Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Una recente sentenza della Corte di Giustizia Europea che gli indirizzi IP possono essere considerati come dati personali perché possono essere impiegati per individuare un utente attraverso il ricorso alle autorità o agli ISP provider.

La questione è stata posta nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland (Repubblica federale di Germania) in merito alla registrazione e alla conservazione dell’indirizzo IP del sig. Breyer in occasione della consultazione di vari siti Internet dei servizi federali tedeschi.

Al fine di contrastare attacchi e identificare i «pirati informatici», nei siti governativi tedeschi gli accessi sono registrati e, al termine della sessione di consultazione, vengono memorizzati dati quali il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

Il sig. Breyer si è rivolto ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia vietato conservare gli indirizzi IP. La richiesta è stata rigettata in primo grado ma il giudice di appello ha parzialmente accolto l’istanza condannando la Repubblica federale di Germania ad astenersi dal conservare gli indirizzi IP qualora essi vengano memorizzati unitamente alla data della sessione di consultazione e qualora gli utenti abbiano rivelato la propria identità durante la sessione, anche sotto forma di un indirizzo elettronico.

Secondo la Corte di appello tedesca, dunque, un indirizzo IP dinamico, associato alla data della consultazione, è da considerarsi un dato personale solo nel caso in cui l’utente abbia rivelato la propria identità durante la navigazione, mentre  se un utente non indica la propria identità durante una sessione di consultazione l’indirizzo IP non sarebbe un dato personale perché solamente l’Internet Service Provider può ricollegare l’indirizzo IP al nome di un abbonato.

Opponendosi alla decisione del giudice di appello si sono rivolti al Bundesgerichtshof (Corte federale di giustizia) sia la Repubblica federale di Germania che il sig. Breyer. Quest’ultimo puntava ad un accoglimento integrale della sua domanda inibitoria mentre lo Stato ne chiedeva il rigetto.

Il giudice del rinvio ha precisato che la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente e ha posto una controversia dottrinale riguardo alla scelta di un criterio «oggettivo» oppure di un criterio «relativo» per stabilire se una persona sia identificabile. Applicando un criterio «oggettivo», dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo un criterio «relativo», invece, questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La corte di Giustizia Europea ha innanzitutto rilevato che un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. Tuttavia, ha sottolineato la corte, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Secondo la Corte, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46. Infatti, occorre determinare se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera.

Nonostante il diritto nazionale tedesco non consenta agli ISP di trasmettere direttamente le informazioni per identificare una persona a partire da un indirizzo IP, la Corte ha rilevato che esistono strumenti giuridici che consentono ai gestori di siti, in particolare in caso di attacchi cibernetici, di rivolgersi alle autorità affinché queste ottengano tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. Pertanto ne deriva che esistono mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, una persona sulla base del suo indirizzo IP.

La Corte di Giustizia Europea ha quindi stabilito che l’articolo 2, lettera a), della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito costituisce, nei confronti del gestore del sito, un dato personale, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso all’Internet service provider dell’utente.

La sentenza della Corte di Giustizia è disponibile QUI.

Svolume-schremsCon una decine di recenti sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale.

La decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich.

Il volume si pone in continuità rispetto a quello sulla precedente sentenza nel caso Google Spain: dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a questa pagina.

Negli ultimi due anni, con una decine di sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale. Giusella Finocchiaro ha analizzato questo scenario nel saggio  “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” pubblicato su “Il diritto dell’informazione e dell’informatica” Anno XXX Fasc. 4-5 -2015.

Ne presentiamo qui un estratto. È possibile scaricare la versione completa in pdf cliccando QUI.

Si leggono alcune tendenze, evidenti nelle due decisioni più note, Google Spain e Schrems, ma presenti anche in altre, di carattere politico, anticipatorie rispetto alle scelte ormai quasi compiute nell’emanando regolamento. In estrema sintesi, la Corte vuole affermare l’applicabilità della normativa europea anche nel caso in cui i titolari di trattamento dei dati personali siano soggetti non europei e i dati vengano trattati prevalentemente fuori dall’Europa. Ribadisce il rango costituzionale del diritto alla protezione dei dati personali secondo la Carta dei diritti fondamentali dell’Unione europea e soprattutto la prevalenza di tale diritto sugli altri diritti, pure costituzionalmente garantiti, affermando così una scelta culturale e di principi. Riafferma il carattere di eccezionalità delle limitazioni al diritto alla protezione dei dati personali. Assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dei dati personali adottato altrove nel mondo e si fa promotrice del modello europeo del diritto alla protezione dei dati personali. La Corte europea si riappropria e consolida la posizione volta ad affermare l’applicazione del diritto europeo al trattamento dei dati personali degli europei. Si tratta di indirizzi profondamente politici in cui la Corte orgogliosamente sceglie cultura, principi e diritto europeo, contrapponendosi alla visione e agli interessi, nei casi in esame, statunitensi. La Corte esercita dunque un ruolo di supplenza politica, estendendo l’applicabilità della normativa europea e anticipando nell’interpretazione della direttiva-madre l’emanando regolamento europeo sulla protezione dei dati personali.

