Le tecnologie e le procedure per evitare furti di identità, che causano circa 125 milioni di euro di danni agli italiani, già ci sarebbero. Ma sono poco usate, in nome della velocità e della comodità nel catturare nuovi clienti.
E così per i truffatori è una pacchia: possono usare documenti falsi per avere benefici, con un rischio ridotto.
Emergono tali evidenze da questa nostra indagine sul furto d’identità in Italia.
Indice degli argomenti
Cosa fanno con il furto d’identità
Il momento più pericoloso? “Il periodo di Natale, nei negozi che vendono elettrodomestici”, spiega Roberta Cadoni, del Crif (Centrale rischi intermediazione finanziaria), che monitora e stima questo tipo di frodi (è del Crif la stima dei 125 milioni di euro, stabile da un anno).
Un truffatore si presenta con una carta di credito falsa, clonata, e fa caricare su una vittima un finanziamento, ad esempio per un elettrodomestico, appunto, per appropriarsene senza pagare. “Nella calca del Natale è più probabile che eventuali controlli sull’identità di chi chiede un finanziamento siano più blandi”, aggiunge Cadoni.
La vittima, a cui hanno rubato la carta si ritrova così con un finanziamento a sua insaputa e finisce nell’albo dei cattivi pagatori. Come capitato a un esperto informatico di Torino – come riportato da Repubblica a ottobre – la cui carta clonata è stata usata anche per noleggiare un’auto, adoperata poi per commettere un crimine. Si è trovato così anche imputato e al momento non è ancora chiaro l’esito dell’azione legale.
Per un finanziamento, il negoziante contatta la banca, che potrebbe svolgere alcuni controlli sull’identità. Analoghi a quelli che fa per aprire un conto al nome di qualcuno.
Un’altra monetizzazione tipica del furto d’identità è l’apertura di conti a nome di altri per scommesse sportive, a volte anche ricaricati con carte di credito rubate.
Furto di identità online: ecco perché i danni del ritardo tecnologico del Paese li paghiamo tutti
Gli strumenti contro il furto d’identità
“Ci sono strumenti che permettono verifiche automatiche: vedono se il formato del documento d’identità valido, se è associato a un soggetto diverso da quello che si è presentato al punto vendita o in banca; fanno controlli di congruenza su date di emissione e scadenza, spesso alterate nei documenti falsi”, dice Cadoni.
“Ci sono già strumenti di intelligenza artificiale per verificare la corrispondenza tra viso della persona e fotografia sul documento”.
C’è tutto, insomma – o quasi – per evitare questi furti. A mancare ci sarebbe solo la possibilità di controllare se il viso del presunto truffatore è diverso da quello associato, all’anagrafe, al nome e cognome che compaiono sul documento. Servirebbe, in teoria, a tal scopo, un sistema di intelligenza artificiale con controllo facciale su un database con tutti i volti e i nomi degli italiani.
Uno simile (il Sari) ora è usato dalla polizia solo per alcune indagini e si avvale di un database con l’identità di persone pregiudicate. Estenderlo a tutti gli italiani avrebbe, probabilmente, più rischi (in termini di sorveglianza di massa) che benefici; tanto più che gli strumenti già presenti sarebbero già in larga parte efficaci e non sono usati ancora diffusamente.
Le norme poco usate a tutela degli utenti
Il nodo è di carattere normativo. Non ci sono obblighi stringenti sulle banche.
Come spiegano da Banca d’Italia, ogni banca è obbligata a verificare l’autenticità e la validità del documento d’identità fornito dal cliente al momento dell’identificazione. La normativa antiriciclaggio lascia tuttavia un certo spazio di discrezionalità alla banca nella scelta delle concrete modalità attraverso cui eseguire questo controllo. In particolare, la legge non richiede espressamente di verificare – per ciascun cliente identificato – la presenza di denunce di smarrimento o di furto del documento d’identità.
Tale verifica deve essere eseguita solo laddove emergano dubbi nel processo di verifica dei dati; in questi casi, la legge prevede che può essere consultato il sistema pubblico per la prevenzione del furto di identità previsto dal decreto legislativo 11 aprile 2011, n. 64 (lo Scipafi) che consente il riscontro dei dati contenuti nei principali documenti d’identità, riconoscimento e reddito, con quelli registrati nelle banche dati degli enti di riferimento (Agenzia delle Entrate, Ministero dell’Interno, Ministero delle Infrastrutture e dei Trasporti, INPS e INAIL).
