Con il termine PII (Personally Identifiable Information - informazioni di identificazione personale) vengono indicate tutte le informazioni connesse a un individuo specifico che possono essere utilizzate per scoprire la sua identità, come il numero di previdenza sociale, il nome completo o l'indirizzo email.

Poiché le persone fanno sempre più affidamento sulla tecnologia dell'informazione nel loro lavoro e nella vita privata, la quantità di informazioni personali condivise con le organizzazioni è aumentata. Ad esempio, le aziende raccolgono i dati personali dei clienti per comprendere i loro mercati e i consumatori forniscono prontamente i loro numeri di telefono e indirizzi di casa per iscriversi ai servizi e fare acquisti online. 

La condivisione delle informazioni personali può avere i suoi vantaggi, in quanto consente alle aziende di adattare prodotti e servizi in base ai desideri e alle esigenze dei propri clienti, ad esempio offrendo risultati di ricerca più pertinenti nelle app di navigazione. Tuttavia, la crescente quantità di PII accumulata dalle organizzazioni attira sempre più l'attenzione dei criminali informatici. Gli hacker rubano le PII per commettere furti di identità, venderle sul mercato nero o tenerle prigioniere tramite ransomware. Secondo il report IBM Cost of a Data Breach 2022, l'83% delle aziende ha subito più di una violazione dei dati, con un costo medio di 4,35 milioni di dollari per ciascuna violazione. Gli individui e i professionisti della sicurezza informatica devono navigare in un complesso panorama informatico e legale per mantenere la privacy dei dati di fronte a questi attacchi. 

Le PII sono di due tipi: identificativi diretti e identificativi indiretti. Gli identificativi diretti sono univoci per una persona e comprendono, ad esempio, il numero del passaporto o della patente di guida. Un singolo identificativo diretto è in genere sufficiente per determinare l'identità di una persona.

Gli identificativi indiretti non sono univoci. Comprendono dettagli personali più generali, come ad esempio la razza e il luogo di nascita. Per identificare una persona non è possibile utilizzare un singolo identificativo indiretto, ma una combinazione di essi. Ad esempio, l'87% dei cittadini statunitensi (PDF, 303 KB)  (link esterno a ibm.com) potrebbe essere identificato in base a nient'altro che il sesso, il codice postale e la data di nascita.

Non tutti i dati personali sono considerati PII. Ad esempio, i dati sulle abitudini di streaming di una persona non sono PII, perché sarebbe difficile, se non impossibile, stabilire l'identità di una persona basandosi esclusivamente su ciò che ha guardato su Netflix. Le PII si riferiscono solo a informazioni che indicano una persona particolare, come ad esempio le informazioni che si possono fornire per verificare la propria identità quando si contatta la propria banca.

Tra le PII, alcune informazioni sono più sensibili di altre. Le PII sensibili sono informazioni sensibili che identificano direttamente un individuo e che potrebbero causare danni significativi in caso di divulgazione o furto. Il numero di previdenza sociale (social security number, SSN) è un buon esempio di informazioni personali sensibili. Poiché molte agenzie governative e istituzioni finanziarie utilizzano gli SSN per verificare l'identità delle persone, un criminale che rubi un SSN potrebbe facilmente accedere ai documenti fiscali o ai conti bancari della vittima. Altri esempi di PII sensibili comprendono:

• Numeri di identificazione univoci, come numeri di patente di guida, numeri di passaporto e altri numeri di identificazione rilasciati dal governo
• Dati biometrici, come impronte digitali e scansioni della retina
• Informazioni finanziarie, inclusi i numeri dei conti bancari e i numeri di carta di credito
• Cartelle cliniche

Le PII sensibili generalmente non sono disponibili al pubblico e la maggior parte delle leggi esistenti sulla privacy dei dati richiede alle organizzazioni di proteggerle mediante crittografia, controllando chi vi accede oppure adottando altre misure di sicurezza informatica.

