Potenziali scenari di violazioni di dati personali possono avvenire sia presso i sistemi informativi afferenti alle pubbliche amministrazioni, che direttamente presso gli strumenti informatici e applicazioni utilizzate dai cittadini.

Le pubbliche amministrazioni mettono a disposizione dei cittadini molteplici servizi online, come ad esempio visione di referti e dati sanitari, iscrizione a concorsi pubblici, cambi di residenza, pagamento di servizi tributari o erariali, etc. Tali servizi sono accessibili mediante complessi sistemi informatici, che si avvalgono di ingressi di autenticazione con credenziali utente oppure con sistemi SPID, CIE, CNS. Tali sistemi possono divenire oggetto di attacchi di varia natura.

A titolo precauzionale, si invitano tutti i cittadini a mantenere alta l’attenzione e a mettere in atto ogni misura di sicurezza su qualunque interazione sospetta (online, ma anche effettuata con strumenti tradizionali).

Una misura di prevenzione importante è quella di cambiare frequentemente le password e scegliere delle password complesse di almeno 10 o più caratteri, formate da maiuscole, minuscole, numeri e caratteri speciali. Le password non devono essere banali e non devono essere riconducibili a Vostre informazioni personali (es. nome e data di nascita). Sopratutto è importante utilizzare password distinte per ciascuna credenziale di un servizio o applicazione che permette l’autenticazione. Ad esempio, la password di un social deve essere differente dalla password della banca, piuttosto che la password dello SPID. Dove possibile scegliere sempre la “autenticazione a doppio fattore”, ovvero la circostanza in cui per l’autenticazione ad un servizio o ad una applicazione è necessario oltre la password e il nome utente utilizzare anche un altro metodo di riconoscimento (es. un SMS, il riconoscimento facciale, l’impronta digitale, un applicazione di autenticazione come Google o Microsoft Autenticator).

Le modalità con cui possono avvenire le violazioni sono molteplici: si può andare dalla vulnerabilità dei sistemi all’iniezione di malware (virus ed altro), spesso attivati con tecniche del Phishing, Vishing, SMishing, SIMSwapping.

In relazione alle tipologie di virus più utilizzate, le suggeriamo di prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:

Il phishing è una truffa che viene effettuata su internet, il malintenzionato fingendosi un ente affidabile in una comunicazione digitale cerca di ingannare la vittima convincendola a fornire:

• informazioni personali
• dati finanziari
• codici di accesso

Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi didati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.

Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.

Il SIM swapping o swap è un attacco ache permette ai criminali  informatici di impossessarsi del numero di telefono di un utente e di accedere a servizi online che usano il numero di telefono come sistema di autenticazione, è possibiel anche il furto di identità sui canali social.

Se si subisce un attacco SIM swapping il cellulare presenta anomalie.

E' importante agire rapidamente per impedire ai criminali informatici di continuare a utilizzare la tua linea di telefonia mobile per compiere frodi:

• Bloccare la nuova scheda SIM contattando il proprio operatore telefonico e chiedere  conferma dell'effettiva emissione di un duplicato;se confermato bloccarela  SIM fraudolenta e richiedere  l'emissione di una nuova SIM per recuperare la tua linea telefonica il prima possibile: ne avrai bisogno per verificare i tuoi conti bancari, canali social, ecc.
• Sporgere denuncia:in caso di perdita economica. la SIM duplicata potrebbe essere stata usata per il sequestro degli account sui canali social o la stipula fraudolenta di servizi, ecc.) e le aziende potrebbero richiedere una copia della denuncia per poter agire.
• Chiedere alla propria banca di controllare l'attività recente sui tuoi conti e di bloccare le tue carte.
• Verificare gli account più comuni, verificare di ad avere accesso ai propri account,

• Perdita di riservatezza
  quando ad esempio i propri dati personali oggetto di violazione vengono divulgati ad uno o più soggetti non autorizzati, o pubblicati anche solo parzialmente per ottenere un riscatto;
• Perdita di integrità
  quando i dati oggetto di violazione vengono modificati, o sono difficilmente ricostruibili, od eliminati;
• Perdita di disponibilità
  quando i dati non sono accessibili, anche per un periodo di tempo limitato. Anche l’indisponibilità di servizi rivolti ai cittadini od utenti potrebbe comportare un potenziale violazione dei diritti.

• Anagrafici (nome, cognome, codice fiscale, indirizzo di casa)
• Dati di contatto (email, numero di telefono, di cellulare, etc.)
• Password (con le tecniche sopra indicate possono essere violate, estorte, o forzate)
• Dati relativi allo stato di salute (referti, o documenti necessari a dimostrare uno stato di disabilità, o qualsiasi condizione di disagio socio – economico)
• Dati relativi a condanne, reati, di tipo giudiziario (anch’essi derivati da dichiarazioni, o casellario giudiziale, carichi pendenti).

I dati personali (a seconda di quali e quanti di essi sono oggetto di violazione) potrebbero essere usati, a titolo di esempio, per:

• Furti di identità;
• Rivolgersi a lei, per telefono e/o email, e/o posta cartacea, per perpetrare truffe;
• Tentativi di frode di vario genere;
• Altri contatti indesiderati o fraudolenti;
• Utilizzo e profilazione dei dati acquisiti per marketing selvaggio:

Il Responsabile della protezione dei dati personali (RDP o DPO) del Comune di Rimini è gratuitamente a disposizione dei cittadini per qualsiasi chiarimento afferente ai servizi digitali del Comune di Rimini al seguente numero di telefono: 05411798438, in orario di ufficio, e all’indirizzo di posta elettronica dpo@studiopaciecsrl.it.