Cerca nel blog

2017/12/15

Carte d’identità liberamente scaricabili online: una storia di ordinaria insicurezza

Pubblicazione iniziale: 2017/12/15. Ultimo aggiornamento: 2017/12/20 8:40. 

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro e lo faceva in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare quei documenti (per esempio con Google) e scaricarli per poi usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.


Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.


Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede un’opzione per i documenti trovati online. Comunque i numeri di telefono e gli indirizzi di mail della Polizia Postale sono qui su Facebook.

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile oppure prendere alcune precauzioni, come quella segnalata nei commenti dopo la pubblicazione iniziale di questo articolo, ossia includere nella scansione, in maniera difficilmente rimovibile, una dicitura che specifichi lo scopo della scansione e il suo unico destinatario legittimo, in modo da evitarne il riuso da parte di terzi.


2017/12/20


Stamattina ho visto che il sito Noisigroup.com è completamente inaccessibile. La cache di Google, che risale al 17 dicembre, mostra la dicitura “Sito off-line per manutenzione - Il sito tornerà ad essere operativo a brevissimo!”. Lo stesso vale per una copia salvata su Archive.is il 18 dicembre.


38 commenti:

Patrick Costa ha detto...

COMPLIMENTI, ottimo servizio (pubblico)...
Chissà quanti siti hanno precarietà del genere... la cosa allucinante è che se è precario un blog, un sito personale è un conto, ma un'Azienda che tratta dati così sensibili come documenti privati, non può e non deve esistere!
Mi sa che noisigroup avrà a breve un brutto periodo... e sinceramente FATTACCI loro!

Fozzillo ha detto...

Per quanto ne so NESSUNO può richiedere copia del documento di identità tranne in 2 casi.
Il primo è quando si acquista una SIM (misura antiterrorismo?).

Il secondo non mi è chiaro che vuole dire?
"la richiesta fatta da una pubblica amministrazione o da gestori di pubblici servizi (ad esempio compagnie elettriche e del gas), al fine di acquisire informazioni relative a stati, qualità personali e fatti, come previsto dall’art. 45 del d.P.R. del 28 dicembre 2000 n. 445."

Lavoro per una ditta estera, per loro la copia del documento non si concede mai, semplice.
Invece l'amministrazione pubblica italiana mi chiede spesso la copia di documenti di dirigenti e dipendenti della ditta estera. Cito la legge e desistono (e secondo me si vergognano anche un po').

Valter Bruno ha detto...

Incredibile; l'altro giorno sono stato contattato via e-mail per un annuncio di vendita di un prodotto e allegata alla e-mail c'era una bella carta di identità (vera) della persona che mi avrebbe inviato l'e-mail, ovviamente falsa; l'intento era quello, già noto, di ottenere i miei dati personali per essere successivamente utilizzati; ho fatto una ricerca in internet e ho scoperto che la titolare della carta di identità l'aveva smarrita qualche hanno fa e ancora adesso viene utilizzata per questa tentata truffa; ora si scopre che altre carte di identità, molto più numerose, sono addirittura pubblicate in rete; andiamo proprio bene; buona giornata a tutti, Valter Bruno

Stuart Delta ha detto...

E MENO MALE che ai gestori di questo sito (praticamente anonimo: non vedo nel footer delle pagine alcuna partita IVA, indirizzi, contatti) hanno avuto il buon cuore di non richiedere ai loro utenti la scansione di un terzo documento, ormai un must, ossia la bolletta di un'utenza come prova di residenza.

In possesso di C.I, C.F. e Bolletta, chiunque potrebbe fare qualsiasi cosa a nome di uno qualsiasi degli sfortunati iscritti a questa associazione, anche aprire società all'estero o intestar loro carte di pagamento.

Mi rasserena (parzialmente), per le vittime di questo leak, che con solo C.I e C.F. è difficile per un malintenzionato rubare le loro identità ad un livello che sia per lui conveniente.

Massimo ha detto...

