Come rubare una identità senza nemmeno sapere come ti chiami, o quasi

Il 26 Giugno di quest'anno 2016, Aaron Thompson, un ventitreenne di Pontiac, Michigan si accorge che non può più accedere al suo account Facebook e che la mail e il numero di telefono a questo associati sono stati cambiati.

Verificando la propria posta elettronica, ha scoperto immediatamente il motivo: un estraneo, spacciandosi per lui, ha scritto alla assistenza clienti di FB chiedendo di disattivare l'autenticazione a due fattori (che verifica l'accesso da terminali diversi da quelli già approvati) e il code generator: “Hi. I don’t have anymore access on my mobile phone number. Kindly turn off code generator and login approval from my account. Thanks.” 

La richiesta non proveniva, ovviamente, dalla mail di Aaron Thompson.

FB risponde prontamente, chiedendo la copia di un documento di identità che provi che lo scrivente sia veramente quello che dice di essere; la copia del documento (il passaporto) viene subito spedita e FB sblocca l'account, consentendo all'intruso di prenderne il controllo.

Peccato che il passaporto inviato in immagine riporti solo il nome corretto, mentre tutti gli altri dati nemmeno corrispondono.

In sostanza, FB ha consentito ad un terzo di assumere il controllo di un profilo senza altro elemento che il nome del titolare.

La vicenda è raccontata dallo stesso Thompson su Redditt - e senza quel racconto FB non avrebbe nemmeno corretto il proprio errore, a quanto si scrive. FB si scusa allegando trattarsi di un errore unmano, non avendo rispettato le ordinarie prassi di sicurezza.

Come ebbi più volte a dire, i social network are in it for the money, e così tutti gli interessati malevoli: Thompson ha una serie di pagine commerciali, altamente spendibili, quantomeno per i milioni di like che queste hanno.

Sul tema ricordo il volume di Bruce Schneier, Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World, reperibile in Italia da Amazon. 

 

Ricordo, inoltre, un vecchio post, sulla inopportunità di lasciare in giro copie dei propri documenti di identità ... Identificazione della Clientela e Furto di Identità.

Sulla periziabilità dei documenti fotoriprodotti, ancora

Credo giovi reiterare questo post, già edito lo scorso 18 Aprile, con qualche chiosa. Per dimostrare praticamente le motivazioni che ostano all'espressione di pareri di autenticità su documenti fotoriprodotti (tra cui quelli fotocopiati), qualche tempo fa (ormai sono cinque anni) avevo predisposto un piccolo esperimento, riassunto nell'immagine che segue. Una sola delle tre scritture è "vera"; le altre due sono ricostruite con alcuni programmi di elaborazione numerica delle immagini, quindi "false", almeno per i fini che in questo momento interessano.

Ad oggi, nessuno è ancora riuscito a fornire un parere motivato su quale sia "autentica" e quali siano "false". Per chi vuole, sono disponibili a richiesta le immagini in alta risoluzione. In conclusione, non è possibile esprimere pareri completamente motivati su fotoriproduzioni. Tali pareri sono sempre sottoposti ad una riserva intrinseca ed ineludibile, ed a nulla le riserve platoniche che ogni tanto rispuntano dalle nebbie. A rigore, il parere tecnico su fotoriproduzioni dovrebbe essere sempre espresso previa decisione del Giudice o del Magistrato, in merito all'origine della riproduzione in esame, e sotto tale ipotesi (fotoriproduzione di documento che esiste nella realtà, giusta la decisione del Giudice o del Magistrato) il parere dovrebbe essere prodotto. Il Giudice o il Magistrato, cioè, decidono sulla validità dell'origine di un documento fotoriprodotto, e consentono acché possa essere acquisito come elemento in verifica o (e questo è un altro aspetto troppo spesso trascurato della questione) come elemento comparativo. A ciò si deve aggiungere, che qualora si accerti la presenza di differenze non giustificabili, queste hanno valore assoluto (se rilevate) nell'esprimere un parere di non autenticità.

Sulla periziabilità dei documenti fotoriprodotti

Per dimostrare praticamente le motivazioni che ostano all'espressione di pareri di autenticità su documenti fotoriprodotti (tra cui quelli fotocopiati), qualche tempo fa avevo predisposto un piccolo esperimento, riassunto nell'immagine che segue.
Una sola delle tre scritture è "vera"; le altre due sono ricostruite con alcuni programmi di elaborazione numerica delle immagini, quindi "false".
Ad oggi, nessuno è riuscito a fornire un parere motivato su quale sia autentica e quali siano false. Per chi vuole, sono disponibili a richiesta le immagini in alta risoluzione.

