Le informazioni di identificazione personale (PII) sono tutte le informazioni collegate a un individuo specifico che possono essere utilizzate per scoprirne l'identità, come il numero di previdenza sociale, il nome completo, l'indirizzo e-mail o il numero di telefono.
Poiché le persone si affidano sempre più alle tecnologie informatiche nel lavoro e nella vita privata, la quantità di PII condivise con le organizzazioni è aumentata. Ad esempio, le aziende raccolgono i dati personali dei clienti per capire i loro mercati e i consumatori forniscono prontamente i loro numeri di telefono e indirizzi di casa per iscriversi a servizi e fare acquisti online.
La condivisione delle PII può avere i suoi vantaggi, poiché consente alle aziende di personalizzare prodotti e servizi in base ai desideri e alle esigenze dei propri clienti, ad esempio fornendo risultati di ricerca più pertinenti nelle app di navigazione. Tuttavia, i crescenti archivi di PII raccolti dalle organizzazioni attirano l'attenzione dei criminali informatici.
Gli hacker rubano le informazioni personali per commettere furti di identità, venderle sul mercato nero o chiedere un riscatto tramite ransomware. Secondo il report Cost of a Data Breach 2023 di IBM, il costo medio di una violazione dei dati causata da un attacco ransomware è stato di 5,13 milioni di dollari. Le persone e i professionisti della sicurezza delle informazioni devono affrontare un complesso landscape IT e legale per preservare la privacy dei dati a fronte di questi attacchi.
Ottieni insight per gestire meglio il rischio di violazione dei dati con l'ultimo report Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Le PII sono disponibili in due tipi: identificatori diretti e identificatori indiretti. Gli identificatori diretti sono univoci e includono, ad esempio, il numero del passaporto o il numero della patente di guida. Un solo identificatore diretto è in genere sufficiente per determinare l'identità di qualcuno.
Gli identificatori indiretti non sono univoci. Includono dati personali più generali, come la razza e il luogo di nascita. Un singolo identificatore indiretto non può identificare una persona, ma una combinazione di diversi indicatori diretti sì. Ad esempio, l'87% dei cittadini statunitensi (link esterno a ibm.com) potrebbe essere identificato solo in base al sesso, al codice postale e alla data di nascita.
Non tutti i dati personali sono considerati PII. Ad esempio, i dati sulle abitudini di streaming di una persona non sono PII. Infatti sarebbe difficile, se non impossibile, identificare qualcuno esclusivamente in base a ciò che ha guardato su Netflix. Le PII si riferiscono solo a informazioni che possono identificare una persona specifica, come quelle che si forniscono per verificare la propria identità quando si contatta la propria banca.
Tra le PII, alcune informazioni sono più sensibili di altre. Le PII sensibili sono informazioni sensibili che identificano direttamente un individuo e possono causare danni significativi in caso di perdite o furto.
I numeri di previdenza sociale (SSN) sono un ottimo esempio di PII sensibili. Poiché molte agenzie governative e istituzioni finanziarie utilizzano gli SSN per verificare l'identità delle persone, un criminale che ruba un SSN potrebbe facilmente accedere ai registri fiscali o ai conti bancari della vittima. Altri esempi di PII sensibili includono:
Le PII sensibili in genere non sono disponibili pubblicamente e la maggior parte delle leggi sulla privacy dei dati impone alle organizzazioni di salvaguardarle tramite crittografia, controllo degli accessi o altre misure di cybersecurity.
Le PII non sensibili sono dati personali che, presi singolarmente, non causerebbero danni significativi a una persona in caso di fuga o furto. Possono essere univoci o meno. Ad esempio, l'handle di un social media è una PII non sensibile: potrebbe identificare qualcuno, ma un malintenzionato non potrebbe commettere un furto di identità se dispone solo del nome di un account di social media. Altri esempi di PII non sensibili includono:
Le PII non sensibili sono spesso disponibili pubblicamente. Ad esempio i numeri di telefono possono essere elencati in una rubrica telefonica e gli indirizzi possono essere inseriti nei registri di proprietà pubblica di un governo locale. Alcune normative sulla privacy dei dati non richiedono la protezione delle PII non sensibili, ma molte aziende mettono comunque in atto misure di salvaguardia. Questo perché i criminali potrebbero comunque causare problemi appropriandosi di diverse PII non sensibili.
Ad esempio, un hacker potrebbe entrare nell'app del conto bancario di qualcuno con il suo numero di telefono, indirizzo e-mail e cognome da nubile della madre: l'e-mail gli fornisce un nome utente, lo spoofing gli consente di ricevere un codice di verifica e il cognome da nubile della madre fornisce la risposta alla domanda di sicurezza.
