di Lucia BUSCAGLIA
Il furto di identità è un fenomeno criminoso che esiste da sempre.
Nel nostro Paese, la definizione di furto di identità si evince nell’art. 494 del Codice Penale che così recita: “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito con la reclusione fino ad un anno”.
Se il fatto costituisce delitto contro la fede pubblica, la pena è aumentata.
La Legge n. 119/2013(1), modificando l’articolo 640-ter del Codice Penale, ha poi introdotto la definizione di “identità digitale” come frode informatica finalizzata alla sostituzione dell’identità, prevedendo la reclusione da due a sei anni e una multa da 600 a 3.000 euro.
Il furto di identità è molto diffuso nel settore dei rapporti di credito: prestiti personali, carte di pagamento, emissione di assegni a vuoto o apertura di conti correnti con finalità fraudolente o di riciclaggio.
Secondo la definizione del MEF, per “furto di identità” si intende:
- l’impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto;
- l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto, nell’ambito di quelli di cui al punto precedente.
L’evoluzione digitale ha contribuito alla crescita del fenomeno in maniera smisurata, con conseguenti gravi danni economici e sociali, basti pensare che i dati della 28a Edizione dell’Osservatorio CRIF – Mister Credit sui Furti di identità e le Frodi Creditizie in Italia, hanno evidenziato oltre 27.000 casi nel 2018, con una perdita economica stimata che ha superato i 135 milioni di euro.
L’incremento di consapevolezza del rischio, anche grazie al tam tam mediatico, ha fatto aumentare le misure di prevenzione. É ormai abbastanza diffuso l’utilizzo di antivirus, firewall, antispamming, antiphishing, certificati digitali o il ricorso ad assicurazioni o altri metodi di tutela in caso di danni.
Le Banche e gli altri soggetti obbligati all’Adeguata Verifica della clientela hanno inoltre a disposizione il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto di Identità (SCIPAFI) messo a punto dal Ministero dell’Economia e delle Finanze e gestito da Consap, in attuazione del Titolo V-bis del decreto legislativo 13 agosto 2010, n. 141(2), così come introdotto dal decreto legislativo 11 aprile 2011, n. 64(3), che consente appunto di verificare l’autenticità dei dati contenuti nei documenti di identità o delle informazioni sui redditi delle persone fisiche, nell’applicazione delle regole Antiriciclaggio e di Lotta al Finanziamento al Terrorismo di cui al D.Lgs. 231/2007(4), aggiornato con il D.Lgs. 90/2017(5) di recepimento della IV Direttiva AML.
Ma una nuova pratica illegale sta prendendo piede, ed è ancora più insidiosa: i truffatori hanno cominciato a utilizzare identità false nelle quali sono mescolati dati completamente fittizi ad altri dati veritieri, sottratti illecitamente a persone reali, perlopiù minorenni. Vengono così create delle “identità sintetiche“, che sfruttano però gli elementi di affidabilità legati alle identità reali sottratte ai legittimi proprietari. Questa modalità rende molto più complesso appurare se una truffa è stata perpetrata.
La frode di identità sintetica è un fenomeno relativamente recente e, come già detto, in aumento. McKinsey, nel suo 7° Rapporto sul Rischio del gennaio 2019, “Fighting back against synthetic identity fraud “sostiene che la frode di identità sintetica è il tipo di crimine finanziario in più rapida crescita, in particolare negli Stati Uniti. E ciò grazie anche alle locali regole di accesso al credito.
In molti paesi, il fatto stesso di indirizzare una richiesta di credito, ad esempio ad una Banca, come finanziamento o come semplice emissione di carta di credito, o anche a un negozio, chiedendo il pagamento rateale di un acquisto, fa sì che i dati del cliente vengano inoltrati ad un Ufficio di Credito che, indipendentemente dall’esito positivo o negativo della domanda, crea un “record di credito”.
Alimentare efficacemente un record di credito è semplice. Una volta creato, infatti, è sufficiente ottenere un primo okay ad un pagamento rateale, anche di importo limitato, e mostrarsi puntuali in modo da creare uno scoring positivo.
Il merito di credito, che viene calcolato attraverso un algoritmo matematico che combina le informazioni sui pagamenti ad altre fonti di informazione per prevedere la futura morosità del soggetto, diventa il punto di riferimento per tutte le future erogazioni.
Una volta associati, dunque:
- una identità fittizia con un numero di previdenza sociale (che è il dato in generale trafugato, di solito a un minorenne che non ne ha ancora fatto uso) a
- un record di credito,
- la persona sintetica esiste, ed è molto difficile distinguerla da una persona reale.