@Fozzillo
Grazie per la segnalazione. In questi anni anch'io ho fornito spesso la copia della carta d'identità a chi la richiedeva (azienda, compagnia assicuratrice, banca, ecc.)
Ci starò ben attento dal prossimo rinnovo del documento.

Mi sorge però una domanda: in che modo possono verificare che io che richiedo un dato servizio sono chi dico di essere? Ad esempio, nel caso dell'assicurazione auto, che sono io il proprietario dell'auto?

Luigi Muzii ha detto...

@Fozzillo
Purtroppo, se vuoi richiedere lo SPID, per esempio, devi obbligatoriamente fornire copia del documento e del codice fiscale, via Web o, fisicamente, allo sportello. In entrambi i casi, non saprai come verranno custoditi.
Inoltre, se decidi, anche allo sportello, di far valere le disposizioni di legge (http://www.camera.it/parlam/leggi/deleghe/00443dla.htm), l'unico risultato è di vederti opporre un rifiuto a "istruire la pratica".
Anche rivolgendosi all'autorità giudiziaria il risultato non cambia: sono molti, troppi gli ignoranti della materia che preferiscono eludere la richiesta di far valere un principio e un diritto.
Per inciso, parlo per esperienza diretta.

pgc ha detto...

Le uniche volte che li ho dati è per AirBnB, per il consolato italiano e per i miei numerosi ex- e correnti datori di lavoro.

Che dire? Speriamo bene...

Luca B ha detto...

Tra l'altro nella sezione https://noisigroup.com/contatti
Non c'è traccia di nessuna informativa sul trattamento dei dati raccolti con questo modulo..

Castef ha detto...

Ho avuto modo di collaborare brevemente con personale del Garante della Privacy e devo dire che è un ente sostanzialmente "moderno", che sembra funzionare, molto "sul pezzo". Meno male.

Unknown ha detto...

Anche io sono piuttosto restio a mandare lo scan dei documenti! A volte però ti abbligano impedendoti di utilizzare il servizio altrimenti! Un caso tra tutti che mi è capitato recentemente è stato per resettare il pin dispositivo sul sito dell'INPS. Ora... voglio sperare che un sisto statale prenda le necessarie misure di sicurezza! Ma altri casi simili insegnano che i governi non sono immuni ad attacchi! Bisognerebbe proprio impedire tale pratica del tutto ma come fare?

Lazza ha detto...

Ad alcuni dei commentatori qui in cima non è chiara una cosa: se un'azienda non può obbligare qualcuno a inviare un documento, altrettanto questo qualcuno non può obbligare un'azienda a fornire un servizio.

Specialmente quando un'azienda ha l'obbligo di verificare i dati di chi lo richiede. Provate ad aprire un conto online e poi dire "no, non vi invio i documenti, fidatevi che sono io che tanto non potete obbligarmi". È ovvio che vi rifiutino l'operazione ed è giusto che sia così.

spacesurfer ha detto...

@Fozzillo
Un esempio è Poste Italiane, che richiede obbligatoriamente copia del documento di identità quando devi mandare i documenti per sdoganare una spedizione proveniente da fuori UE; un altro è l'INPS, per convertire il PIN ordinario in dispositivo e agli operatori di CAF e patronati per richiedere i CUD e altri documenti dei pensionati.
In teoria lo scopo sarebbe quello di verificare che la firma sul documento d'identità corrisponda a quella del modulo firmato inviato; chissà se poi qualcuno li verifica veramente...

mav ha detto...

Ho provato a cercare su Google il nome dell'intestatario del dominio in questione, ricavato dal record WHOIS.
Non ancora avuto tempo di approfondire (ed emettere giudizi prematuri, al di là dell'essere una cosa sciocca, può guadagnare una denuncia per diffamazione), ma si può dire senza dubbio che si tratti di un personaggio controverso

Unknown ha detto...

Identificarsi usando una sana e robusta PEC con firma digitale in Italia è troppo difficile...account social farlocchi come piovesse, identità digitali SICURE invece rare come panda a sei zampe. La ripresa economica passa anche dal presentarsi seriamente sulle piattaforme digitali

MR ha detto...