Le PII non sensibili sono dati personali che, presi singolarmente, non causerebbero danni significativi a una persona se divulgati o rubati. Possono essere o meno univoci per una persona. Ad esempio, un handle di social media sarebbe considerato come PII non sensibili: potrebbe identificare una persona, ma un utente malintenzionato non potrebbe commettere un furto di identità se fosse in possesso del solo nome di un account di social media. Altri esempi di PII non sensibili comprendono:

• Il nome completo di una persona
• Cognome della mamma da nubile
• Numero di telefono
• Indirizzo IP
• Luogo di nascita
• Data di nascita
• Dettagli geografici (codice postale, città, stato, paese, ecc.)
• Informazioni sull'occupazione
• Indirizzo email o indirizzo postale
• Razza o etnia
• Religione

Le PII non sensibili spesso sono disponibili al pubblico — ad esempio, i numeri di telefono possono essere riportati in un elenco telefonico e gli indirizzi possono essere elencati nei registri delle proprietà pubbliche di un governo locale. Alcune normative sulla privacy dei dati non richiedono la protezione di PII non sensibili, ma molte aziende adottano comunque misure di salvaguardia. Questo perché i criminali potrebbero causare problemi assemblando più parti di PII non sensibili.

Ad esempio, un hacker potrebbe accedere all'app del conto bancario di qualcuno utilizzandone il numero di telefono, l'indirizzo email e il nome da nubile della madre. L'email fornisce un nome utente, lo spoofing del numero di telefono consente di ricevere un codice di verifica e il nome da nubile della madre rappresenta una risposta alla domanda di sicurezza.

È importante notare che il fatto che le informazioni vengano considerate come PII sensibili o non sensibili dipende fortemente dal contesto. Un nome completo da solo potrebbe non essere sensibile, ma un elenco di persone visitate da un determinato medico sarebbe sensibile. Allo stesso modo, il numero di telefono una persona può essere disponibile al pubblico, ma un database di numeri di telefono utilizzato per l'autenticazione a due fattori su un sito di social media sarebbe una PII sensibile.

Quando le informazioni sensibili diventano PII?

Il contesto determina anche i dati vengono considerati PII. Ad esempio, i dati di geolocalizzazione anonimi aggregati sono spesso considerati dati personali generici perché non è possibile isolare l'identità di ogni singolo utente. Tuttavia, i singoli record di dati di geolocalizzazione anonimi possono diventare PII, come dimostrato da una recente causa della Federal Trade Commission (FTC)  (link esterno a ibm.com). La FTC sostiene che il broker di dati Kochava vendeva dati di geolocalizzazione considerati come PII perché "i feed di dati personalizzati dell'azienda consentono agli acquirenti di identificare e tracciare gli utenti di dispositivi mobili specifici. Ad esempio, la posizione di un dispositivo mobile durante la notte corrisponde probabilmente all'indirizzo di casa dell'utente e potrebbe essere utilizzata insieme ai registri delle proprietà per scoprirne l'identità."

I progressi tecnologici stanno anche semplificando l'identificazione delle persone con un minor numero di informazioni, abbassando potenzialmente la soglia che determina se le informazioni vengono considerate PII in generale. Ad esempio, alcuni ricercatori di IBM e dell'Università del Maryland hanno ideato un algoritmo (PDF, 959 KB)  (link esterno a ibm.com) che consente di identificare individui specifici combinando dati anonimi sulla posizione con informazioni presenti sui siti di social network e disponibili al pubblico.

Norme sulla privacy internazionali

Secondo McKinsey  (link esterno a ibm.com), il 75 percento dei paesi ha implementato leggi sulla privacy dei dati che disciplinano la raccolta, la conservazione e l'utilizzo delle PII. Il rispetto di queste normative può essere difficile perché diverse giurisdizioni possono avere regole diverse o addirittura contraddittorie. Anche l'aumento del cloud computing e della forza lavoro remota rappresenta una sfida. In questi ambienti, i dati possono essere raccolti in un luogo, archiviati in un altro ed elaborati in un terzo. Durante ogni fase, ai dati possono essere applicate normative diverse, in base alla posizione geografica.