La tecnologia che in genere è efficace nell’individuare altri tipi di frode, in questo caso non è di grande aiuto. Le tecniche di apprendimento automatico come le reti neurali profonde sono di scarsa utilità, perché sono stati scoperti così pochi casi di frode di identità sintetica che non è ancora possibile implementare modelli. Anche le tecniche Intelligenza Artificiale sono scarsamente efficaci poiché ci sono poche, se non nessuna differenza tra identità reali e sintetiche su cui fare leva.
LexisNexis Risk Solutions, nel suo Rapporto annuale sul Cybercrime, ha calcolato che il 61% delle perdite per frode per le grandi banche deriva da furti di identità e il 20% dei furti di identità sostenute da queste grandi banche è la frode di identità sintetica.
Un metodo per agevolare l’identificazione delle identità sintetiche potrebbe essere quello dell’utilizzo di dati extra, come quelli di terze parti.
Il principio è che le persone reali hanno storie reali parti delle quali si frammentano in altre decine se non centinaia di sistemi, sia fisici sia digitali. Tali tracce hanno una “profondità”, ad esempio le informazioni sono spalmate in un certo numero di anni, ed una “consistenza”, nel senso che sono coerenti tra di loro.
McKinsey ha intrapreso ricerche per dimostrare l’efficacia di questo approccio, utilizzando un campione di 15.000 profili raccolti da un database di consumer-marketing (Exhibit). Sono state utilizzate nove fonti di dati esterne per controllare e aumentare i dati di ciascun profilo, esaminando:
- gli account dei social-media,
- gli indirizzi e-mail,
- i numeri di telefono cellulare e di rete fissa,
- il comportamento finanziario,
- i registri immobiliari e
- altre informazioni.
Le fonti hanno prodotto più di 22.000 campi di informazioni uniche.
Sono state quindi identificate circa 150 caratteristiche che sono servite a misurare la profondità e la coerenza di un profilo che poteva essere applicato a tutte le 15.000 persone. Le caratteristiche relative alla profondità includevano l’età del primo prestito, l’età del più vecchio evento non digitale registrato (ad esempio, la registrazione di un veicolo), e l’età di un indirizzo e-mail. Le caratteristiche relative alla coerenza comprendevano corrispondenze di nomi univoci con gli stessi dati in molte fonti, nonché corrispondenze invertite di particolari punti di dati (come indirizzi e numeri di telefono) che riportavano allo stesso nome.
Per ogni ID è stato quindi calcolato un punteggio complessivo di profondità e coerenza. Più basso è il punteggio, maggiore è il rischio di una identità sintetica.
Il risultato è rappresentato da questo schema(6):
I risultati finali della dimostrazione hanno mostrato che l’85% dei profili esaminati aveva un’elevata profondità e coerenza, e un ulteriore 10% era appena sotto range normale. Il restante 5% (quadrante inferiore sinistro della Figura), era costituito da profili che avrebbero dovuto suscitare sospetti.
Sistemi come quello rappresentato si rivelano particolarmente efficaci e possono diventare sempre più sofisticati se integrati ad esempio con i nuovi strumenti di analisi biometrica, come quelli che già stanno sperimentando alcune banche.
Certo, anche le frodi continueranno ad evolversi per eludere il rilevamento; ad esempio, attraverso un gioco di lungo periodo, i truffatori possono integrare dati alle false identità sintetiche, per creare profondità e consistenza.
Tuttavia, estrapolando un numero crescente di fonti di dati di terzi disponibili, le banche possono ottenere un ottimo strumento per effettuare la verifica dei loro clienti, migliorando i controlli e l’attribuzione del livello di rischio, contribuendo ad arginare le perdite associate alle frodi di identità sintetica, e in modo del tutto automatico senza appesantire le richieste di informazioni ai clienti onesti, sempre più intrusive e dispendiose in termini di tempo e di risorse.
Intervento della Dr.ssa Lucia BUSCAGLIA – Certified AML & Compliance Manager
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Glenn Larson, Synthetic Identity Fraud Is The Fastest Growing Financial Crime – What Can Banks Do To Fight It?, Forbes, 8 ottobre 2019
McKinsey, Fighting back against synthetic identity fraud, Risk Practice, Report no. 7, gennaio 2019
CRIF – Mister Credit, 28° Osservatorio sui Furti di identità e le Frodi Creditizie, luglio 2019
LexisNexis Risk Solutions, Cybercrime Report, gennaio-giugno 2019
(1) Legge 15 ottobre 2013, n. 119
(1) D.L. 14 agosto 2013, n. 93
(2) D.Lgs. 13 agosto 2010, n. 141
(3) D.Lgs. 11 aprile 2011, n. 64
(4) D.Lgs. 21 novembre 2007, n. 231 Antiriciclaggio e di Lotta al Finanziamento al Terrorismo
(5) D.Lgs. 25 maggio 2017, n. 90 Recepimento della IV Direttiva AML
(6) Fonte: McKinsey on Risk Number 7, January 2019, pag. 4