Privacy

DigiLawyer. Violati gli account iCloud, frodi anche in Italia

di Gianluca Pomante, Avvocato Cassazionista – esperto d’informatica e comunicazione |

Arrivano in Italia le prime email contenenti richieste di denaro da parte dei titolari (in realtà inconsapevoli) di account iCloud.

La rubrica DigiLawyer, ovvero riflessioni sul “diritto e il rovescio” di Internet fra nuove potenzialità e storture della rete, a cura di Gianluca Pomante, Avvocato Cassazionista esperto di informatica e comunicazione. Per consultare gli articoli precedenti clicca qui.

Dopo l’annunciata violazione dei server Apple da parte del gruppo Turkish Crime Family, arrivano in Italia le prime email contenenti richieste di denaro da parte dei titolari (in realtà inconsapevoli) di account iCloud, nelle quali si rappresenta un serio problema ed una immediata necessità di risolverlo.

Il data breach non è ancora stato ammesso da Apple – che sull’argomento mantiene uno stretto riserbo ed invita i clienti a controllare i propri account e a cambiare le password con altre più robuste (excusatio non petita, accusatio manifesta) – ma la circostanza che siano pervenuti questi messaggi a molti utenti italiani fa presumere che la notizia sia fondata. Peraltro, nota di diritto, si tratta di un evento che in Europa comporterà l’obbligo, a partire dal 24 maggio 2018, di darne immediato avviso agli utenti e all’Autorità Garante per la protezione dei dati personali, sulla base degli artt. 33 e 34 del nuovo Regolamento Europeo sul trattamento dei dati personali n. 679/2016. Sarà interessante verificare come intenderanno le multinazionali dell’informatica adeguarsi a tale prescrizione per i dati degli utenti europei.

Il meccanismo punta sul social engineering, tecnica di manipolazione psicologica che non fa affidamento su una vulnerabilità del software ma sulla buona fede della vittima, che vede il messaggio provenire da persona conosciuta ed attendibile e abbassa la guardia rispetto a comportamenti che, diversamente, la metterebbero in allarme.

In caso di risposta, il criminale informatico fornirà tutti i dati necessari per effettuare un bonifico internazionale, rassicurando il destinatario della email fraudolenta circa il pronto ristoro non appena avrà risolto il problema e sarà rientrato nel paese di appartenenza. Solitamente questo tipo di messaggio reca anche informazioni come lo smarrimento del passaporto, il furto dei bagagli, l’impossibilità di comunicare telefonicamente, la circostanza di essere soggetti ad un fermo di polizia, ecc., ed è basata sull’invio di migliaia di messaggi della stessa natura a tutti gli indirizzi email dell’account violato. Moltiplicando tale attività per il numero di account compromessi appare evidente come vi sia una elevata possibilità che, in effetti, qualcuno degli apparenti mittenti si trovi all’estero o non possa essere raggiunto telefonicamente.

La frode è analoga a quella che recentemente si è purtroppo verificata ai danni di molte persone anziane, portate a conoscenza di incidenti o di procedimenti penali ai danni di figli e nipoti, dapprima telefonicamente e successivamente di persona, da uno o più sconosciuti (che solitamente si spacciano per amici, per Avvocati o per appartenenti alle Forze dell’Ordine) con conseguente richiesta di denaro per risolvere rapidamente il problema.

La comunicazione infonde nel destinatario uno stato di profonda angoscia che – analogamente alla provenienza del messaggio di posta elettronica di cui sopra da fonte affidabile – lo induce ad abbassare la guardia e a compiere atti che normalmente richiederebbero maggiore attenzione o susciterebbero immediato sospetto.

L’unica forma di tutela da queste forme di aggressione patrimoniale, purtroppo, è l’informazione, affinché le potenziali vittime siano rese edotte del problema e si mantengano sospettose anche quando le notizie, apparentemente credibili, spostano l’attenzione su altri argomenti e fanno leva sui sentimenti.