Furto d’identità digitale: cos’è, come avviene e come tutelarsi

Il furto d’identità digitale è un problema serio: un criminale usa i nostri dati personali (nome, codice fiscale, numero di carta di credito, password) ottenuti illegalmente per farsi passare per noi. L’obiettivo è spesso finanziario: aprire prestiti, fare acquisti, o accedere ai nostri conti. Può anche essere usato per commettere frodi o altri reati a nostro nome.

Spesso accade a causa di una violazione di dati (data breach) di servizi online che usi, oppure attraverso tecniche di ingegneria sociale come il phishing (email o SMS falsi che ti spingono a rivelare dati) o il malware (software malevolo che infetta i tuoi dispositivi per rubare informazioni). Anche l’uso di password deboli o duplicate è una porta aperta per i criminali.

Come difendersi: prevenzione e reazione immediata: Usare password forti e uniche (magari con un password manager), abilitare l’autenticazione a due fattori (2FA) ovunque possibile, e mantenere tutti i tuoi software aggiornati. Se si sospetta un furto, bloccare immediatamente carte e conti, denunciare subito alle autorità competenti (Polizia Postale) e cambiare tutte le password degli account compromessi.

Il furto di identità digitale rappresenta una minaccia sempre più diffusa, in ragione del fatto che i servizi informatici sono sempre più estesi nella vita quotidiana e la maggior parte delle attività sono condotte online, tramite strumenti tecnologici come il pc, lo smartphone o il tablet: tutte le informazioni che un utente inserisce, ad esempio all’interno di forum online, social network o piattaforme di e-commerce, sono esposte al rischio di essere sottratte da parte di criminali informatici.

Infatti, l’identità digitale è lo strumento che ci consente di interagire in modo sicuro e riconosciuto nel mondo digitale, semplificando l’accesso a una vasta gamma di servizi e attività online.

The Most Common Type of Digital Identity Theft - Bitdefender Cyberpedia

Indice degli argomenti

Cos’è l’identità digitale

L’identità digitale è l’insieme di informazioni e attributi digitali che identificano in modo univoco una persona (o anche un’organizzazione, un dispositivo o un’applicazione) all’interno di un sistema informatico o nell’ambiente online. In pratica, è la nostra “presenza” nel mondo digitale.

Ecco alcuni punti chiave per capire cos’è l’identità digitale:

• Rappresentazione informatica: È la traduzione in dati digitali della propria identità reale. Questi dati possono includere informazioni anagrafiche, credenziali di accesso (username e password), dati biometrici (es. impronte digitali, riconoscimento facciale), informazioni sui comportamenti online (cronologia di navigazione, acquisti), dati finanziari, sanitari, ecc.

• Scopo: Lo scopo principale dell’identità digitale è permettere a sistemi informatici di distinguere e riconoscere gli utenti per vari fini, come:

  • Accesso a servizi: Accedere a servizi online della Pubblica Amministrazione, banche, siti di e-commerce, social media.

  • Autenticazione: Verificare che si è realmente chi si dice di essere (ad esempio, tramite password, PIN, token o riconoscimento biometrico).

  • Autorizzazione: Determinare a quali risorse o informazioni si ha il permesso di accedere.

  • Firma di documenti: Sottoscrivere documenti digitali con valore legale (es. firma digitale).

  • Monitoraggio delle attività: Tenere traccia delle azioni svolte da un utente o un dispositivo.

• Componenti: L’identità digitale può essere più o meno complessa. A volte, si tratta semplicemente di un nome utente e una password. Altre volte, include una vasta gamma di attributi che costruiscono un profilo dettagliato dell’utente.

• Esempi in Italia: In Italia, gli esempi più comuni di identità digitale per i cittadini sono:

  • SPID Sistema Pubblico di Identità Digitale: Un sistema di accesso unico, sicuro e veloce ai servizi online della Pubblica Amministrazione e dei privati aderenti.

