Cosa sono le informazioni di identificazione personale (PII)?

Le PII sono disponibili in due tipi: identificatori diretti e identificatori indiretti. Gli identificatori diretti sono univoci e includono, ad esempio, il numero del passaporto o il numero della patente di guida. Un solo identificatore diretto è in genere sufficiente per determinare l'identità di qualcuno.

Gli identificatori indiretti non sono univoci. Includono dati personali più generali, come la razza e il luogo di nascita. Un singolo identificatore indiretto non può identificare una persona, ma una combinazione di diversi indicatori diretti sì. Ad esempio, l'87% dei cittadini statunitensi (link esterno a ibm.com) potrebbe essere identificato solo in base al sesso, al codice postale e alla data di nascita.

Non tutti i dati personali sono considerati PII. Ad esempio, i dati sulle abitudini di streaming di una persona non sono PII. Infatti sarebbe difficile, se non impossibile, identificare qualcuno esclusivamente in base a ciò che ha guardato su Netflix. Le PII si riferiscono solo a informazioni che possono identificare una persona specifica, come quelle che si forniscono per verificare la propria identità quando si contatta la propria banca.

Tra le PII, alcune informazioni sono più sensibili di altre. Le PII sensibili sono informazioni sensibili che identificano direttamente un individuo e possono causare danni significativi in caso di perdite o furto.

I numeri di previdenza sociale (SSN) sono un ottimo esempio di PII sensibili. Poiché molte agenzie governative e istituzioni finanziarie utilizzano gli SSN per verificare l'identità delle persone, un criminale che ruba un SSN potrebbe facilmente accedere ai registri fiscali o ai conti bancari della vittima. Altri esempi di PII sensibili includono:

• Numeri di identificazione univoci, come numeri di patente di guida, numeri di passaporto e altri numeri di identificazione rilasciati dal governo.
• Dati biometrici, come impronte digitali e scansioni della retina.
• Informazioni finanziarie, inclusi numeri di conti bancari e numeri di carte di credito.
• Cartelle cliniche.

Le PII sensibili in genere non sono disponibili pubblicamente e la maggior parte delle leggi sulla privacy dei dati impone alle organizzazioni di salvaguardarle tramite crittografia, controllo degli accessi o altre misure di cybersecurity.

Le PII non sensibili sono dati personali che, presi singolarmente, non causerebbero danni significativi a una persona in caso di fuga o furto. Possono essere univoci o meno. Ad esempio, l'handle di un social media è una PII non sensibile: potrebbe identificare qualcuno, ma un malintenzionato non potrebbe commettere un furto di identità se dispone solo del nome di un account di social media. Altri esempi di PII non sensibili includono:

• nome e cognome di una persona;
• cognome da nubile della madre;
• numero di telefono;
• Indirizzo IP
• luogo di nascita;
• data di nascita;
• dati geografici (codice postale, città, stato, paese, ecc.);
• informazioni sull'impiego;
• indirizzo e-mail o indirizzo postale;
• razza o etnia;
• religione.

Le PII non sensibili sono spesso disponibili pubblicamente. Ad esempio i numeri di telefono possono essere elencati in una rubrica telefonica e gli indirizzi possono essere inseriti nei registri di proprietà pubblica di un governo locale. Alcune normative sulla privacy dei dati non richiedono la protezione delle PII non sensibili, ma molte aziende mettono comunque in atto misure di salvaguardia. Questo perché i criminali potrebbero comunque causare problemi appropriandosi di diverse PII non sensibili.

Ad esempio, un hacker potrebbe entrare nell'app del conto bancario di qualcuno con il suo numero di telefono, indirizzo e-mail e cognome da nubile della madre: l'e-mail gli fornisce un nome utente, lo spoofing gli consente di ricevere un codice di verifica e il cognome da nubile della madre fornisce la risposta alla domanda di sicurezza.

È importante notare che il fatto che un dato sia considerato PII sensibile o non sensibile dipende in larga misura dal contesto. Un nome completo di per sé può non essere un dato sensibile, ma un elenco di persone che si sono recate presso un certo medico potrebbe esserlo. Allo stesso modo, il numero di telefono di una persona può essere disponibile pubblicamente, ma un database di numeri di telefono utilizzato per l'autenticazione a due fattori su un sito di social media sarebbe una PII sensibile.

Quando le informazioni sensibili diventano PII?

Anche il contesto determina se un dato è considerato una PII. Ad esempio, i dati aggregati di geolocalizzazione anonima vengono spesso considerati dati personali generici, perché non è possibile isolare l'identità di un singolo utente.

