Identificazione e salvaguardia delle PII (Informazioni di identificazione personale)

Chi vorrebbe che le proprie informazioni di identificazione personale e i propri dati sensibili fossero compromessi e utilizzati da qualcuno per attività fraudolente? Ma la triste realtà è che questa è diventata una pratica comune.

Recentemente è stato rivelato che quasi il 50% delle violazioni di dati tra il 2021 e il 2023 riguardava le informazioni di identificazione personale (PII) dei clienti, e il 40% di questi dati proveniva dai dipendenti. Questi dati sono stati registrati durante a indagine nell'ottobre 2023.

Le PII non sono molto complicate, ma è comunque importante capire cosa sono e quanto sia importante proteggerle. Questa guida contiene tutte le risposte per aiutarvi a proteggere le vostre PII e voi stessi. 

Cosa si intende per PII (Personally Identifiable Information)?

Le PII (Personally Identifiable Information) sono informazioni che costituiscono una parte significativa dell'identità dell'utente e che possono indicare direttamente l'utente stesso. 

Immaginatelo come un codice segreto che, da solo o mescolato con altre informazioni, può rivelare la vostra identità. Quindi, non si tratta solo del vostro nome e indirizzo; è come i pezzi di un puzzle che, messi insieme, creano l'immagine completa di "voi". 

Ad esempio, supponiamo che il vostro nome sia John. Ci sono molte altre persone in tutto il mondo che hanno lo stesso nome, per cui non può essere considerato PII. Ma se il vostro nome è John Doe e vivete a Manhattan con un numero di previdenza sociale AXY123? In questo caso, diventa una PII e può identificarvi in modo univoco da altri John che vivono in altre zone.

Le PII possono essere suddivise in non sensibili e sensibili. La tratteremo in seguito.

Informazioni PII non sensibili e sensibili

Il Dipartimento della Difesa degli Stati Uniti fornisce un elenco di esempi per quanto riguarda le PII. Dai numeri di previdenza sociale agli indirizzi personali, tutti questi dati possono rientrare nelle informazioni di identificazione personale.

Vediamo le due categorie distinte di PII: 

PII sensibili

Le PII sensibili sono informazioni che possono identificare facilmente un individuo. Questo tipo di PII può essere dannoso per l'individuo a cui appartiene se viene recuperato da un criminale informatico. 

Esempi di informazioni sensibili di identificazione personale

• Numero di previdenza sociale (SSN)
• Patente di guida
• Indirizzo postale
• Informazioni sulla carta di credito
• Informazioni sul passaporto
• Informazioni finanziarie
• Cartelle cliniche

PII non sensibili

Tutte le informazioni, come il cognome da nubile, che possono identificare una persona ma non possono essere utilizzate per danneggiarla sono definite PII non sensibili. 

Esempi di informazioni non sensibili di identificazione personale

• Nome
• Codice postale
• Gara
• Genere
• Data di nascita
• Luogo di nascita
• La religione

Se voi o qualsiasi azienda volete raccogliere PII, dovrete utilizzare moduli online, sondaggi e social media, preferibilmente con un accordo di non divulgazione allegato. Assicuratevi che ogni volta che fornite le vostre PII a qualcuno, verifichiate se ha un piano adeguato per l'utilizzo, l'archiviazione e la protezione delle informazioni.

Perché le PII sono importanti?

Le PII sono fondamentali perché proteggono i vostri dati. Le aziende o le organizzazioni che dispongono delle vostre PII sono obbligate per legge a salvaguardarle a tutti i costi. Questo garantisce la sicurezza e la protezione delle vostre informazioni personali.

Le aziende possono utilizzare le vostre informazioni per diversi scopi, ad esempio:

• Pubblicità mirata
• Prevenzione delle frodi
• Applicazione della legge
• Punteggio di credito
• Screening dell'occupazione

Come possono essere rubate le PII?

Attacchi come ingegneria sociale utilizzando un nome di dominio o un'e-mail contraffatta, possono indurre le persone a rivelare le informazioni personali. È anche possibile che informazioni private vengano divulgate attraverso casi di account e-mail violati, violazioni di dati, ecc.