  • CIE Carta d’Identità Elettronica: Oltre ad essere un documento di riconoscimento fisico, la CIE permette anche l’identificazione e l’accesso a servizi online.

  • CNS Carta Nazionale dei Servizi: Una smartcard con microchip utilizzata per accedere a servizi online della PA.

• Sicurezza e privacy: La gestione e la protezione dell’identità digitale sono fondamentali. È necessario che le informazioni siano protette da accessi non autorizzati e che l’utente mantenga il controllo sui propri dati e su come vengono utilizzati.

Cos’è il furto d’identità digitale

Il furto d’identità digitale si verifica quando un individuo si appropria illegalmente delle informazioni personali di un altro individuo, come:

• dati anagrafici

• credenziali di accesso

• informazioni bancarie o mediche

al fine di compiere atti illeciti. Questi atti possono includere l’apertura di nuovi conti, acquisti fraudolenti, l’ottenimento di prestiti o la commissione di altri reati, spesso a scopo di lucro, sfruttando l’identità della vittima.

Definizione e inquadramento normativo dei furti di identità digitale

Dal punto di vista normativo in Italia, il furto d’identità digitale non è definito da un singolo articolo del Codice penale, ma è riconducibile a reati come la “sostituzione di persona” (art. 494 c.p.) e la “frode informatica” (art. 640-ter c.p.). L’articolo 494 c.p. punisce chiunque, al fine di procurarsi un vantaggio o di recare danno ad altri, si sostituisce illegittimamente ad un’altra persona. L’articolo 640-ter c.p. definisce il reato di “frode informatica” e punisce chi modifica il funzionamento di un sistema informatico o interviene sui suoi dati senza alcun diritto, procurando a sé o ad altri un ingiusto profitto. Il Codice della Privacy (D.L.vo 196/2003 e Regolamento UE 2016/679 – GDPR) tutela inoltre l’identità personale e la protezione dei dati.

Differenze tra furto d’identità e furto di dati

Sebbene i termini siano spesso usati in modo intercambiabile, esiste una differenza cruciale tra furto d’identità e furto di dati.

Il furto di dati o data breach si verifica quando le informazioni personali vengono acquisite illegalmente, ad esempio tramite un attacco hacker a un database aziendale o un virus sul computer di un utente. In questo caso, i criminali informatici ottengono l’accesso ai dati, ma non necessariamente li utilizzano subito per impersonare la vittima. Possono venderli sul dark web o conservarli per un uso futuro.

Il furto d’identità, invece, si verifica quando le informazioni rubate (ottenute tramite un furto di dati o altri mezzi) vengono effettivamente utilizzate per impersonare la vittima e commettere frodi o attività illecite a suo nome. L’obiettivo non è solo possedere i dati, ma agire come se si fosse la persona di cui si è rubata l’identità. Ad esempio, aprire un conto bancario, effettuare acquisti o richiedere prestiti usando il nome e i dati della vittima. In sintesi, il furto di dati è un prerequisito che può portare al furto d’identità.

Furto d’identità: dati e danni del fenomeno

Il furto d’identità rappresenta una minaccia in continua evoluzione, con dati che indicano un aumento significativo dei casi e danni sempre più ingenti, complice anche l’avanzamento dell’intelligenza artificiale e la crescente digitalizzazione.

Il fenomeno delle frodi d’identità e dei cyberattacchi in Italia ha mostrato una preoccupante crescita tra il 2024 e il 2025, come evidenziato da diversi rapporti settoriali.

Secondo i dati di Experian, il valore delle frodi di terze parti prevenute dagli istituti finanziari ha raggiunto quasi 130 milioni di sterline, segnando un incremento del 10% rispetto ai 118 milioni registrati nello stesso periodo del 2024. Particolarmente allarmante è l’aumento delle aperture fraudolente di conti di risparmio (+92%) e di conti correnti (+5%), spesso utilizzati dai criminali per riciclare denaro o ottenere prodotti di credito.