Schermata 2016-03-20 alle 19.44.42Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) modificata in base al Regolamento Generale sulla Protezione dei Dati, di cui si attende a breve la pubblicazione nella Gazzetta Ufficiale dell’Unione europea.

Come già riportato su questo blog, il Regolamento europeo di prossima emanazione conferma la figura del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) che dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili.

Il Responsabile della protezione dei dati personali, impiegato sulla base di un contratto con il titolare del trattamento o dal responsabile del trattamento, dovrà essere una figura che possa operare in assenza di conflitti di interesse.

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi normativi e verificare l’attuazione e l’applicazione del Regolamento e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati e alle politiche del titolare o del responsabile del trattamento in materia di privacy. Se richiesto, potrà fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.  Il suo ruolo, inoltre, prevede che possa essere il punto di contatto non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Il testo normativo relativo al Data Protection Officer si fonda sulla proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, come successivamente modificata a seguito degli emendamenti di Parlamento europeo e Consiglio Ue.

La scheda del Garante è disponibile QUI.

A rischio i dati sensibili degli iscritti ad Ashley Madison, un portale di dating espressamente dedicato agli incontri extraconiugali.

Un gruppo di hacker, autonominatosi Impact Team, si è servito di una falla del sito web per venire in possesso dei dati sensibili di 37 milioni di utenti.

I dati riguardano non solo gli attuali membri, ma anche coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione.

Noel Bilderman, Ceo della Avid Life Media, società proprietaria del sito, ha confermato la notizia, senza però offrire informazioni ulteriori sulla gravità del furto avvenuto. Impact Team, che ha invece dichiarato di essersi impossessato della totalità dei dati disponibili, ha intimato la chiusura immediata e definitiva di Ashley Madison e Established Men, altro sito di dating controllato dalla Avid Life Media. In caso di rifiuto, la totalità dei dati dei profili, i nomi, gli indirizzi, i numeri delle carte di credito, le transazioni bancarie e le conversazioni private degli utenti iscritti saranno resi pubblici.

Nel 2011, Ashley Madison si era reso noto in Italia per una campagna pubblicitaria che faceva esplicito riferimento alle vicende private dell’allora Presidente del Consiglio. In quel periodo oltre 200.000 italiani decisero di creare un account.

La natura dei dati sensibili raccolti dal portale fa ipotizzare gravi danni alla sfera privata di molti cittadini in caso di diffusione non autorizzata.

Un funzionario statale australiano ha inavvertitamente diffuso senza autorizzazione i dati personali di 31 capi di stato, inviando una mail al destinatario sbagliato.

L’incidente, reso noto dal Guardian, si è verificato in occasione dell’incontro dei capi di stato partecipanti al G20 che si è tenuto in Australia lo scorso novembre.

Un funzionario della “divisione visti” del Dipartimento per l’immigrazione, avvalendosi del servizio di autoriempimento della rubrica di Outlook, ha inavvertitamente inviato a un membro del comitato di organizzazione del torneo calcistico Asian cup i dati personali dei leader mondiali presenti al G20, tra cui Obama, Putin, Renzi e Merkel.

Le informazioni inviate per errore comprendevano l’elenco dei numeri di passaporto e dati anagrafici. Appena ricevuta la segnalazione dell’errore dal destinatario, l’impiegato si è rivolto al proprio superiore, che a sua volta ha comunicato l’accaduto al Garante privacy australiano.

La notifica al Garante sottolineava che il data breach era riconducibile a un semplice ”errore umano”, e che “l’ufficio visti” del Dipartimento per l’immigrazione aveva già provveduto a cancellare la mail incriminata e a svuotare il cestino della posta eliminata.