Tuttavia, i singoli record di dati di geolocalizzazione anonimi possono diventare informazioni personali, come dimostrato da una recente causa legale della Federal Trade Commission (FTC) (link esterno a ibm.com).

La FTC sostiene che il broker di dati Kochava vendeva dati di geolocalizzazione che contavano come PII perché "i feed di dati personalizzati dell'azienda consentono agli acquirenti di identificare e monitorare specifici utenti di dispositivi mobili. Ad esempio, la posizione di un dispositivo mobile durante la notte è probabilmente l'indirizzo di casa dell'utente e potrebbe essere combinata con i registri delle proprietà per scoprire la sua identità."

Anche i progressi della tecnologia rendono più facile identificare le persone con un minor numero di informazioni, abbassando potenzialmente la soglia di ciò che è considerato PII in generale. Ad esempio, i ricercatori di IBM e dell'Università del Maryland hanno sviluppato un algoritmo (link esterno a ibm.com) che identifica individui specifici combinando dati di posizione anonimi con informazioni disponibili al pubblico dai siti di social network.

Normative internazionali sulla privacy

Secondo McKinsey (link esterno a ibm.com), il 75% dei paesi ha implementato leggi sulla privacy dei dati che regolano la raccolta, la conservazione e l'utilizzo delle PII. Rispettare queste normative può essere difficile perché le varie giurisdizioni hanno normative diverse o addirittura contraddittorie.

Anche la diffusione del cloud computing e della forza lavoro da remoto comporta una sfida. In questi ambienti, i dati possono essere raccolti in un unico luogo, archiviati in un altro ed elaborati in un terzo. Ai dati possono essere applicate normative diverse in ogni fase, a seconda della posizione geografica.

A complicare ulteriormente le cose, le varie normative stabiliscono standard diversi per i tipi di dati da proteggere. Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea richiede alle organizzazioni di proteggere tutti i dati personali, definiti (link esterno a ibm.com) come "qualsiasi informazione relativa a una persona fisica identificata o identificabile".

Ai sensi del GDPR, le organizzazioni devono proteggere le PII sensibili e non sensibili. Devono anche salvaguardare dati che potrebbero anche non essere considerati dati sensibili in altri contesti. Queste informazioni includono opinioni politiche, affiliazioni organizzative e descrizioni delle caratteristiche fisiche. 

Normative sulla privacy degli Stati Uniti

L'Office of Management and Budget (OMB) del governo degli Stati Uniti definisce in modo più specifico le PII (link esterno a ibm.com) come:

[I]nformazioni che possono essere utilizzate per distinguere o risalire all'identità di un individuo, come il nome, il numero di previdenza sociale, i dati biometrici e altro, da sole o in combinazione con altri dati personali o identificativi collegati o collegabili a un individuo specifico, come la data e il luogo di nascita, il cognome da nubile della madre, ecc.

Come ha dichiarato l'analista di Gartner Bart Willemsen (link esterno a ibm.com): "Negli Stati Uniti [...] le PII solitamente si riferiscono a due o tre dozzine di identificatori come nome, indirizzo, SSN, patente di guida o numero di carta di credito".

Sebbene gli Stati Uniti non dispongano di leggi sulla privacy dei dati a livello federale, le agenzie governative sono soggette al Privacy Act del 1974, che disciplina il modo in cui le agenzie federali raccolgono, utilizzano e condividono le PII. Alcuni stati degli Stati Uniti hanno le proprie normative sulla privacy dei dati, in particolare la California. Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) concedono ai consumatori determinati diritti sul modo in cui le organizzazioni raccolgono, memorizzano e utilizzano le loro PII.

Normative sulla privacy specifiche di settore

Alcuni settori hanno anche le proprie normative sulla privacy dei dati. Negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA) disciplina il modo in cui le organizzazioni sanitarie raccolgono e proteggono le cartelle cliniche e le PII dei pazienti.

Analogamente, il Payment Card Industry Data Security Standard (PCI DSS) è uno standard globale del settore finanziario che regola il modo in cui società di carte di credito, commercianti ed elaboratori di pagamenti gestiscono le informazioni sensibili dei titolari di carte.

Le ricerche suggeriscono che le organizzazioni faticano a orientarsi in questo panorama variabile di leggi e standard di settore. Secondo ESG (link esterno a ibm.com), il 66% delle aziende che sono state sottoposte a controlli sulla privacy dei dati negli ultimi tre anni non ha superato il controllo almeno una volta, mentre il 23% tre o più volte.

Il mancato rispetto delle normative sulla privacy dei dati può portare a multe, danni alla reputazione, perdita di affari e altre conseguenze per le organizzazioni. Per esempio, Amazon ha ricevuto una multa di 88 milioni di dollari per aver violato il GDPR nel 2021 (link esterno a ibm.com).