L’Osservatorio di Mister Credit per il primo semestre del 2024 ha rilevato oltre 17.200 casi di frodi creditizie, con un danno stimato che sfiora i 79 milioni di euro. Nonostante una leggera crescita nel numero di frodi (+0,6%) e una diminuzione dell’importo medio frodato (-5,7%), la difficoltà nel rilevarle tempestivamente è aumentata significativamente. I tempi di scoperta delle frodi tra 1 e 2 anni sono cresciuti del 78%, e quelli tra 3 e 4 anni del 44,2%. Questa “emergenza silente delle frodi a lunga scoperta” è particolarmente critica. Il prolungato periodo di inattività e mancato rilevamento consente ai frodatori di infliggere danni maggiori, accumulare debiti significativi e consolidare impronte finanziarie illecite. Più lungo è il tempo di rilevamento, più complessa e costosa diventa la bonifica, non solo in termini finanziari, ma anche per l’impatto sulla reputazione e sul benessere psicologico della vittima, che deve districarsi in anni di attività illecite. Ciò evidenzia la necessità di meccanismi di monitoraggio più proattivi e di rilevamento precoce.

Il Rapporto Clusit 2025, che analizza i dati del 2024, ha rivelato un aumento globale degli attacchi informatici del 27,4% rispetto al 2023. L’Italia ha registrato un incremento del 15,2%, con 357 attacchi gravi nel 2024. Il paese rappresenta oltre il 10% degli attacchi globali, nonostante il suo PIL costituisca solo l’1% del totale mondiale. Questa sproporzione indica che l’Italia è un “hotspot” di vulnerabilità cyber a livello globale. Questa non è una semplice anomalia statistica, ma suggerisce debolezze strutturali nelle infrastrutture di cybersecurity, nella consapevolezza o nell’applicazione normativa rispetto ad altre nazioni, rendendo il paese un bersaglio particolarmente attraente per i criminali informatici. Il cybercrime ha costituito il 78% degli incidenti in Italia nel 2024, con una crescita del 40,6% rispetto al 2023.

La Relazione annuale 2024 del Garante per la Protezione dei Dati Personali, pubblicata il 15 luglio 2025, ha registrato 2.204 notifiche di data breach nel 2024, di cui 498 da soggetti pubblici e 1.706 da privati. Le violazioni più comuni includono accessi non autorizzati, attacchi ransomware, errate configurazioni dei sistemi e backup assenti o non funzionanti. In sintesi:

• Aumento delle frodi basate sull’IA: L’utilizzo di strumenti di intelligenza artificiale, come deepfake e voci generate artificialmente, ha portato a un aumento del 148% delle truffe basate sul furto d’identità nella prima metà del 2025, specialmente negli Stati Uniti. Questi strumenti rendono gli attacchi di social engineering (es. phishing) più sofisticati e credibili.

• Crescita degli incidenti informatici data breach: Nel 2024, a livello globale, sono stati rilevati 3.541 incidenti informatici (+27,4% rispetto al 2023). L’Italia ha registrato un aumento del 15,2% degli attacchi, raccogliendo il 10% degli incidenti mondiali, un dato sproporzionato rispetto al suo peso economico.

• Frodi finanziarie in aumento: Nel primo trimestre del 2025, le frodi d’identità hanno mostrato un aumento del 10% nel valore delle frodi di terze parti prevenute dagli istituti finanziari, raggiungendo quasi 130 milioni di sterline. In particolare, le aperture fraudolente di conti di risparmio sono aumentate del 92% e quelle di conti correnti del 5% rispetto al 2024.

• Settori più colpiti: Nel 2025, i settori più vulnerabili in Italia sono la Sanità (+19% di attacchi), la Pubblica Amministrazione (+45%) e i Media e comunicazione (con milioni di dati esposti). Anche la supply chain e il manifatturiero sono bersaglio del 25% degli attacchi globali.

