Descrizione e natura delle violazioni
Potenziali scenari di violazioni di dati personali possono avvenire sia presso i sistemi informativi afferenti alle pubbliche amministrazioni, che direttamente presso gli strumenti informatici e applicazioni utilizzate dai cittadini.
Dove possono avvenire le violazioni
Le pubbliche amministrazioni mettono a disposizione dei cittadini molteplici servizi online, come ad esempio visione di referti e dati sanitari, iscrizione a concorsi pubblici, cambi di residenza, pagamento di servizi tributari o erariali, etc. Tali servizi sono accessibili mediante complessi sistemi informatici, che si avvalgono di ingressi di autenticazione con credenziali utente oppure con sistemi SPID, CIE, CNS. Tali sistemi possono divenire oggetto di attacchi di varia natura.
A titolo precauzionale, si invitano tutti i cittadini a mantenere alta l’attenzione e a mettere in atto ogni misura di sicurezza su qualunque interazione sospetta (online, ma anche effettuata con strumenti tradizionali).
Una misura di prevenzione importante è quella di cambiare frequentemente le password e scegliere delle password complesse di almeno 10 o più caratteri, formate da maiuscole, minuscole, numeri e caratteri speciali. Le password non devono essere banali e non devono essere riconducibili a Vostre informazioni personali (es. nome e data di nascita). Sopratutto è importante utilizzare password distinte per ciascuna credenziale di un servizio o applicazione che permette l’autenticazione. Ad esempio, la password di un social deve essere differente dalla password della banca, piuttosto che la password dello SPID. Dove possibile scegliere sempre la “autenticazione a doppio fattore”, ovvero la circostanza in cui per l’autenticazione ad un servizio o ad una applicazione è necessario oltre la password e il nome utente utilizzare anche un altro metodo di riconoscimento (es. un SMS, il riconoscimento facciale, l’impronta digitale, un applicazione di autenticazione come Google o Microsoft Autenticator).
Tipi di violazione:
Le modalità con cui possono avvenire le violazioni sono molteplici: si può andare dalla vulnerabilità dei sistemi all’iniezione di malware (virus ed altro), spesso attivati con tecniche del Phishing, Vishing, SMishing, SIMSwapping.
In relazione alle tipologie di virus più utilizzate, le suggeriamo di prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:
Phishing
Il phishing è una truffa che viene effettuata su internet, il malintenzionato fingendosi un ente affidabile in una comunicazione digitale cerca di ingannare la vittima convincendola a fornire:
- informazioni personali
- dati finanziari
- codici di accesso
Vishing
Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi didati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.
SMishing
Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.
Sim Swapping
Il SIM swapping o swap è un attacco ache permette ai criminali informatici di impossessarsi del numero di telefono di un utente e di accedere a servizi online che usano il numero di telefono come sistema di autenticazione, è possibiel anche il furto di identità sui canali social.
Se si subisce un attacco SIM swapping il cellulare presenta anomalie.
E' importante agire rapidamente per impedire ai criminali informatici di continuare a utilizzare la tua linea di telefonia mobile per compiere frodi:
- Bloccare la nuova scheda SIM contattando il proprio operatore telefonico e chiedere conferma dell'effettiva emissione di un duplicato;se confermato bloccarela SIM fraudolenta e richiedere l'emissione di una nuova SIM per recuperare la tua linea telefonica il prima possibile: ne avrai bisogno per verificare i tuoi conti bancari, canali social, ecc.
- Sporgere denuncia:in caso di perdita economica. la SIM duplicata potrebbe essere stata usata per il sequestro degli account sui canali social o la stipula fraudolenta di servizi, ecc.) e le aziende potrebbero richiedere una copia della denuncia per poter agire.
- Chiedere alla propria banca di controllare l'attività recente sui tuoi conti e di bloccare le tue carte.
- Verificare gli account più comuni, verificare di ad avere accesso ai propri account,
Cosa succede se si subisce una violazione
- Perdita di riservatezza
quando ad esempio i propri dati personali oggetto di violazione vengono divulgati ad uno o più soggetti non autorizzati, o pubblicati anche solo parzialmente per ottenere un riscatto; - Perdita di integrità
quando i dati oggetto di violazione vengono modificati, o sono difficilmente ricostruibili, od eliminati; - Perdita di disponibilità
quando i dati non sono accessibili, anche per un periodo di tempo limitato. Anche l’indisponibilità di servizi rivolti ai cittadini od utenti potrebbe comportare un potenziale violazione dei diritti.
Quali dati possono essere violati
- Anagrafici (nome, cognome, codice fiscale, indirizzo di casa)
- Dati di contatto (email, numero di telefono, di cellulare, etc.)
- Password (con le tecniche sopra indicate possono essere violate, estorte, o forzate)
- Dati relativi allo stato di salute (referti, o documenti necessari a dimostrare uno stato di disabilità, o qualsiasi condizione di disagio socio – economico)
- Dati relativi a condanne, reati, di tipo giudiziario (anch’essi derivati da dichiarazioni, o casellario giudiziale, carichi pendenti).
Come possono essere utilizzati i dati violati
I dati personali (a seconda di quali e quanti di essi sono oggetto di violazione) potrebbero essere usati, a titolo di esempio, per:
- Furti di identità;
- Rivolgersi a lei, per telefono e/o email, e/o posta cartacea, per perpetrare truffe;
- Tentativi di frode di vario genere;
- Altri contatti indesiderati o fraudolenti;
- Utilizzo e profilazione dei dati acquisiti per marketing selvaggio:
Contro le truffe agli anziani - Guarda il video
contatti
Il Responsabile della protezione dei dati personali (RDP o DPO) del Comune di Rimini è gratuitamente a disposizione dei cittadini per qualsiasi chiarimento afferente ai servizi digitali del Comune di Rimini al seguente numero di telefono: 05411798438, in orario di ufficio, e all’indirizzo di posta elettronica dpo@studiopaciecsrl.it.