Da alcuni anni, il tema delle fake identities, le finte identità su internet, è spesso dibattuto ed associato ad intenti criminosi o terroristici. Spesso è così, ma è opportuno ricordare che, seppur con conseguenze meno disastrose, l’invenzione di profili verosimili – ma non very – ha avuto lo stesso tipo di genesi e di sorte dell’atomica: creata per facilitare la vita moderna, è diventata un’arma potenzialmente letale ed usata per creare caos e terrore.
Anche se molti ne discutono ormai da anni, ossia dai tempi dell’avvento del social network Second Life, in pochi sanno realmente come venga generata una falsa identità dal punto di vista informatico: in breve, si prendono e accoppiano nominativi e località reali presi in maniera random da archivi digitali a libero accesso o acquistati e si associano ad altre informazioni che possono essere più o meno verosimili, ma che abbiano una sintassi corretta, ossia che possano essere riconosciuti come validi nei loro formati dagli applicativi atti a riscontrarli (ad esempio, la data di nascita in formatto gg/mm/aa, oppure un finto IBAN fatto con una adeguata alternanza alfanumerica di 27 cifre).
Prima dell’avvento dell’era social, le finte identità già esistevano, ma erano principalmente divise in tre categorie: quelle utilizzate per scopi “leciti e non“ di intelligence, quelle utilizzate per intenti criminosi e quelle inventate per giochi di ruolo e simulazioni. Ad esse si aggiungeva la categoria degli pseudonimi, che però esauriva la propria funzione nell’area marketing del settore merceologico di utilizzo (cinema, teatro, musica, letteratura, arti varie).
Second Life, invece, è un MUVE (Multi-User Virtual Environment, ossia Mondo Virtuale Elettronico Multi-Utente) creato nel 2003 dalla casa software Linden Lab di Phil Rosdale. Ciò che fin dall’antichità era considerato emozionante ed intrigante, dal 2003 l’avere una seconda identità è diventato un trend globale, molto più realistico di quello già in voga negli anni novanta, soprattutto tra adolescenti o determinate categorie di professionisti, con i già citati giochi di ruolo ed i primi videogame in rete. In questo mondo è possibile stringere amicizie, compiere azioni, conoscere persone e perfino fare vere e proprie transazioni, queste ultime eseguite grazie ad una delle prime monete virtuali, il Linden Dollar (L$), grazie al quale si possono comprare immobili, territori, programmi di istruzione universitaria e così via. Dal 2008 è possibile anche scambiarsi messaggi vocali, come accade anche in svariati social networks della vita “reale”. In questo metamondo, docenti di prestigiose università quali Harvard e Oxford effettuavano simulazioni e realizzavano progetti didattici. Nel 2008, si arrivò, a livello planetario, ad usare il mondo virtuale come ambiente per la promozione politica, tanto che molti personaggi con cariche istituzionali crearono appositi profili: al tempo, fece notizia il caso dell’On. Antonio Di Pietro, allora Ministro delle Infrastrutture, che comprò un’isola in “Second Life” e vi piantò la bandiera del proprio partito, l'”Italia dei Valori”, con l’intento di creare anche una conferenza dei servizi virtuale, progetto successivamente abbandonato.
Tuttavia, questa nuova realtà “o seconda vita“ non era sufficiente per molti utenti: dai politici ai ragazzini appassionati di videogiochi, dai giocatori compulsivi ai sociopatici, una seconda vita totalmente virtuale non era ancora abbastanza. Si cercava di più: non semplicemente essere se stessi in versione elettronica (come aveva fatto il Ministro Di Pietro), o essere una cyber-persona con un semplice nome falso, titolo falso e conto corrente falso, ma avere una seconda identità verosimile nella vita reale.