Ecco alcuni modi comuni con cui le PII possono essere rubate: 

1. Email di phishing: False e-mail che inducono le vittime a rivelare le proprie informazioni personali.
2. Violazioni dei dati: Gli aggressori sfruttano le vulnerabilità del sistema per violare i database sensibili
3. Immersione in un cassonetto: Recupero di documenti cancellati dalla spazzatura che contengono informazioni personali.
4. Ingegneria sociale: Manipolazione di vittime ignare per indurle a condividere informazioni personali.
5. Malware: Software dannoso che si infiltra nei file contenenti informazioni personali sul computer.
6. Minacce insider: I vostri stessi dipendenti che divulgano le PII con intenti malevoli o per denaro
7. Intercettazioni informaticheintercettazione delle comunicazioni online per rubare informazioni personali
8. Account di posta elettronica violati: Accesso agli account di posta elettronica per leggere le chat contenenti informazioni personali.
9. Attacchi Man-in-the-middle: Attaccante che intercetta le comunicazioni online per rubare le informazioni personali.
10. Attacchi di forza bruta: Ottenere l'accesso non autorizzato agli account utilizzando la forza bruta, come i continui richiami, e quindi rubare le informazioni personali.

Metodi di protezione delle PII

Diversi Paesi hanno adottato diverse leggi sulla protezione dei dati per creare linee guida per le aziende che raccolgono, archiviano e condividono le informazioni personali dei clienti. Vediamo i modi in cui potete salvaguardare le vostre PII.

• Utilizzate password forti ogni volta che è necessario.
• Siate cauti con i dettagli che condividete online.
• Controllate regolarmente i vostri rapporti di credito per individuare eventuali segni di frode.

Se siete proprietari di un'azienda, dovreste prendere in considerazione i passaggi indicati di seguito:

• Raccogliere solo le PII necessarie per fornire un servizio specifico.
• La crittografia utilizzata nelle aziende deve essere robusta per impedire l'accesso non autorizzato alle PII dei dipendenti e dei clienti.
• L'accesso alle PII deve essere limitato solo ai dipendenti che ne hanno bisogno per svolgere le loro mansioni.
• È necessario organizzare una sessione di formazione per istruire i dipendenti su come proteggere le PII.
• Tenete sempre sotto controllo eventuali violazioni della sicurezza che potrebbero verificarsi all'improvviso.
• Dovrebbe esistere un piano di risposta alla violazione dei dati, in modo da poterlo utilizzare rapidamente per rispondere a una violazione dei dati e ridurre al minimo i danni.

Anche il Dipartimento della Sicurezza Nazionale degli Stati Uniti ha pubblicato un documento documento che definisce come proteggere e condividere le vostre PII in modo sicuro.

Importanza della protezione delle PII dalle violazioni dei dati

Una violazione dei dati si verifica quando qualcuno, non autorizzato dall'azienda, accede ai sistemi informatici, portando potenzialmente all'acquisizione di informazioni sensibili. 

Durante la ricerca, abbiamo trovato uno studio che mostra come oltre 6 milioni di record sono stati violati in tutto il mondo nel 2023. Si tratta di uno dei fattori più preoccupanti per i dirigenti aziendali.

Queste violazioni di dati possono verificarsi per vari motivi, come ad esempio:

• Malware
• Hacking
• Errori umani

Le aziende possono seguire le pratiche indicate di seguito per proteggere i propri dati dalle violazioni:

• Implementare misure di sicurezza adeguate.
• Educare i propri dipendenti sulle migliori pratiche nell'ambito della sicurezza informatica mondo.
• Disporre di un piano di risposta e di rimedio nel caso in cui si verifichino improvvisamente delle violazioni dei dati.

Leggi e regolamenti sulle PII

Le PII sono regolamentate da numerose leggi e normative. Queste garantiscono che la privacy delle persone sia al sicuro e che non debbano preoccuparsi di minacce come l'impersonificazione. Alcune di queste leggi federali sono:

1. Legge sulla privacy del 1974

Il Privacy Act del 1974 stabilisce le regole per gli agenti federali quando si tratta di raccogliere, utilizzare e divulgare le PII. Questa legge impone alle agenzie federali di comunicare ai cittadini se possono divulgare le loro PII e prevede sanzioni in caso di inadempienza. Tuttavia, esistono alcuni casi speciali ed eccezioni.

2. Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria

Poi c'è l'HIPAA, la legge sulla portabilità e la responsabilità dell'assicurazione sanitariail supereroe delle cartelle cliniche. Esso impone alle istituzioni e ai fornitori di servizi sanitari di tenere sotto controllo le informazioni dei pazienti e di non divulgare le loro cartelle cliniche senza consenso.