• Vulnerabilità delle PMI: Le piccole e medie imprese continuano ad essere un bersaglio preferito dagli hacker a causa di budget IT ridotti, personale non formato e infrastrutture deboli. Si stima che una PMI venga colpita ogni 11 secondi e il 60% chiuda entro 6 mesi da un attacco.

• Impatto delle frodi sul credito: Sebbene le frodi su carte di credito siano in calo, si registra una crescita delle truffe legate alle formule “Buy Now, Pay Later” (BNPL), che riflettono l’aumento dell’e-commerce. Inoltre, le frodi sulle spese professionali hanno visto un aumento del 51,5%.

Danni del furto di identità

I danni derivanti dal furto d’identità sono molteplici e si estendono ben oltre le semplici perdite economiche:

• Perdite economiche dirette:

  • Costi associati a frodi su conti correnti, carte di credito, prestiti, mutui e altre operazioni finanziarie.

  • Costi per le aziende, con il costo medio di un data breach in Italia che ha raggiunto i 4,37 milioni di euro nel 2024.

  • Danni medi per le PMI pari a 59.000 euro per attacco.

• Danni alla reputazione e al credito:

  • Essere vittima di un furto d’identità può ostacolare future richieste di credito e creare difficoltà nell’ottenimento di servizi finanziari.

  • Danni reputazionali per le aziende coinvolte in data breach.

• Disagio emotivo e stress: Le vittime subiscono un notevole disagio emotivo e stress nel dover affrontare le conseguenze del furto d’identità.

• Conseguenze legali:

  • Le aziende possono essere multate dal Garante Privacy in caso di data breach non adeguatamente gestiti o non segnalati in tempo.

  • Responsabilità legali per individui o aziende che non proteggono adeguatamente i dati personali.

• Interruzioni operative: Per le aziende e le infrastrutture critiche, gli attacchi possono causare interruzioni dei servizi essenziali, come nel caso del settore sanitario.

• Manipolazione delle informazioni: Il furto di dati può essere utilizzato per manipolare informazioni, compromettendo la fiducia e la sicurezza.

Misure di prevenzione e risposta:

• Vigilanza e buone pratiche: È fondamentale prestare attenzione a email, telefonate e messaggi sospetti (phishing, vishing, smishing) e controllare regolarmente il proprio report creditizio.

• Tecnologie avanzate: Le banche e gli operatori finanziari stanno sempre più utilizzando l’intelligenza artificiale e i sistemi biometrici e di riconoscimento comportamentale per individuare e bloccare le frodi.

• Identità digitale e autenticazione forte: L’adozione di soluzioni avanzate di verifica dell’identità e l’applicazione di identità digitali nazionali sono considerate essenziali per contrastare l’impersonificazione e le frodi.

• Formazione e consapevolezza: Educare se stessi, la famiglia e i dipendenti sui rischi e sulle modalità di attacco è cruciale, specialmente per le PMI.

• Nuove normative: Il Ministero dell’Economia e delle Finanze ha avviato consultazioni per un nuovo decreto che disciplina il sistema di prevenzione del furto d’identità, prevedendo un call center per le segnalazioni e notifiche automatiche alle vittime in caso di accertamento di frode o rischio.

• Approccio multilivello alla sicurezza: È necessario combinare verifica biometrica, rilevamento degli attacchi e tecnologie di sicurezza certificate per una resilienza massima.

Come avviene il furto d’identità digitale

Il furto d’identità digitale avviene quando un individuo si appropria illegalmente delle informazioni personali di un altro per commettere frodi, attività illecite o trarne vantaggio economico, sfruttando l’identità della vittima.

Ecco le principali tecniche utilizzate dai cybercriminali:

• Phishing: È una delle tecniche più comuni. I criminali inviano email, SMS (smishing), messaggi su social media o persino telefonate (vishing) che sembrano provenire da enti affidabili (banche, aziende, servizi pubblici). L’obiettivo è ingannare la vittima e indurla a rivelare informazioni sensibili come credenziali di accesso (username e password), numeri di carte di credito, risposte a domande di sicurezza. Spesso questi messaggi contengono link a siti web fasulli, identici a quelli legittimi, dove l’utente inserisce i propri dati, che vengono così rubati.