In virtù dell’operazione così compiuta, e forte del riserbo garantito dagli organizzatori della Asian Cup, il direttore ha poi spiegato di non aver ritenuto necessario informare i Governi coinvolti nella vicenda per via della bassa possibilità di rischi connessi alla diffusione delle notizie contenute nella lettera.

Il Guardian ha potuto consultare la documentazione inerente all’accaduto grazie alla normativa sulla trasparenza disposta dal governo australiano.

Al momento non si conoscono le azioni intraprese dal Garante privacy australiano, e se si sia provveduto a informare i diretti interessati dell’accaduto.

Ciò che si rivela in tutta la sua evidenza è che nemmeno i capi di stato si possono ritenere per qualche motivo al sicuro dalla diffusione non autorizzata dei propri dati sensibili.

Facebook-loginIl “Legacy Contact” permetterà ad ogni utente di decidere cosa fare del proprio profilo in caso di morte.

È già attiva negli Stati Uniti la nuova soluzione ideata da Facebook per la gestione dell’eredità digitale dei suoi utenti. Il “Legacy Contact” consiste in una serie di opzioni con cui è possibile decidere il futuro della pagina e dei suoi contenuti al momento della scomparsa del detentore del profilo.

Sarà possibile nominare una persona che potrà accedere alla pagina Facebook, ma con precise limitazioni: ad esempio, gli sarà permesso di “loggarsi”, ma non potrà farlo con il nome del precedente utente; allo stesso modo, sarà possibile allacciare nuove amicizie, ma non sarà consentito visualizzare precedenti conversazioni private o cancellare contenuti già pubblicati.

Inoltre, la scritta “remembering” accompagnerà il nome della persona deceduta, rendendo esplicita la funzione del profilo attivo.

Un’altra nuova opzione disponibile è quella della cancellazione definitiva del profilo: in tal caso, una volta ricevuta la comunicazione della morte dell’utente, Facebook provvederà a farne sparire ogni traccia.

Con il “Legacy Contact”, per cui è prevista a breve l’attivazione il tutto il mondo, Facebook ha inteso ottemperare ai problemi di gestione delle pagine “congelate”, offrendo agli utenti opzioni facilmente modificabili in qualunque momento.

Una soluzione che difende il diritto alla privacy degli utenti e risponde alle necessità di amici e familiari coinvolti da un lutto.  Tuttavia non è ancora dato sapere se il Legacy Contact riceverà l’approvazione degli utenti, e se la soluzione del “remembering” apparirà il più pacato segnale per questo genere di comunicazione.

I Garanti per la protezione dei dati personali della rete internazionale Global Privacy Enforcement Network (GPEN) hanno chiesto alle piattaforme di distribuzione di app di obbligare gli sviluppatori ad informare gli utenti, prima che questi scarichino le app, sugli eventuali dati personali che verranno raccolti e sul loro uso.

The Privacy Commissioner of Canada is among 23 privacy authorities from around the world
who have signed an open letter to the operators of seven app marketplaces urging them to make
links to privacy policies mandatory for apps that collect personal information. The December 9,
2014 letter was sent to Apple, Google, Samsung, Microsoft, Nokia, BlackBerry and Amazon.com,
but is intended for all companies that operate app marketplaces.

Il Garante per la protezione dei dati italiano insieme ad altre 23 Autorità internazionali ha sottoscritto una lettera aperta ai gestori di 7 app marketplaces sollecitandoli a mettere a disposizione degli utenti una informativa sull’utilizzo dei dati personali prima del download.

Il 9 dicembre 2014 la lettera è stata inviata a Apple, Google, Samsung, Microsoft, Nokia, BlackBerry e Amazon.com.

“Le app ci semplificano la vita” ha commentato il Presidente del Garante privacy Antonello Soro “ma ad esse concediamo di accedere, troppo spesso inconsapevolmente, ad un numero sempre più ampio di dati personali anche molto importanti: non solo la rubrica telefonica o le foto, ma anche la posizione geografica, oppure, come nel caso delle app a carattere medico, dati sanitari. Il rischio è un monitoraggio digitale permanente al quale ci stiamo via via assuefacendo”.

La decisione di pubblicare la lettera aperta segue l’indagine promossa dal GPEN lo scorso maggio, i cui risultati hanno evidenziato che molte delle app più scaricate richiedono l’accesso ad una gran quantità di dati ma senza spiegare adeguatamente per quali scopi.

