Settimana 43: Come fanno i truffatori a conoscere i miei dati? - Uno sguardo sui meccanismi dietro agli abusi di dati personali

Service navigation

Ricerca

Navigazione

Settimana 43: Come fanno i truffatori a conoscere i miei dati? - Uno sguardo sui meccanismi dietro agli abusi di dati personali

28.10.2025 - L’Ufficio federale della cibersicurezza (UFCS) riceve continuamente domande da parte di cittadini preoccupati: «Come fanno i truffatori a conoscere il mio nome, il nome della mia banca o addirittura il mio indirizzo?». Questa domanda è più che giustificata, perché le chiamate e le e-mail dei criminali spesso appaiono credibili se contengono informazioni personali che si suppone siano private. La risposta a questa domanda è complessa e rivela l’approccio metodico e sistematico dei moderni cibercriminali.

I malintenzionati utilizzano essenzialmente due strategie principali per ottenere dati personali. La retrospettiva di questa settimana esamina entrambi i metodi e dimostra che oggigiorno i dati personali sono la materia prima necessaria per mettere a segno una truffa. I criminali si comportano come analisti: raccolgono dati apparentemente non correlati da varie fonti e li combinano in profili dettagliati che consentono loro di effettuare attacchi molto convincenti e quindi difficili da individuare.

Esistono due strategie principali:

  1. La prima consiste nell’acquisizione passiva di informazioni. I truffatori raccolgono grandi insiemi di dati dai cosiddetti «data leak». Questi dati formano la base per successivi attacchi.
  2. La seconda è invece l’acquisizione attiva. Utilizzando manovre mirate e ingannevoli, conosciute come «information phishing», ingannano le persone per indurle a rivelare volontariamente i loro dati. Non si tratta solo di password, ma anche di altri estremi di identificazione personale.

Acquisizione passiva di informazioni: dati provenienti da fughe e guasti

Una «fuga di dati» (conosciuta anche come «data breach» o «data leak») è un incidente di sicurezza in cui dati sensibili o riservati vengono involontariamente divulgati da un’organizzazione. A differenza di una «violazione dei dati», che spesso è il risultato di un attacco hacker mirato, le fughe di dati sono spesso causate da vulnerabilità interne, errori umani o errate configurazioni tecniche.

In questi incidenti possono essere divulgati vari tipi di dati. In genere si tratta di nomi, indirizzi e-mail, numeri di telefono, indirizzi di casa, date di nascita e spesso password, che fortunatamente sono solitamente criptate. Nei casi più gravi, possono essere interessate anche informazioni finanziarie come i numeri delle carte di credito o la cronologia degli ordini di un negozio online.

Non appena queste enormi raccolte vengono rese pubbliche, i dati diventano una merce. Anche i cibercriminali raccolgono e vendono questi dati che rappresentano una risorsa preziosa per altri gruppi criminali. Le conseguenze immediate per una persona i cui dati fanno parte di una fuga di notizie è spesso un notevole aumento di spam indesiderato e di e-mail di phishing, poiché i suoi dati di contatto circolano in elenchi molto diffusi.

Una fuga di dati è quindi l’inizio e non la fine di una catena di attacchi. Un criminale che acquista un elenco di nomi e indirizzi e-mail di clienti di un particolare rivenditore online viene così in possesso di una lista comprovata di potenziali obiettivi. Invece di inviare e-mail a caso, ora può lanciare una campagna di phishing che si rivolge specificamente ai clienti di questo rivenditore. Un’e-mail che si presenta come proveniente dalla stessa azienda appare immediatamente più credibile e ha maggiori possibilità di successo.

Maggiori informazioni sul tema «Gestione dei dati digitali»: Settimana 29: Rendere sicuri gli accessi digitali

Acquisizione attiva: quando i truffatori cercano informazioni specifiche

Oltre ai dati provenienti dalle suddette fughe, l’UFCS ha recentemente osservato ripetuti attacchi in cui i truffatori ottengono attivamente i dati. Mentre il phishing classico mira principalmente a rubare le password e i dati di accesso agli account di e-banking o di posta elettronica, queste campagne mirano a raccogliere una gamma più ampia di dati personali. L’obiettivo non è quello di appropriarsi immediatamente di un account, ma di raccogliere i pezzi mancanti del puzzle per creare un profilo di dati quanto più completo della vittima.

Attualmente è particolarmente diffusa una truffa in cui i truffatori creano siti web particolarmente credibili che emulano l’aspetto di istituzioni affidabili come banche, compagnie assicurative, programmi di assicurazione sanitaria o fornitori di servizi di pagamento.

Il pretesto è quasi sempre lo stesso: agli utenti viene chiesto di «verificare» o «aggiornare» i propri dati. Queste richieste si basano in particolare sulla necessità degli utenti di mantenere sicuri i propri account. La pressione temporale viene spesso esercitata minacciando di bloccare l’account o di intraprendere misure se i dati non dovessero essere confermati immediatamente.

Queste pagine false richiedono specificamente informazioni personali che potrebbero essere preziose per successivi tentativi di frode. Un caso recente, ad esempio, riguardava un presunto rimborso e, oltre alle informazioni personali, è stata richiesta anche la firma digitale. I dati richiesti erano:

  • Nome, cognome e indirizzo
  • Numero di telefono
  • IBAN
  • Numero di contratto / numero di polizza
  • Copie dei documenti d’identità (carta d’identità o passaporto)
  • Firma digitale
Una presunta e-mail di Helsana che chiede di aggiornare i dati personali.
Una presunta e-mail di Helsana che chiede di aggiornare i dati personali.
Dopo aver inserito i propri dati personali, verrà richiesta una copia della carta d’identità o del passaporto.
Dopo aver inserito i propri dati personali, verrà richiesta una copia della carta d’identità o del passaporto.
Un sito web che offre la prospettiva di un presunto rimborso assicurativo richiede una firma digitale oltre alle informazioni personali.
Un sito web che offre la prospettiva di un presunto rimborso assicurativo richiede una firma digitale oltre alle informazioni personali.

Raccomandazioni

  • La linea di difesa più importante è una sana diffidenza nei confronti di qualsiasi comunicazione non sollecitata che richieda dati personali o esorti un’azione urgente, a prescindere dalla sua legittimità.
  • Utilizzate per ogni account una password diversa. Le password forti sono lunghe almeno 12 caratteri e sono composte da lettere maiuscole e minuscole, caratteri speciali e numeri. Attivate l’autenticazione a più fattori (MFA, nota anche come autenticazione a due fattori o 2FA) quando possibile. Questa offre un ulteriore livello di sicurezza ed è una delle misure più efficaci contro l’acquisizione dell’account, anche laddove la password venga rubata.
  • Non cliccate mai sui link e non chiamate i numeri di telefono indicati in un messaggio sospetto. Invece, accedete al sito web ufficiale dell’azienda direttamente nel browser o utilizzate l’app ufficiale per accedere e cercare le notifiche. Cercate il numero di telefono in un elenco online (ad es. TelSearch) o sul sito web dell’azienda interessata.
  • Trattate i vostri dati con consapevolezza. Nei moduli online, ad esempio, inserite solo le informazioni assolutamente necessarie (spesso contrassegnate da un asterisco).
  • Siete stati vittime di una truffa? Chiamate immediatamente la vostra banca o il fornitore della carta di credito e fate bloccare le carte e i conti interessati. Denunciate eventuali perdite finanziarie alla vostra stazione di polizia cantonale. Potete trovare la stazione di polizia più vicina a voi tramite il sito Suisse ePolice.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 28.10.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_43.html