• Malware: Si tratta di software malevoli (virus, trojan, spyware, ransomware, keylogger, ecc.) che vengono installati sul dispositivo della vittima senza il suo consenso. Questo può avvenire tramite il download di file infetti, la visita di siti web compromessi, o l’apertura di allegati malevoli in email. Una volta installato, il malware può:

  • Rubare dati sensibili: Molti malware sono progettati per cercare e copiare informazioni personali presenti sul computer o sul telefono, incluse password, documenti, dettagli bancari.

  • Monitorare le attività: Alcuni malware (come i keylogger) registrano tutto ciò che viene digitato, comprese le credenziali di accesso.

  • Prendere il controllo del dispositivo: In alcuni casi, il malware può dare ai criminali il controllo remoto del dispositivo, permettendo loro di accedere ai dati e compiere azioni a nome della vittima.

• Social Engineering: Questa tecnica sfrutta la manipolazione psicologica per indurre le vittime a compiere azioni o a divulgare informazioni riservate. Non si limita al phishing, ma può includere:

  • Pretexting: L’attaccante crea un falso scenario o una falsa identità per ottenere informazioni. Ad esempio, si finge un tecnico informatico che necessita delle credenziali per “risolvere un problema”.

  • Baiting: Viene offerta una “esca” (ad esempio, una chiavetta USB infetta lasciata incustodita) per spingere la vittima a inserirla nel proprio computer.

  • Quiz e indagini online: Questionari o sondaggi che richiedono informazioni personali (nomi di familiari, luoghi di nascita, date significative) che possono essere usate per indovinare risposte a domande di sicurezza o per attacchi più mirati.

  • Social media exploitation: Raccolta di informazioni personali dai profili social pubblici per costruire attacchi su misura, messaggi manipolatori o furti d’identità più complessi.

• Hacking e Data Breach

  • Hacking diretto: I cybercriminali possono tentare di ottenere accesso non autorizzato a computer o reti sfruttando vulnerabilità nella sicurezza del sistema, installando malware o violando le protezioni.

  • Violazioni di dati (Data Breach): Si verificano quando i database di aziende, organizzazioni o servizi online vengono compromessi, esponendo grandi quantità di dati degli utenti (nomi, numeri di telefono, indirizzi email, dati finanziari, ecc.). Queste informazioni rubate diventano una “miniera d’oro” per i ladri di identità, che possono usarle per impersonare le vittime.

• Frodi negli acquisti online: I criminali possono infiltrarsi in piattaforme di shopping online vulnerabili per ottenere informazioni private dei clienti, come i numeri delle carte di credito, da utilizzare per acquisti fraudolenti.

• Creazione di profili falsi sui social media: I criminali utilizzano le informazioni personali della vittima (foto, nome, dettagli personali) acquisite dai social media per creare profili falsi sotto il suo nome, spesso per ingannare amici e contatti, estorcere denaro o diffondere disinformazione.

Una volta ottenute le informazioni, i ladri di identità possono utilizzarle per:

• Aprire nuovi conti bancari o linee di credito.

• Effettuare acquisti online o in negozi fisici.

• Richiedere prestiti o finanziamenti.

• Accedere a servizi online (email, social media, servizi pubblici).

• Richiedere documenti d’identità falsi.

• Commettere reati a nome della vittima.

• Vendere le informazioni nel dark web.

È fondamentale adottare pratiche di sicurezza informatica robuste per proteggersi da queste minacce.

Misure preventive per proteggere la propria identità online

Proteggere la propria identità online è fondamentale nell’era digitale. Esistono diverse soluzioni, e tra le più note ci sono Norton, Incogni e Kaspersky. Ognuno di questi offre approcci leggermente diversi alla protezione dell’identità online.