@Unknown Controverso e' dir poco... bastano 10 minuti su Google (lettura inclusa) per capire che il soggetto in questione non e' certo tra i primi a cui si invierebbe la propria carta di identita'.

MR ha detto...

(nel precedente messaggio intendevo riferirmi al commento di @mav, non a quello di @unknown)

Luigi Muzii ha detto...

@Castef
Confermo, anche in questo caso per esperienza diretta. Purtroppo, i suoi poteri sono piuttosto limitati e, fuori dalla P.A. e dagli enti che le sono in qualche modo connessi, è quasi nulla.

@Lazza
Non si parla di azienda privata, nel caso in questione, ma di P.A. o di azienda che svolge pubblico servizio, come le Poste.
Posso mostrare i miei documenti per dimostrare la mia identità, ma non dovrebbero essere copiati né archiviati e conservati.

Peraltro, mi chiedo il mancato rispetto di un contratto come quello sulla tutela della riservatezza dei dati forniti è legittimo motivo di ricorso in sede civile? Questo è uno dei limiti della cosiddetta legge sulla privacy: io ti chiedo i tuoi dati, ma se ne faccio un uso diverso da quello concordato, ovvero non li tutelo con la dovuta diligenza, non sono perseguibile.

Lazza ha detto...

Luigi, a dire il vero non mi sembra proprio che l'articolo di Paolo parli di una PA. Ma se anche fosse, cambia poco. Per varie tipologie di pratiche esiste l'obbligo di verificare che chi effettua un'operazione sia effettivamente chi dice di essere. Vogliamo parlare delle Poste? Ottimo perché è un esempio che calza a pennello: se io desidero aprire un conto corrente presso Poste Italiane devo necessariamente fornire dei documenti che verranno poi fotocopiati e mantenuti lì per anni, anche a garanzia che nessuno potrà accusarli di non aver verificato la mia identità.

Se necessario, le forze dell'ordine potranno anche andare lì a chiedere se io ho aperto un conto e vedere quale foto avevo sul documento. È giusto, logico e pure scontato.

Il discorso di conservarli in modo non corretto è un altro paio di maniche, si tratta infatti di una violazione molto grave (e perseguibile), certo.

ijk ha detto...

Ma quel sito è registrato da Maurizio Sarlo, che se non è un caso di omonimia è quello del COEMM, una specie di santone di cui se ne sono occupate anche le Iene: https://www.iene.mediaset.it/video/soldi-gratis-a-tutti_10619.shtml

bubbalù ha detto...

E' un bel problema. Citando mio marito, con cui ho discusso della notizia "in Italia se non la dai a destra e sinistra (la carta d'identità ovviamente) non vai da nessuna parte".
E purtroppo è così, alla faccia di leggi e disposizioni a tutela dei cittadini.
Aggiungo in ordine sparso ai casi già citati dagli altri commentatori

voglio fare un reclamo ad un qualsiasi gestore di energia (Enel, Egea, i-energy, ecc.) o di telefonia (Tim, Vodafone, H3G, ecc.): la procedura affinché il reclamo sia preso in considerazione è inviare una raccomandata A/R o pec con allegata la scansione della carta d'identità del privato titolare del contratto / legale rappresentante dell'azienda titolare del contratto

voglio semplicemente variare l'IBAN dell'addebito SDD (il vecchio RID) di un contratto di fornitura di energia o telefonia: vedi sopra

voglio comprare un cellulare, un televisore, un elettrodomestico e accedere al finanziamento a rate previsto dall'esercente: alla pratica va allegata copia della carta d'identità

vado in albergo / B&B / campeggio: la prima cosa che fanno al mio arrivo è fotocopiare la carta d'identità di tutti gli ospiti, bontà loro: mi è pure capitato di alloggiare in un campeggio di Cavallino VE, in cui ci è stata trattenuta in ostaggio la carta d'identità per un intero week end, ma questa è un'altra storia...