È importante notare che il fatto che un dato sia considerato PII sensibile o non sensibile dipende in larga misura dal contesto. Un nome completo di per sé può non essere un dato sensibile, ma un elenco di persone che si sono recate presso un certo medico potrebbe esserlo. Allo stesso modo, il numero di telefono di una persona può essere disponibile pubblicamente, ma un database di numeri di telefono utilizzato per l'autenticazione a due fattori su un sito di social media sarebbe una PII sensibile.
Anche il contesto determina se un dato è considerato una PII. Ad esempio, i dati aggregati di geolocalizzazione anonima vengono spesso considerati dati personali generici, perché non è possibile isolare l'identità di un singolo utente.
Tuttavia, i singoli record di dati di geolocalizzazione anonimi possono diventare informazioni personali, come dimostrato da una recente causa legale della Federal Trade Commission (FTC) (link esterno a ibm.com).
La FTC sostiene che il broker di dati Kochava vendeva dati di geolocalizzazione che contavano come PII perché "i feed di dati personalizzati dell'azienda consentono agli acquirenti di identificare e monitorare specifici utenti di dispositivi mobili. Ad esempio, la posizione di un dispositivo mobile durante la notte è probabilmente l'indirizzo di casa dell'utente e potrebbe essere combinata con i registri delle proprietà per scoprire la sua identità."
Anche i progressi della tecnologia rendono più facile identificare le persone con un minor numero di informazioni, abbassando potenzialmente la soglia di ciò che è considerato PII in generale. Ad esempio, i ricercatori di IBM e dell'Università del Maryland hanno sviluppato un algoritmo (link esterno a ibm.com) che identifica individui specifici combinando dati di posizione anonimi con informazioni disponibili al pubblico dai siti di social network.
Secondo McKinsey (link esterno a ibm.com), il 75% dei paesi ha implementato leggi sulla privacy dei dati che regolano la raccolta, la conservazione e l'utilizzo delle PII. Rispettare queste normative può essere difficile perché le varie giurisdizioni hanno normative diverse o addirittura contraddittorie.
Anche la diffusione del cloud computing e della forza lavoro da remoto comporta una sfida. In questi ambienti, i dati possono essere raccolti in un unico luogo, archiviati in un altro ed elaborati in un terzo. Ai dati possono essere applicate normative diverse in ogni fase, a seconda della posizione geografica.
A complicare ulteriormente le cose, le varie normative stabiliscono standard diversi per i tipi di dati da proteggere. Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea richiede alle organizzazioni di proteggere tutti i dati personali, definiti (link esterno a ibm.com) come "qualsiasi informazione relativa a una persona fisica identificata o identificabile".
Ai sensi del GDPR, le organizzazioni devono proteggere le PII sensibili e non sensibili. Devono anche salvaguardare dati che potrebbero anche non essere considerati dati sensibili in altri contesti. Queste informazioni includono opinioni politiche, affiliazioni organizzative e descrizioni delle caratteristiche fisiche.
L'Office of Management and Budget (OMB) del governo degli Stati Uniti definisce in modo più specifico le PII (link esterno a ibm.com) come:
[I]nformazioni che possono essere utilizzate per distinguere o risalire all'identità di un individuo, come il nome, il numero di previdenza sociale, i dati biometrici e altro, da sole o in combinazione con altri dati personali o identificativi collegati o collegabili a un individuo specifico, come la data e il luogo di nascita, il cognome da nubile della madre, ecc.
Come ha dichiarato l'analista di Gartner Bart Willemsen (link esterno a ibm.com): "Negli Stati Uniti [...] le PII solitamente si riferiscono a due o tre dozzine di identificatori come nome, indirizzo, SSN, patente di guida o numero di carta di credito".
Sebbene gli Stati Uniti non dispongano di leggi sulla privacy dei dati a livello federale, le agenzie governative sono soggette al Privacy Act del 1974, che disciplina il modo in cui le agenzie federali raccolgono, utilizzano e condividono le PII. Alcuni stati degli Stati Uniti hanno le proprie normative sulla privacy dei dati, in particolare la California. Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) concedono ai consumatori determinati diritti sul modo in cui le organizzazioni raccolgono, memorizzano e utilizzano le loro PII.
Alcuni settori hanno anche le proprie normative sulla privacy dei dati. Negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA) disciplina il modo in cui le organizzazioni sanitarie raccolgono e proteggono le cartelle cliniche e le PII dei pazienti.