3. Legge sulla libertà di informazione

E non dimenticate il FOIA, la legge sulla legge sulla libertà di informazione. È il biglietto d'oro per chi vuole scavare nei documenti del governo. Dice alle agenzie federali: "Mostrate le vostre carte, a meno che non siano super segrete". In pratica, è il pass per il backstage delle informazioni governative per il pubblico! Tuttavia, il FOIA agisce anche come protezione delle PII, chiedendo alle agenzie di polizia di non divulgare informazioni che possono essere personalmente identificabili o dannose.

4. Regolamento generale sulla protezione dei dati (GDPR) 

Nel 1995 esisteva una direttiva sulla protezione dei dati, ma successivamente, GDPR per salvaguardare le informazioni personali. Ora, tutte le aziende che trattano i dati personali dei cittadini dell'UE, sia che abbiano sede nell'UE o altrove (sì, anche negli Stati Uniti!), devono seguire la stessa serie di regole.

La mancata conformità può comportare multe salate - il 4% del fatturato annuo globale o 20 milioni di euro, se più dolorose - per la violazione di alcune disposizioni. Inoltre, le persone hanno il diritto di presentare un reclamo se ritengono che i loro diritti in materia di GDPR siano stati violati. 

Ricordate che il GDPR è lo sceriffo globale per la privacy dei dati, che si assicura che le aziende non giochino in fretta e furia con le informazioni personali delle persone. È il guardiano dei vostri dati, che tiene sotto controllo il mondo digitale.

Come possono le aziende proteggere i dati dei loro clienti?

Per le aziende che vogliono migliorare la propria sicurezza, considerate questi consigli pratici:

• Implementare la segmentazione della rete: Pensate a questo come alla costruzione di muri all'interno del vostro regno digitale. Se un'area viene violata, le altre possono rimanere solide. È come avere degli scompartimenti segreti nel vostro caveau di dati.
• Applicare le politiche e le procedure di sicurezza: Stabilite le regole e assicuratevi che tutti le rispettino. È come avere un manuale di sicurezza: tutti sanno cosa è permesso e cosa è vietato.
• Eseguire frequentemente il backup dei dati: Immaginate i vostri dati come un tesoro e i backup come un nascondiglio segreto. Se arrivano i pirati (ovvero le violazioni dei dati), avete ancora la vostra scorta segreta su cui contare. 
• Stabilite un piano di risposta completo per le violazioni dei dati: Pianificate ogni mossa, dall'individuazione del problema alla sua risoluzione. 

Impatto del furto di identità e dell'uso improprio delle PII

Il furto d'identità non è uno scherzo: può portare seri grattacapi finanziari. Immaginate che qualcuno si spacci per voi e faccia shopping sfrenato o accenda un prestito a vostro nome senza chiedere, o peggio ancora che svolga attività illegali! 

Il furto di identità e le PII rubate possono portare a: 

1. Gravi danni economici 
2. Disagio emotivo e ansia 
3. Scompiglio legale per i reati commessi a vostro nome
4. Perdita di credibilità e reputazione nel settore 
5. Perdita di fiducia dei clienti

Parole finali

Un vettore popolare per il recupero delle PII è rappresentato dalle e-mail di phishing che impersonano o falsificano il vostro nome di dominio. Si consiglia di impostare un DMARC per le vostre e-mail e i vostri domini per rimanere al sicuro da tutto ciò. E non c'è modo migliore di PowerDMARC per configurare e monitorare la vostra implementazione in modo sicuro! Siamo un team di esperti di sicurezza dei domini, specializzati nell'aiutarvi a ridurre al minimo le frodi via e-mail attraverso l'autenticazione. Contattateci oggi stesso per una prova gratuita prova DMARC!

Ricordate di condividere il minor numero possibile di informazioni personali su Internet! Rimanete al sicuro e vigilate online.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Blockchain può contribuire a migliorare la sicurezza delle e-mail? - 9 maggio 2024
• Proxy per data center: Svelato il cavallo di battaglia del mondo dei proxy - 7 maggio 2024
• Kimsuky sfrutta i criteri DMARC "Nessuno" nei recenti attacchi di phishing - 6 maggio 2024