A complicare ulteriormente le cose, le diverse normative stabiliscono standard differenti in relazione ai diversi tipi di dati da proteggere. Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea richiede alle organizzazioni di proteggere tutti i dati personali, definito  (link esterno a ibm.com) come "qualsiasi informazione relativa a una persona fisica identificata o identificabile." Ai sensi del GDPR, le organizzazioni devono proteggere le PII sensibili e non sensibili, ma anche dati che potrebbero non essere considerati sensibili in altri contesti, come le opinioni politiche, le affiliazioni organizzative e le descrizioni delle caratteristiche fisiche. 

Norme sulla privacy degli Stati Uniti

L'Office of Management and Budget (OMB) del governo degli Stati Uniti definisce in modo più restrittivo le PII (PDF, 227KB)  (link esterno a ibm.com) come

[I]nformazioni che possono essere utilizzate per distinguere o risalire all'identità di un individuo, come il nome, il numero di previdenza sociale, i dati biometrici, ecc. da sole o in combinazione con altre informazioni personali o identificative collegate o collegabili a un individuo specifico, come data e luogo di nascita, cognome da nubile della madre, ecc.

Come sostiene l'analista di Gartner Bart Willemsen  (link esterno a ibm.com), "Negli Stati Uniti... le PII si riferiscono storicamente a due o tre dozzine di identificativi, come nome, indirizzo, SSN, patente di guida o numero di carta di credito."

Sebbene negli Stati Uniti non esistano leggi sulla privacy dei dati a livello federale, le agenzie governative sono soggette al Privacy Act del 1974, che regola la raccolta, l'utilizzo e la condivisione delle PII da parte delle agenzie federali. Alcuni Stai degli Stati Uniti hanno le proprie normative sulla privacy dei dati, in particolare la California. Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) garantiscono ai consumatori alcuni diritti sulle modalità di raccolta, archiviazione e utilizzo delle loro PII da parte delle organizzazioni.

Norme sulla privacy specifiche del settore

Alcuni settori hanno le proprie norme sulla privacy dei dati. Negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA) regola il modo in cui le organizzazioni raccolgono e proteggono le cartelle cliniche e le PII dei pazienti. Allo stesso modo, il Payment Card Industry Data Security Standard (PCI DSS) è uno standard globale del settore finanziario che disciplina il modo in cui le società di carte di credito, gli esercenti e i processori di pagamento gestiscono le informazioni sensibili dei titolari di carta.

La ricerca suggerisce che le organizzazioni hanno faticato a navigare in questo panorama mutevole di leggi e standard di settore. Secondo l'ESG  (link esterno a ibm.com), il 66 percento delle aziende sottoposte a verifiche sulla privacy dei dati negli ultimi tre anni ha fallito almeno una volta, e il 23 percento ha fallito tre o più volte. Il mancato rispetto delle normative sulla privacy dei dati può causare multe, danni alla reputazione, perdita di affari e altre conseguenze per le organizzazioni. Ad esempio, Amazon è stata multata di  888 milioni di dollari per una violazione del GDPR nel 2021  (link esterno a ibm.com).

Gli hacker rubano le PII per molti motivi: per furto d'identità, per ricatti o per vendere le informazioni al mercato nero, dove possono fruttare fino a 1 dollaro per numero di previdenza sociale e 2.000 dollari per numero di passaporto  (link esterno a ibm.com). Gli hacker possono anche prendere di mira le PII nell'ambito di un attacco di più ampie proporzioni: possono tenerle in ostaggio con un ransomware o rubarle per impossessarsi delle caselle di posta elettronica dei dirigenti da utilizzare nelle truffe di spear phishing e BEC (business email compromise).

