Perché non dovresti mai inviare foto del tuo documento d'identità: l'alternativa più sicura
Molte procedure e consegne di prodotti in Argentina richiedono una foto del documento d'identità nazionale (DNI) del titolare . Tuttavia, come avvertono gli esperti di privacy e protezione dei dati personali, si tratta di una pratica terribile : questi dati possono essere sfruttati per vari tipi di reati informatici , dal furto d'identità per ottenere un prestito personale all'impossessarsi dell'identità di qualcuno per ingannare i nostri contatti WhatsApp , in quello che è noto come ingegneria sociale .
Anche se per molti può sembrare una cosa di poca importanza, è importante ricordare che il DNI non solo dimostra un'identità, ma contiene anche dati personali essenziali, come nome completo, numero del documento, data di nascita e indirizzo .
Nel settore della compravendita di dati personali, ambito di ricerca per molteplici ragioni ( vedi ), le foto dei documenti sono preziose perché consentono di costruire profili completi per frodi o "truffe guidate", in cui la vittima viene indotta con l'inganno a effettuare trasferimenti di denaro ai truffatori o a consegnare dati personali. Infatti, l'anno scorso, un aggressore è riuscito a rubare 6 milioni di immagini di patenti di guida .
A questo si aggiunge un secondo problema, non meno importante: molte aziende non dispongono di misure di sicurezza adeguate o, anche se le adottano, sono esposte a furti di informazioni e potenziali violazioni dei dati, che possono avere ripercussioni sugli utenti. E, a differenza delle password, le violazioni dei dati di questo tipo sono più difficili da annullare: una password può essere modificata; l'indirizzo è molto più complesso.
Per questo motivo, " Datos argentinos " è un sito che, utilizzando uno strumento chiamato Safe ID, permette di nascondere i dati di un documento d'identità prima di condividere l'immagine richiesta da un'azienda o un ente. È stato creato da Martín Aberastegue, programmatore e specialista di marketing argentino, che spiega perché è consigliabile nascondere i dati sensibili prima di condividere documenti e come farlo.
Fughe di dati. Foto: Ministero dei Trasporti / Shutterstock / Renaper
"L'offuscamento è essenziale perché il DNI argentino contiene informazioni estremamente sensibili che possono essere utilizzate per furto di identità, frodi finanziarie e accesso non autorizzato ai servizi. Il documento include dati critici come il numero di transazione, il codice PDF417 contenente tutte le informazioni personali in formato digitale e dati biometrici . Nelle mani sbagliate, queste informazioni consentono transazioni fraudolente e la completa impersonificazione della vittima", ha spiegato l'esperto a Clarín . Ha segnalato vulnerabilità a entità come AFIP (ARCA), compagnie telefoniche e compagnie assicurative.
Per questo motivo, Aberastegue ha creato un'applicazione open source che consente di offuscare i dati prima di inviarli.
"Datos Argentinos è una piattaforma focalizzata sulla protezione dei dati personali relativi al DNI, completamente senza scopo di lucro ", afferma. "Il suo strumento principale, Safe ID , consente di condividere in modo sicuro il proprio documento d'identità elaborando tutte le informazioni localmente nel browser dell'utente, senza inviare dati a server esterni. Funziona completamente offline e può anche essere installato come app sul telefono. La piattaforma offre funzionalità come filigrane personalizzate e l'offuscamento dei dati sensibili, il tutto gratuitamente", aggiunge.
Questo sistema presenta alcuni problemi dal punto di vista aziendale: molti si lamentano quando i dati vengono offuscati.
"Ci sono aziende che rifiutano categoricamente i documenti con dati censurati , pur non essendo legalmente autorizzate a richiederne l'intero contenuto, e questo finisce per complicare la vita dell'utente. Ad esempio, con le compagnie di telefonia mobile, alcune accettavano carte d'identità con filigrana e dati offuscati senza problemi, mentre altre le rifiutavano, sostenendo che la filigrana fosse troppo evidente. Ho regolato l'intensità e poi hanno iniziato ad accettarli, ma la realtà è che dipende molto dall'azienda e dalla persona che ti serve", spiega.
Dopotutto, questa è una cultura che deve cominciare a cambiare.
Renaper ha subito perdite di dati negli ultimi anni. Foto di Renaper
Oltre all'indirizzo e al nome completo, un'informazione importante sul DNI è il "numero di procedura".
"Il numero di transazione è una chiave fondamentale per le procedure online e la convalida dell'identità. Con queste informazioni, i criminali possono eseguire procedure governative online impersonando qualcuno, convalidare la propria identità su piattaforme digitali, accedere ai servizi bancari di base e confermare i dati personali in sistemi che richiedono solo un documento d'identità e un numero di transazione. È particolarmente pericoloso perché funziona come un identificatore univoco complementare al documento d'identità e molti sistemi online lo utilizzano come fattore di autenticazione, mentre il pubblico generale non è consapevole della sua delicatezza e non riesce a proteggerlo adeguatamente", spiega l'esperto.
Quando si verificano fughe di dati, il cittadino medio tende a non richiedere un nuovo documento d'identità, in parte perché si tratta di un processo macchinoso e in parte perché non si è consapevoli della portata del problema.
"In caso di violazione dei dati, pochissime persone rinnovano la propria identità per invalidare il numero di transazione esposto, quindi il rischio persiste nel tempo. Safe ID aiuta a minimizzare questo rischio proteggendo i dati quando non è realmente necessario condividerli", spiega Aberastegue.
Infine, un punto importante è se, durante il caricamento del documento d'identità, l'immagine venga salvata su un server di terze parti (il che potrebbe essere potenzialmente pericoloso). Come vengono elaborati i dati dal sistema?
Come spiegato sul sito: "Safe ID utilizza un'architettura completamente lato client che rende tecnicamente impossibile l'archiviazione dei dati. Sebbene l'applicazione web venga scaricata dal nostro server, l'elaborazione delle immagini avviene direttamente nel browser utilizzando le API native di FileReader e Canvas , senza mai inviare i documenti a server esterni". Le API sono funzioni già incluse nel browser che consentono di gestire file e immagini senza dover ricorrere a programmi esterni o inviare dati a Internet.
"Quando carichi un'immagine, il browser la legge direttamente dal tuo dispositivo e la converte in una rappresentazione digitale che risiede esclusivamente nella RAM. Trasformazioni come ritaglio, offuscamento e filigrana vengono eseguite utilizzando operazioni matematiche locali su un elemento Canvas HTML5. Il risultato finale viene generato direttamente sul tuo dispositivo senza che alcun dato esca da esso", aggiungono. Per gli specialisti, il codice sorgente di Safe ID può essere consultato su GitHub .
"Inoltre, il progetto mira a sensibilizzare e istruire sull'importanza della protezione dei dati personali. Include sezioni con domande frequenti, una guida alla protezione del Documento d'Identità Nazionale Argentino (DNI) e una sezione con un grafico delle violazioni dei dati storiche compilato da Marcela Pallero ", aggiunge, riferendosi alla specialista in protezione dei dati personali che registra una cronologia degli incidenti subiti da enti pubblici e privati argentini ( vedi ).
Per utilizzarlo, puoi cliccare su questo link . Più gli utenti offuscano i propri dati, più aziende e organizzazioni dovranno accettare questo tipo di pratica, che, in definitiva, non solo protegge la privacy dei cittadini, ma impedisce anche all'organizzazione di trovarsi in difficoltà in caso di violazione dei dati.
Clarin