In particolare, su un totale di oltre 1200 applicazioni analizzate in tutto il mondo, tre quarti delle app prese in esame chiedono uno o più consensi, generalmente per quanto riguarda dati di localizzazione, ID del singolo dispositivo, accesso ad altri account, alle funzioni di videoripresa ed alla rubrica.

Nel 59% dei casi è stato difficile per le autorità reperire un’informativa privacy prima dell’installazione. In molti casi sono ben poche le informazioni disponibili prima del download sulle finalità della raccolta o sull’utilizzo successivo dei dati, oppure si fornisce un link ad una pagina web contenente un’informativa privacy che non corrisponde alle specifiche dell’app.

Solo il 15% delle app sono dotate di un’informativa privacy realmente chiara. Nei casi migliori le app offrono spiegazioni succinte ma comprensibili di ciò che l’app farà o non farà con i dati raccolti sulla base dei singoli consensi.

Il testo della lettera aperta è stato pubblicato, in inglese, sulla pagina web del Garante Privacy.

phishingSecondo una recente ricerca online sul furto d’identità, la maggioranza degli italiani non è consapevole dei rischi che comporta la diffusione incontrollata dei propri dati personali online. Eppure ogni anno decine di migliaia di persone sono vittima della sottrazione dei dati personali o dei dati delle carte di credito, che vengono poi utilizzati per effettuare acquisti, chiedere finanziamenti o aprire conti correnti.

La ricerca, condotta online da Smart Research e commissionata da Crif, ha rivelato la propensione degli utenti a sottovalutare i pericoli a cui si sottopone chi lascia tracce di sé sul web.

Dai dati emersi intervistando un campione significativo della popolazione compresa tra i 18 e i 64 anni, selezionato per genere e area geografica, il 58% degl intervistati si dichiara poco o per niente attento alla diffusione dei propri dati online, e il 28% non si pone neppure il problema, rinunciando a qualsiasi tipo di tutela.

Risultato che pare ancora più eclatante se confrontato al fatto che 4 intervistati su 5 confermano di ricevere almeno una volta al mese e-mail di phishing: messaggi che, copiando la grafica e lo stile comunicativo di banche ed enti, tentano di carpire dati personali. Una tecnica che può risultare vincente, come dimostra il fatto che il 7,7% dei rispondenti ha dichiarato di aver risposto almeno una volta ad un messaggio fraudolento.

Anche la clonazione delle carte di pagamento è un fenomeno diffuso: il 13,1% degli intervistati ha dichiarato di esserne stato vittima. Circa le modalità con le quali sono stati rubati i dati della carta, il 39,7% delle vittime ha dichiarato che i dati sono stati clonati durante un acquisto su internet, il 20,4% ha dichiarato che la clonazione è avvenuta durante una transazione su un POS, mentre il 33% delle vittime ha ammesso di non sapere come sia avvenuto il fatto.

Due italiani su tre dichiarano di essere a conoscenza del fenomeno dei furti di identità per richiedere finanziamenti sotto falso nome, e ne individuano la modalità nella sottrazione di documenti o di strumenti di pagamento nel mondo reale, nelle transazioni online e nell’accesso non autorizzato alle caselle di posta elettronica. Il 33% degli intervistati individua come un fattore di rischio anche la pubblicazione dei dati personali su social network.

I comportamenti più comuni assunti per la tutela di questi furti si attuano evitando di accedere a siti sospetti (59% dei casi), attivando l’uso di antivirus gratuiti (49%) e a pagamento (36%). Il 5,8% degli intervistati, invece dichiara di non fare nulla in proposito.

Chi ha dichiarato di essere stato vittima di furto d’identità volto a richiedere finanziamenti, nel 57,1% dei casi ha successivamente assunto comportamenti di prevenzione attivi, tra cui una maggiore cautela nella diffusione delle informazioni personali sul web (21%), l’attivazione di sistemi di allerta via sms per finanziamenti richiesti a proprio nome (12,5%), e una maggiore attenzione al momento di lasciare in custodia i propri documenti o fornire dati personali a terzi.

Dati evidentemente preoccupanti, che se attestano una crescente consapevolezza dei rischi legati al furto di identità evidenziano la propensione a sottovalutarne il rischio. Una leggerezza che, stando ai dati forniti, coinvolge maggiormente i giovani, e chi si concentra sull’utilizzo ludico del web.

Per un approfondimento si rimanda alla pagina della ricerca.