I criminali informatici spesso utilizzano attacchi di ingegneria sociale per ingannare vittime ignare e convincerle a consegnare volontariamente le PII, ma possono anche acquistarle sul dark web oppure ottenere l'accesso nell'ambito di una più vasta violazione dei dati. Le PII possono essere rubate fisicamente effettuando una ricerca nel cestino di una persona oppure spiando le persone mentre utilizzano un computer. Gli attori malintenzionati possono anche monitorare gli account dei social media di un obiettivo, dove molte persone condividono inconsapevolmente PII non sensibili ogni giorno. Nel tempo, un aggressore può accumulare informazioni sufficienti per impersonare una vittima o accedere ai relativi account.

Per le organizzazioni, proteggere le PII può essere complicato. Con la crescita del cloud computing e dei servizi SaaS, le PII possono essere archiviate ed elaborate in più ubicazioni, invece che in un'unica rete centralizzata. Secondo un report di ESG  (link esterno a ibm.com), si prevede che la quantità di dati sensibili archiviati nei cloud pubblici raddoppierà entro il 2024 e più della metà delle organizzazioni ritiene che questi dati non siano sufficientemente protetti.

Per salvaguardare le PII, generalmente le organizzazioni creano framework per la privacy dei dati. Questi framework possono assumere forme differenti in base all'organizzazione, alle PII raccolte ed alle normative sulla privacy dei dati da rispettare. Ad esempio, il National Institute of Standards and Technology (NIST) fornisce il seguente framework di esempio  (link esterno a ibm.com):

1. Identificare tutte le PII nei sistemi dell'organizzazione.

2. Ridurre al minimo la raccolta e l'utilizzo di PII e smaltire regolarmente le PII non più necessarie.

3. Raggruppare le PII in categorie in base al livello di riservatezza.

4. Applicare controlli sulla sicurezza dei dati. I controlli di esempio possono comprendere:

• Crittografia: La crittografia delle PII in transito, a riposo ed in uso tramite la crittografia omomorfica o il calcolo confidenziale può aiutare a mantenere le PII sicure e conformi indipendentemente da dove sono archiviate o gestite.
  
  
• Gestione di Identità e accessi (IAM): L'autenticazione a due o più fattori può creare ulteriori barriere tra gli hacker e i dati sensibili. Allo stesso modo, l'applicazione del principio del minimo privilegio attraverso un'architettura zero-trust e controlli di accesso basati sui ruoli (RBAC) possono limitare la quantità di PII a cui gli hacker possono accedere in caso di violazione della rete.
  
  
• Formazione: Può comprendere sia la formazione dei dipendenti sulla corretta gestione ed eliminazione delle PII sia la formazione dei dipendenti sulla protezione delle proprie PII (ad esempio, formazione anti-phishing, formazione sull'ingegneria sociale, formazione sulla consapevolezza dei social media).
  
  
• Anonimizzazione: L' anonimizzazione dei dati è il processo di rimozione delle caratteristiche identificative dei dati riservati. Le tecniche di anonimizzazione comuni comprendono l'eliminazione degli identificativi dai dati, l'aggregazione dei dati o l'aggiunta strategica di rumore ai dati.
  
  
• Strumenti per la sicurezza informatica: Gli strumenti di prevenzione della perdita di dati (DLP) possono aiutare a tenere traccia dei dati mentre si spostano attraverso la rete, rendendo più semplice la rilevazione di perdite e violazioni. Anche altre soluzioni per la sicurezza informatica che offrono una visione di alto livello delle attività sulla rete — come gli strumenti di rilevazione e risposta estesa (XDR) — possono aiutare a tracciare l'utilizzo corretto o non corretto delle PII.

5. Redigere un piano di risposta agli incidenti per le fughe e le violazioni delle PII.

È opportuno notare che il NIST e altri esperti di privacy dei dati spesso consigliano di applicare controlli differenti a set di dati differenti, in base alla sensibilità dei dati. L'utilizzo di controlli rigorosi per i dati non sensibili può essere difficile e non conveniente.