Potrei citare una decina di altre situazioni analoghe, tutte sperimentate per lavoro, in cui se ci si rifiuta di fornire la carta d'identità semplicemente non si ha accesso alla pratica/procedura/servizio. Trovo assurdo in particolare il caso in cui la documentazione viene inviata tramite pec aziendale (che in Italia è censita in apposito registro, per cui chiunque può risalire all'azienda titolare, mentre è un po' più complicato accertare l'appartenenza della pec di un privato).

A questo punto possiamo solo sperare che le aziende a cui siamo costretti a fornire copia dei nostri documenti li conservino in modo e luogo sicuro.

paolo ha detto...

Paolo, hai visto che nella segnalazione che hai fatto c'è indicato anche il tuo numero telefonico?

Lazza ha detto...

“voglio semplicemente variare l'IBAN”

Ma sì, cosa vuoi che sia in fin dei conti... perché dovrebbero impedirmi di mettere l'IBAN di qualcun altro quando faccio addebitare una SDD? :D

CimPy ha detto...

"UN numero di telefono...


Più di 2000 commenti sul tipo solo qui:

https://www.investireoggi.it/forums/threads/clemm-coemm.88107/

Più di 2000 commenti sul tipo solo qui:



Paolo Attivissimo ha detto...

paolo,

Paolo, hai visto che nella segnalazione che hai fatto c'è indicato anche il tuo numero telefonico?

Sì,è intenzionale: è quello pubblico. E' anche pubblicato sul blog.

Patrick Costa ha detto...

@bubbalù chiara e precisa, non c'è nulla da aggiungere.

Anonimo ha detto...

Giusto per ricordare chi sono i soggetti, basterebbe verificare chi e' il genio dietro a questa operazione: il noto Maurizio Sarlo, visto su Striscia la Notizia.

http://www.nove.firenze.it/continua-la-telenovela-del-coemm-il-comitato-etico-per-un-mondo-migliore.htm

bubbalù ha detto...

Lazzo

Ma sì, cosa vuoi che sia in fin dei conti... perché dovrebbero impedirmi di mettere l'IBAN di qualcun altro quando faccio addebitare una SDD? :D

Non è aggiungere la scansione di una carta d'identità (vera, contraffatta o trafugata ad altri) che previene simili comportamenti, ma il meccanismo bancario del mandato SDD: ogni nuovo mandato deve essere approvato dal titolare del conto corrente bancario, direttamente tramite home banking o attraverso l'intervento di un addetto della filiale (che di solito prima telefona e poi chiede comunque la firma del modulo di autorizzazione). Non ho mai sentito di casi in cui qualcuno abbia tentato di farsi pagare una bolletta dal conto di un altro, anche perché ti beccherebbero subito...

Patrick: grazie :-)

Giovanni C. ha detto...

Non sono proprio pochi i casi in cui è richiesta. Assicurazioni, nuove schede sim, banche...
Forse, piuttosto che limitarne la diffusione, bisognerebbe complicare l'uso improprio o facilitare l'individuazione degli usi impropri. Semplificando, a sua volta, l'arrivo ad una condanna.

I casi di venditori che si spacciano per altri, ad esempio, sono spesso impuniti.

Soluzioni?

Epsilon ha detto...

Soluzioni?
Io quando devo inviare copia di un documento di identità, sovrappongo all'immagine una scritta semitrasparente riportante la motivazione per cui lo allego; e.g. "Copia documento d'identità per rilascio patente".
Secondo me fungerebbe già da deterrente all'uso improprio in caso di furto della scansione.
PS come mai il mio commento precedente non è stato pubblicato? Che ti ho fatto Stu?!? :-)

axlman ha detto...

Ma di cosa state parlanodo? Davvero non capisco.
Mi sembra più che logico che una società seria non si voglia fare fregare dal primo truffatore che le contatta e voglia garanzie.

Se poi qualcuno dà i suoi documenti a uno sconosciuto che gli garantisce 1500 euro in cambio di 1 euro, se lo merita di essere fregato. A meno che quel qualcuno non abbia cinque anni e creda ancora a Babbo Natale... ma a quel punto la carta di indentità non la ha per legge...