Più tutele in arrivo su identificazione a distanza
Banca d’Italia riconosce che se l’identificazione è eseguita a distanza (ad esempio, online), il rischio di un furto di identità è evidentemente più alto rispetto all’ipotesi di identificazione in presenza, a causa, tra l’altro, della mancanza di un contatto diretto de visu tra la banca e il cliente. I rischi insiti nell’identificazione a distanza sono oggetto di attenzione – oltre che a livello nazionale – anche a livello europeo; a breve l’Autorità bancaria europea pubblicherà linee guida per disciplinare l’onboarding a distanza della clientela.
Queste linee guida indicheranno alcuni presidi minimi che gli intermediari devono adottare per verificare l’integrità e l’autenticità del documento d’identità e per accertarsi che il cliente coincida effettivamente con il titolare del documento. Le indicazioni dell’Autorità bancaria saranno recepite anche in Italia innestandosi sulle regole – già molto dettagliate – dettate dalla Banca d’Italia nelle “Disposizioni in materia di adeguata verifica della clientela” del luglio 2019.
Queste ultime, in considerazione dei rischi connessi all’operatività a distanza, richiedono alle banche di acquisire (anche in caso di operatività online) copia del documento d’identità, controllarne l’autenticità e la validità e – inoltre – di effettuare controlli ulteriori – da modulare in base al rischio – per mitigare il rischio connesso all’assenza fisica del cliente. I controlli ulteriori di cui intendono avvalersi vanno formalizzati in un documento approvato dai vertici aziendali che riporta le valutazioni condotte sull’adeguatezza di ciascuno specifico strumento di controllo.
Le banche possono poi avvalersi di una procedura di video-identificazione, disciplinata analiticamente dalle Disposizioni sulla falsariga della procedura disegnata dall’Agenzia per l’Italia Digitale (AGID) per il rilascio dell’identità digitale SPID. Si tratta di una procedura più affidabile rispetto al rischio di furti di identità (è richiesta, ad esempio, la presenza di un operatore che conduce il processo; la richiesta di una serie di controlli volti a confermare la “liveness” del potenziale cliente; la molteplicità di documenti da controllare o acquisire). In caso le banche decidano di avvalersi di questa procedura non è necessario condurre e formalizzare le valutazioni di cui al punto precedente.
Insomma: sebbene il rischio di acquisire un cliente che si avvale di un documento d’identità rubato o smarrito non possa essere del tutto annullato, meccanismi di verifica che prevedono la presenza di un operatore che interagisce con il cliente possono risultare più efficaci a limitare questo rischio. Per questa ragione la Banca d’Italia ha previsto una procedura di video-identificazione che ricalca fedelmente quella già adottata dall’AGID per il rilascio dell’identità SPID.
Al contempo, come detto sopra, le Disposizioni della Banca d’Italia in materia di adeguata verifica hanno aperto all’utilizzo delle nuove tecnologie per consentire agli intermediari di sfruttare l’elevato potenziale che esse possono offrire per mitigare il rischio di furto d’identità.
Ad esempio, alcuni intermediari hanno adottato soluzioni innovative, basate sull’intelligenza artificiale, per verificare la liveness, cioè l’effettiva presenza del cliente al momento dell’identificazione, e la corrispondenza della foto presente nel documento d’identità con una foto del cliente acquisita tramite un selfie o un breve video. Questi controlli possono aiutare gli intermediari a intercettare casi di utilizzo fraudolento di documenti rubati o smarriti.
Inoltre, alcuni intermediari stanno testando strumenti tesi a sfruttare l’intelligenza artificiale per verificare l’autenticità dei documenti di identità cartacei.
Cosa si può fare?
- Di fondo, il furto d’identità va combattuto con la formazione, secondo Cadoni. Quella dei cittadini, “che devono evitare di far circolare copie dei propri documenti d’identità”; ma anche quella dei negozianti (e, forse, anche dei banchieri) che dovrebbero avvalersi con più frequenza degli strumenti di controllo disponibili.
- In un Paese digitale sarebbe probabilmente possibile rendere la verifica dei dati automatica, sui database esistenti, e non solo a discrezione della banca; a parità di invasività privacy. Le leggi, come visto, si sposteranno sempre più in questa direzione.
- Nell’attesa, agli utenti è consigliabile pure di dotarsi di servizi di monitoraggio (ad esempio tramite la propria banca) che avvisino in caso siano attivati a proprio nome finanziamenti o strumenti di pagamento (carte di credito).