Analogamente, il Payment Card Industry Data Security Standard (PCI DSS) è uno standard globale del settore finanziario che regola il modo in cui società di carte di credito, commercianti ed elaboratori di pagamenti gestiscono le informazioni sensibili dei titolari di carte.
Le ricerche suggeriscono che le organizzazioni faticano a orientarsi in questo panorama variabile di leggi e standard di settore. Secondo ESG (link esterno a ibm.com), il 66% delle aziende che sono state sottoposte a controlli sulla privacy dei dati negli ultimi tre anni non ha superato il controllo almeno una volta, mentre il 23% tre o più volte.
Il mancato rispetto delle normative sulla privacy dei dati può portare a multe, danni alla reputazione, perdita di affari e altre conseguenze per le organizzazioni. Per esempio, Amazon ha ricevuto una multa di 88 milioni di dollari per aver violato il GDPR nel 2021 (link esterno a ibm.com).
Gli hacker rubano le PII per molte ragioni: per commettere un furto di identità, per ricattare o per venderle sul mercato nero, dove possono recuperare fino a 1 USD per numero di previdenza sociale e 2.000 USD per un numero di passaporto (link esterno a ibm.com).
Gli hacker possono anche prendere di mira le PII come parte di un attacco più ampio: possono tenerle in ostaggio utilizzando ransomware o rubare PII per impossessarsi degli account e-mail dei dirigenti da utilizzare in attacchi di spear phishing e truffe di compromissione della posta elettronica aziendale (BEC).
I criminali informatici spesso utilizzano attacchi di ingegneria sociale per indurre le vittime ignare a consegnare volontariamente le proprie PII, ma possono anche acquistarle sul dark web o ottenerne l'accesso nell'ambito di una più ampia violazione dei dati. Le PII possono essere rubate fisicamente frugando nella spazzatura o spiando le persone mentre usano il computer.
I malintenzionati possono anche monitorare gli account dei social media di un bersaglio, dove molte persone condividono inconsapevolmente PII non sensibili ogni giorno. Con il tempo, un utente malintenzionato può raccogliere informazioni sufficienti per impersonare una vittima o entrare nei suoi account.
Per le organizzazioni, proteggere le PII può essere complicato. La diffusione del cloud computing e dei servizi SaaS ha fatto sì che le PII possano essere memorizzate ed elaborate in più sedi anziché in un'unica rete centralizzata.
Secondo un report di ESG (link esterno a ibm.com), la quantità di dati sensibili memorizzati in cloud pubblici dovrebbe raddoppiare entro la fine del 2024 e oltre la metà delle organizzazioni ritiene che tali dati non siano sufficientemente sicuri.
Per salvaguardare le PII, le organizzazioni in genere creano framework per la privacy dei dati. Questi framework possono assumere forme diverse a seconda dell'organizzazione, delle PII raccolte e delle normative sulla privacy dei dati che occorre rispettare. Ad esempio, il National Institute of Standards and Technology (NIST) fornisce questo framework di esempio (link esterno a ibm.com):
1. identificare tutte le informazioni personali nei sistemi dell'organizzazione;
2. ridurre al minimo la raccolta e l'utilizzo delle PII e smaltire regolarmente le PII non più necessarie;
3. categorizzare le PII in base al livello di sensibilità;
4. impiegare controlli di sicurezza dei dati; esempi di controlli possono includere:
5. elaborare un piano di risposta agli incidenti per perdite e violazioni delle PII.
Vale la pena notare che il NIST e altri esperti di privacy dei dati spesso consigliano di applicare controlli diversi a diversi set di dati in base alla sensibilità dei dati. L’utilizzo di controlli rigorosi per i dati non sensibili può essere complicato e non economicamente vantaggioso.
Rafforza la protezione dei dati, la fiducia dei clienti e la crescita della tua azienda.
Un solido programma di cybersecurity incentrato sui dati può fornire una protezione completa dei dati e una visibilità centralizzata. Il monitoraggio continuo può aiutare a proteggere da accessi non autorizzati, esposizione o furto di dati nel landscape dei dati aziendali.
Proteggere i dati aziendali e affrontare la conformità normativa con soluzioni e servizi di sicurezza incentrati sui dati.
Gestione delle identità e degli accessi completa e sicura per aziende moderne.
Ottieni gli insight più recenti sul landscape delle minacce in espansione e le raccomandazioni su come risparmiare tempo e limitare le perdite.
Scopri perché oggi la sicurezza dei dati è vitale per il benessere di qualsiasi azienda.
Scopri come la governance dei dati garantisce alle aziende di ottenere il massimo dai propri asset di dati.