Contemporaneamente al sorgere di suddette nuove esigenze, la “politica in rete” ritornò in voga qualche anno dopo, con il potenziamento di altri tipi di social media, nati per comunicare come Facebook e Twitter, o per scopi statistici come Instagram. In principio, gli attori politici e alcuni gruppi di pressione entrarono in rete semplicemente portando il mondo reale (fatto di verità e menzogne) in ambiente virtuale. Successivamente, anche questi attori desiderarono di più. Così nacquero i fake identity generators. Questi software e applicativi funzionano ed operano in una maniera piuttosto semplice e legale, ma i loro prodotti non sempre sono utilizzati in modo lecito.
Tecnicamente, i fake identity generators si avvalgono di banche dati comprate da svariati soggetti (provider gratuiti di posta elettronica, socialnetworks, società che gestiscono motori di ricerca, ecc.) ed accoppiano informazioni. In breve, quando questi generators devono creare una nuova identità, “pescano” a caso un nome ed un cognome da una delle loro banche dati e li accoppiano per creare l’identità, a proposito della quale l’utente può aver dato più o meno informazioni: il richiedente, infatti, può esprimere o meno preferenze su genere, età, etnia e nazionalità della cyber-persona così creata. A questi primi dati, accoppiati e resi verosimili grazie ad un programma cifrato a chiave pseudocasuale, ne vengono affiancati altri “giuridicamente irreali ma sintatticamente corretti“ come numero di telefono, e-mail, accountsocial, numero di carta di credito o di polizza assicurativa / previdenza sociale.
Il concetto di “sintatticamente corretto/reale” è il punto focale: questi software e applicativi creano dati che non sono anagraficamente o giuridicamente veri, ma che risultano corretti alla scansione di lettori e software automatici che censiscono gli utenti di alcuni servizi virtuali. Ed è qui che entra in gioco lo scopo originario per cui i fake identity generator sono stati creati: proteggere la propria identità in rete; dopo lo scandalo della clonazione di molte identità e carte di credito di giocatori on-line che utilizzavano una nota console di videogiochi, molti utenti hanno voluto tutelarsi. Lo stesso può essere detto per coloro che desiderano accedere ai trial di software aziendali, coperti da brevetto, che richiedono una complessa ed accurata registrazione per poter fruire della copia di prova per 10, 15, 30 giorni. Spesso queste registrazioni richiedevano il numero di carta di credito, i cui dati, però, rischiavano di essere clonati da entità terze intromesse nella fase di verifica, che cavalcavano la vulnerabilità di uno dei due soggetti in contatti, di solito il possibile cliente. Su questa scia, visto il successo dei generator, anche scrittori e docenti hanno cominciato ad utilizzarli, ma a questo punto sono emersi alcuni interrogativi: anche se le identità sono palesemente false, è possibile che esse siano usate per scopi criminosi o terroristici? La risposta, purtroppo, è affermativa: se nessuno può usare i falsi numeri telefonici e le false carte di credito, poiché riconoscibili ad una opportuna e più specifica verifica (ad esempio il no-show degli hotel, ben più accurato nella verifica, non solo sintattica, della validità delle carte di credito usate), tuttavia, molte false identità sono state usate da terroristi e criminali comuni per adescare ed assoldare giovani adepti o vittime proprio tramite giochi on-line e socialmedia, così come molti insider trader hanno sfruttato false identità per vendere segreti e brevetti aziendali, solo per citare alcuni esempi.
In conclusione, come già spiegato per altre applicazioni similari, ad esempio per quelle che permettono lo spoofing telefonico nei Paesi dove consentito (in quelli dell’Unione Europea la pratica è vietata), possiamo dire che il punto è sempre il medesimo: le app e i software sono legali e non è conveniente vietarli, poiché il provider dei medesimi dichiara apertamente costi e benefici dell’uso “debito e indebito“ di suddetti strumenti e sottoscrive altresì il proprio obbligo a collaborare con le autorità qualora richiesto. Ancora una volta, dunque, la responsabilità di un uso sconsiderato ricade in buona parte sugli utenti, mentre l’onere di applicare idonee contromisure ricadrà su organi inquirenti e Forze di Pubblica Sicurezza, cosa che però porterà ad un intervento concreto solo dove esista il sospetto di un illecito.