Scatola Grande ha detto...

Certo però che si accontentano di una scansione che potrebbe essere stata alterata in mille modi.... meglio che niente, in ogni caso.

@Epsilon,
buona idea!

Epsilon ha detto...

Ciao Ax, è un po' di tempo che non "conversiamo", scrivendo io molto poco :-)
Qua il problema non è dare i propri documenti ad uno sconosciuto ma fornirli a società che magari non li custodiscono con la dovuta perizia permettendo a "loschi figuri" di impossessarsene.
A quel punto, se uno di quest'ultimi ha in mano la copia di un mio documento praticamente inutilizzabile se non ai fini che la scritta sovraimposta recita, avrà sicuramente molta più difficoltà a sfruttarla oppure (mors tua vita mea) avendone probabilmente in mano a pacchi di immediatamente sfruttabili, la mia la cestinerà.

axlman ha detto...

Ciao Epsilon.
Mi spiace contraddirti, ma qua il problema è proprio di gente senza un briciolo di buon senso che fornisce i propri dati personali a cani e porci.
Io mai mi fiderei di una ditta che non mi chiede di comprovare i miei dati in qualche modo, proprio perché altrimenti saprei che quella ditta è poco seria.
Ma qui si parla di dementi che davvero credono che dando un euro al mese, c'è Babbo Natale che in cambio te ne dà millecinquecento: e poi si meravigliano che figuri del genere diano in pasto a cani e porci i loro dati personali?

Certa gente andrebbe messa in galera per il reato di stupidità congenita, altro che storie...

axlman ha detto...

Se poi una società seria non custodice come si deve i miei dati, se ne può discutere, e si può anche denunciare la cosa.
Ma se io fornisco i miei dati a gente che mi promette 1500 euro in cambio di 1 euro, il coglione sono io e solo io, e mi merito TUTTO quello che mi può capitare per aver fatto una cazzta del genere.

Sarebbe ora che la gente si addossasse le proprie responsabilità, per le cazzate che ha scelto di fare, caspita.

axlman ha detto...

Certo, tu non sei uno dei suddetti imbecilli, e sovrapponi le scritte suoi documenti che mndi in giro, ma tu quei documenti li mandi a Babbo Natale che ti manda 1500 in cambio di 1?
E davvero pensi che gente così idiota da farlo saprebbe imparare come sovraimprimere certe scritte prima di mandarli?

Cerchiamo di essere realisti: i truffatori esistono, e si arricchiscono, perché esistono i cretini, e i cretini sono persone che, per definizione, si credono più furbe degli altri mentre invece sono degli imbecilli.

Prima ce ne facciamo una ragione, meglio campiamo senza preoccuparci di quelli che VOLONTARIAMENTE si fanno fregare, e pure contenti di esserlo.

Scatola Grande ha detto...

Axlman,
la carta di identità si può ottenere a qualunque età, anche a 5 anni.

Livio Fabris ha detto...

Faccio presente che oltre al sito è ancora "mina vagante" la relativa app.
Ho segnalato la cosa a Google Play così

"I have already written in the primary report that the NoiSiGroup app is supported by the Noisigroup.com website, which has been suspended by the Italian authorities for breach of personal data protection laws. More details are available on http://attivissimo.blogspot.it/2017/12/carte-didentita-liberamente-scaricabili.html"

Non so però se è sufficiente e/o efficace...qualcuno sa dare una dritta, per favore?

mappao ha detto...

Sito nuovamente online, con un bel messaggio in homepage: "Gentili Utenti, il sito ritorna on-line dopo un breve periodo di sospensione volontaria per attività di manutenzione e per rilevare dettagliatamente da un punto di vista tecnico le “presunte anomalie” riscontrate di cui si è provveduto ad informare le Autorità competenti, si avvisa che non è più disponibile l’accesso ai documenti già pervenuti in quanto sono stati salvati in supporti esterni."