L’identità è un concetto complesso che porta con se molteplici significati. Sotto un profilo sociale, rappresenta la fine di un percorso personale, il risultato di un processo di identificazione plasmato dal contesto sociale in cui si sviluppa, dal diritto che lo governa, oltre che e soprattutto, dalle esperienze e convinzioni personali.
Anche la stessa Suprema Corte di Cassazione, nella sentenza n° 978/1996 ha definito l’identità come il complesso delle risultanze anagrafiche, che servono ad identificare il soggetto nei suoi rapporti con i poteri pubblici ed a distinguerlo dagli altri consociati.
Cos’è l’identità digitale
Con l’avvento delle nuove tecnologie, al fianco dell’identità personale, si sono create identità digitali. Una definizione di identità digitale è stata data dal Decreto SPID, che lo definisce “rappresentazione informatica della corrispondenza biunivoca tra un utente ed i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale”.
Anche la “Dichiarazione dei diritti in internet definisce il diritto all’identità. L’art.9 stabilisce che: “1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprie identità in Rete. 2. La definizione dell’identità riguarda la libera costruzione della personalità e non può essere sottratta all’intervento e alla conoscenza dell’interessato. 3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza delle persone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusione di profili che le riguardano. 4. Ogni persona ha diritto di fornire solo i dati strettamente necessari per l’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, per l’accesso alle piattaforme che operano in Internet. 5. L’attribuzione e la gestione dell’Identità digitale da parte delle Istituzioni Pubbliche devono essere accompagnate da adeguate garanzie, in particolare in termini di sicurezza”. Tale dichiarazione presenta una serie di aspetti interessanti: in primo luogo si afferma l’esistenza di molteplici identità digitali; in ultimo è interessante notare come, nei commi 3 e 4, si lascia all’utente la possibilità di assumere diverse identità digitali o di mantenere una qualche forma di anonimato nella rete.
Furto dell’identità digitale
Tramite la crescita dell’utilizzo di internet e l’evoluzione degli strumenti tecnologici che consentono la diffusione e la condivisione dei dati personali online, è cresciuta esponenzialmente il fenomeno del c.d. “identity theft”, ovvero del furto di identità digitale.
Tale fattispecie trova la sua realizzazione all’interno dei social network, sia per la possibilità di creare agevolmente degli account falsi da parte di soggetti terzi, sia per le erronee modalità di custodia delle credenziali da parte degli utenti. Utilizzando procedimenti di social engineering, gli utenti ignari vengono indotti ad eseguire azioni finalizzate al furto delle credenziali di accesso oppure all’ottenimento delle informazioni e dei dati di natura personale da utilizzare per l’accesso a sistemi informatici, sostituendosi, di fatto, alla vittima.
Pur non essendo materialmente una sostituzione di persona, il nostro ordinamento ha equiparato tale fattispecie al reato di cui all’art. 494 c.p. relativo alla sostituzione di persona, secondo il quale: “chiunque, al fine di procurare a sé o ad altri un ingiusto vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino ad un anno”.
Altra attività attraverso la quale si procede al furto dell’identità digitale è rappresentato dal fenomeno del Phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito.
Tale condotta integra, in primo luogo, il reato di trattamento illecito di dati personali di cui all’art. 167 del codice della privacy che punisce “chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno ,procede al trattamento dei dati personali…. è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”.
In secondo luogo, tale fattispecie è punibile ai sensi dell’art. 630-ter c.p. comma 3 che, per la prima volta ha inserito nel codice penale il concetto di identità digitale.
In particolare, il Legislatore per il reato di “frode informatica commessa con sostituzione di identità digitale” ha previsto la pena della reclusione da due a sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; per tale delitto è prevista la querela della persona offesa salvo che ricorra l’ipotesi di cui al 2° o 3° comma dell’art. 640-ter ovvero altra circostanza aggravante.
