In principio vi erano le persone che cercavano di entrare illegalmente dall'America Centrale o del Sud. Tra le organizzazioni che gestivano e sfruttavano l'immigrazione clandestina, la pratica del furto d'identità era la via privilegiata per creare documenti verosimili e a prima vista legali. Il colonnello Umberto Rapetto, comandante del Gat - nucleo speciale frodi informatiche della Guardia di Finanza, spiega come il fenomeno, molto conosciuto negli Usa, si sia diffuso in tutto il mondo. Spostandosi anche in quello telematico. «Se è facile truffare attraverso strumenti materiali, come con i documenti - spiega Rapetto - è ancora più semplice rubare l'identità a livello virtuale».

Intervenuto al convegno organizzato da Bicta, il colonnello lavora da oltre vent'anni come cacciatore di hacker o truffatori telematici in giro per il mondo. Un'attività che una decina d'anni fa lo portò a inchiodare il gruppo di sei giovanissimi italiani, di cui due minorenni, che violarono il Pentagono, la Nasa e il Senato. Come si trovano le impronte per risalire ai colpevoli, in questi casi? «Le tracce sono ovunque, ma è molto complicato raccoglierle - spiega Rapetto -. Lavoriamo su una scena del crimine immateriale che non ha confini e sulla quale arrivare con mezz'ora di ritardo può significare compromettere l'indagine». Le reti di sicurezza per la protezione dei dati sono facilmente violabili, così come sono relativamente semplici i meccanismi con cui si riescono ad ottenere dati personali. «C'è però una differenza tra l'hacker e il truffatore - commenta l'esperto -. Il primo tende a vantarsi e quindi a lasciare segni delle proprie azioni. Il secondo invece resta in silenzio».

Davanti al pubblico del convegno, Rapetto si è soffermato sulle modalità più diffuse di hackeraggio ai danni di imprese o di privati: phishing, pharming e vishing. Sono le diverse facce del furto d'identità, dal canonico invio di mail-spam che invita a collegarsi ad un falso link della propria banca o per offerte di lavoro a domicilio, all'invio di moduli da compilare provenienti da finte pagine di istituzioni pubbliche o attraverso il proprio cellulare con richieste di controllo della propria carta di credito. In particolare, il phishing sfrutta la posta elettronica per raccogliere informazioni sensibili come password o codici, mentre con il vishing si inscenano finte chiamate da call center. Se per queste prime due tecniche la prudenza e la diffidenza evitano guai, più complesso è il caso del pharming, termine con il quale si indicano vere e proprie forme di attacco a server e pc. Ed è qui in particolare che entrano in gioco antivirus e firewall.

Rapetto ha inoltre espresso forti dubbi sul cloud computing, soprattutto se ci si affida a server esteri, magari molto economici, e sulle modalità di pagamento tramite telefonino, ora in diffusione.