In conclusione, non è possibile esprimere pareri completamente motivati su fotoriproduzioni. Tali pareri sono sempre sottoposti ad una riserva intrinseca ed ineludibile, ed a nulla valgono espressioni come la riserva platonica che ogni tanto rispunta dalle nebbie.
A rigore, il parere tecnico su fotoriproduzioni deve essere sempre espresso previa decisione del Giudice o del Magistrato, in merito all'origine della riproduzione in esame, e sotto tale ipotesi (fotoriproduzione di documento che esiste nella realtà, giusta la decisione del Giudice o del Magistrato) il parere deve essere prodotto.
A ciò si deve aggiungere, che qualora si accerti la presenza di differenze non giustificabili, queste hanno valore assoluto (se rilevabili) nell'esprimere un parere di non autenticità.

Identificazione della Clientela e Furto di Identità

È prassi generallizzata la conservazione da parte di terzi delle fotoriproduzioni [*] dei documenti di identità esibiti per ottenere alcuni atti o servizi.
Per attivare una SIM telefonica, per effettuare alcune operazioni finanziarie, per l'attivazione di utenze, financo per il ritiro della corrispondenza alla firma viene richiesta la fotoriproduzione di un documento di identità, che viene conservata da chi fornisce il servizio richiesto.
Il Garante per la Protezione dei Dati Personali ha da tempo prescritto, con più che particolare attenzione agli Uffici Postali ed agli istituti di credito, norme specifiche per l'identificazione della clientela secondo le prescrizioni di Legge. Queste sono riportate nel documento del 27 Ottobre 2005, numero 1189435:

Quando identificare e fotocopiare i documenti di riconoscimento dei clienti - 27 ottobre 2005

Publish at Scribd

La fotoriproduzione dei documenti di identità è quindi lecita qualora sussistano i presupposti di liceità, pertinenza e non eccedenza. Tra l'altro, aggiungo, si dovrebbe chiaramente e compiutamente informare il cliente circa uso e modalità di conservazione delle copie fotostatiche dei suoi documenti personali, cosa che avviene pressoché mai.

Ora, le fotoriproduzioni dei documenti sono eseguite tal quali, senza alcun riferimento al momento ed allo scopo dell'acquisizione degli stessi.
L'assenza di tali dati impedisce, di fatto, ogni e qualsiasi controllo sulla eccedenza, la liceità e la pertinenza dell'acquisizione. Non è, cioè, possibile collegare univocamente quella determinata acquisizione alla particolare operazione richiesta; l'esistenza della fotoriproduzione di un documento di identità non è sufficiente a provare la presenza (e la volontà) dell'interessato.
È nella ordinaria prassi professionale vedersi consegnare, ai fini di perizia o consulenza, documenti da verificare cui sono allegate fotoriproduzioni di documenti di identità: la disponibilità della fotoriproduzione di un documento di identità, priva di riferimenti sul dove, quando e perché è stata ottenuta, è uno strumento di eccezionale redditività criminale.
Con la fotoriproduzione di un documento di identità è possibile, con enorme facilità, ottenere "di tutto", dalle operazioni finanziarie illecite all'ottenimento di beni e servizi utilizzando l'altrui identità, fino al completo furto dell'identità dell'interessato, ottenendo duplicati reali dei documenti fotoriprodotti.

Eppure, una difesa tanto elementare quanto efficace è l'apposizione "robusta" sulla fotoriproduzione in oggetto dei dati prima citati: dove, quando e perché il tal documento è stato fotoriprodotto, ad esempio scrivendoli sopra l'immagine del documento.
"Copia eseguita il tal giorno, in tal luogo, per ottenere il tal servizio; firma dell'interessato".

Praticamente, così:

Questo semplicissimo atto fissa le condizioni di eccedenza, liceità e pertinenza prescritti dalla Legge, ed ostacola il riutilizzo fraudolento della copia.

Inoltre, ai fini della perizia grafica e documentale, quando tali dati siano stati fatti manoscrivere dall'interessato sulla copia da conservare agli atti, forniscono una scrittura di eccezionale valore probatorio sia ai fini dell'accertamento dell'autenticità che della falsità degli atti posti in verifica.

Infine, questo semplice accorgimento non protegge solo il titolare del documento di identità fotoriprodotto, ma anche l'istituto che ne acquisisce (in forma lecita e regolamentare) la copia perché, come visto, si rende molto più difficile un disconoscimento di comodo.

[*] Fotoriproduzione, in quanto l'acquisizione dell'immagine del documento non viene effettuata solamente per focopiatura, su carta, ma anche per acquisizione della sola immagine (che tra le altre cose facilità l'eventuale elaborazione fraudolenta dell'immagine).