Gli hacker rubano le PII per molte ragioni: per commettere un furto di identità, per ricattare o per venderle sul mercato nero, dove possono recuperare fino a 1 USD per numero di previdenza sociale e 2.000 USD per un numero di passaporto (link esterno a ibm.com). 

Gli hacker possono anche prendere di mira le PII come parte di un attacco più ampio: possono tenerle in ostaggio utilizzando ransomware o rubare PII per impossessarsi degli account e-mail dei dirigenti da utilizzare in attacchi di spear phishing e truffe di compromissione della posta elettronica aziendale (BEC).

I criminali informatici spesso utilizzano attacchi di ingegneria sociale per indurre le vittime ignare a consegnare volontariamente le proprie PII, ma possono anche acquistarle sul dark web o ottenerne l'accesso nell'ambito di una più ampia violazione dei dati. Le PII possono essere rubate fisicamente frugando nella spazzatura o spiando le persone mentre usano il computer.

I malintenzionati possono anche monitorare gli account dei social media di un bersaglio, dove molte persone condividono inconsapevolmente PII non sensibili ogni giorno. Con il tempo, un utente malintenzionato può raccogliere informazioni sufficienti per impersonare una vittima o entrare nei suoi account.

Per le organizzazioni, proteggere le PII può essere complicato. La diffusione del cloud computing e dei servizi SaaS ha fatto sì che le PII possano essere memorizzate ed elaborate in più sedi anziché in un'unica rete centralizzata.

Secondo un report di ESG (link esterno a ibm.com), la quantità di dati sensibili memorizzati in cloud pubblici dovrebbe raddoppiare entro la fine del 2024 e oltre la metà delle organizzazioni ritiene che tali dati non siano sufficientemente sicuri.

Per salvaguardare le PII, le organizzazioni in genere creano framework per la privacy dei dati. Questi framework possono assumere forme diverse a seconda dell'organizzazione, delle PII raccolte e delle normative sulla privacy dei dati che occorre rispettare. Ad esempio, il National Institute of Standards and Technology (NIST) fornisce questo framework di esempio (link esterno a ibm.com):

1. identificare tutte le informazioni personali nei sistemi dell'organizzazione;

2. ridurre al minimo la raccolta e l'utilizzo delle PII e smaltire regolarmente le PII non più necessarie;

3. categorizzare le PII in base al livello di sensibilità;

4. impiegare controlli di sicurezza dei dati; esempi di controlli possono includere:

• crittografia: la crittografia delle PII in transito, a riposo e in uso tramite crittografia omomorfica o confidential computing può aiutare a mantenere le PII sicure e conformi, indipendentemente dalla posizione in cui sono memorizzate o gestite;
  
  
• gestione delle identità e degli accessi (IAM): l'autenticazione a due fattori o a più fattori può mettere più barriere tra gli hacker e i dati sensibili; allo stesso modo, l'applicazione del principio del privilegio minimo attraverso l'architettura Zero Trust e i controlli degli accessi basati sui ruoli (RBAC) può limitare la quantità di PII a cui gli hacker possono accedere in caso di violazione della rete;
  
  
• formazione: i dipendenti imparano a gestire e smaltire correttamente le PII; i dipendenti imparano anche a proteggere le proprie PII; questo tipo di formazione riguarda aree come l'anti-phishing, l'ingegneria sociale e la sensibilizzazione sui social media;
  
  
• anonimizzazione: l'anonimato dei dati è il processo di rimozione delle caratteristiche identificative dei dati sensibili; le tecniche di anonimizzazione più comuni includono la rimozione degli identificatori dai dati, l'aggregazione dei dati o l'aggiunta strategica di rumore ai dati;
  
  
• Strumenti di cybersecurity: gli strumenti di prevenzione della perdita di dati (DLP) possono aiutare a tracciare i dati mentre si spostano nella rete, facilitando il rilevamento di fughe e violazioni. Anche altre soluzioni di cybersecurity che offrono visualizzazioni di alto livello dell'attività sulla rete, come gli strumenti di rilevamento e risposta estesi (XDR), possono aiutare a tracciare l'uso e l'abuso delle PII.

5. elaborare un piano di risposta agli incidenti per perdite e violazioni delle PII.

Vale la pena notare che il NIST e altri esperti di privacy dei dati spesso consigliano di applicare controlli diversi a diversi set di dati in base alla sensibilità dei dati. L’utilizzo di controlli rigorosi per i dati non sensibili può essere complicato e non economicamente vantaggioso.