet of Things (IoT) comporterà una crescita esponenziale di questi rischi[3], considerando che gli stessi strumenti che usiamo tutti i giorni potranno comunicare i nostri dati sulla rete senza per forza dover avvisare il proprietario della loro attività[4], almeno allo stato attuale della legislazione mondiale.
Nel mezzo, tra gli utenti e la pubblica autorità, non ci sono solo le aziende ed i professionisti, che grazie a internet lavorano fornendo prodotti e servizi, ma anche malintenzionati che con internet cercano una via di guadagno facile.
Come si guadagna trafugando dati personali?
Fermo restando che questa non vuole essere un’incitazione a delinquere, ma serve a tutti per comprendere i pericoli relativi alla scarsa protezione dei propri dati, di seguito diamo un esempio di una attività fraudolente tipo svolta alle spalle degli ignari utenti: Online Phishing (un esempio del classico problema del “man in the middle”[5]).
L’utente naviga da una postazione fissa da casa, con connessione ethernet, su siti non protetti da certificato, cioè i classici siti che iniziano con il protocollo “http://”.
L’utente ha necessità di verificare il proprio conto presso Poste Italiane e non fa caso al fatto che il browser di navigazione evidenzia come il sito appena apparso possa essere contraffatto:
Una copia del sito di Poste Italiane per un’azione di Phishing
In tal caso, l’utente può inserire i propri dati come se volesse effettuare il login ed ovviamente questi dati sarebbero trafugati da malintenzionati. Sembra una truffa semplice da evitare, ma ancora oggi diverse persone cadono in questo trabocchetto. L’uso di tali dati permette ai malintenzionati di accedere al vero sito di Poste Italiane, fingendosi il malcapitato utente, e di effettuare operazioni illecite sul conto.
Ovviamente questo tipo di cattura dei dati personali può avvenire su qualsiasi sito “contraffatto”, inteso come un sito che sembra quello al quale vogliamo accedere, ma che in realtà non lo è.