Doxing: da pratica hacker a minaccia globale

La parola Doxing (o Doxxing) è recentemente tornata alla ribalta con il ban dell’account Twitter @ElonJet, voluto da Elon Musk.
Tuttavia, il fenomeno del doxing è ben noto da tempo agli esperti di privacy e sicurezza informatica.
Questo articolo offre una panoramica completa su cosa sia il doxing, le sue implicazioni legali, e come proteggersi da questa pratica dannosa.

Definizione e Origine
Doxing e GDPR: diffusione dei dati personali
Profili penalistici legati al doxing
Doxing: come tutelarsi

Doxing: definizione e origine

Il termine Doxing deriva dal gergo informatico degli anni ’90, quando i membri di comunità online rivali raccoglievano e diffondevano documenti contenenti informazioni personali per svelare l’identità di un avversario (i cosiddetti dropping docs). Da allora, il termine si è esteso al contesto più ampio della sicurezza informatica e della privacy online.

Definizione di doxing

Il doxing si riferisce alla pratica di raccogliere e pubblicare online informazioni personali sensibili di un individuo senza il suo consenso.
L’obiettivo è spesso quello di umiliare, minacciare o intimidire la vittima.
Le informazioni possono includere:

Nome reale
Indirizzo di residenza
Indirizzo IP
Email e numero di telefono
Codice fiscale o Social Security Number
Informazioni lavorative
Dettagli finanziari
Dettagli imbarazzanti o compromettenti

Origini del Doxing

Originariamente, il doxing era una pratica limitata alla cultura malevola, dove l’anonimato era considerato sacro.
Gli attacchi di doxing venivano usati per svelare l’identità di membri di cybergang, spesso con intenti di vendetta o ritorsione.
Nel corso del tempo, il doxing è diventato una minaccia globale in grado di colpire chiunque, dai privati cittadini ai personaggi pubblici.

Doxing e GDPR: la questione legata alla diffusione dei dati personali

Il GDPR (General Data Protection Regulation) disciplina la raccolta, l’uso e la diffusione dei dati personali nell’Unione Europea.
Secondo l’art. 4 n. 2 del GDPR, la diffusione dei dati personali è considerata una forma di trattamento che deve rispettare specifiche condizioni di liceità.

Problematiche legate alla liceità

La liceità del trattamento dei dati richiede una base giuridica legittima e una finalità conforme ai principi del GDPR, tra cui il consenso dell’interessato, la necessità per l’esecuzione di un contratto o la protezione di interessi vitali. Nel contesto del doxing, tali condizioni non sono rispettate, poiché il fine della diffusione è generalmente malevolo (umiliazione, intimidazione, minaccia).

Implicazioni del GDPR

La violazione delle norme del GDPR comporta severe sanzioni. Quando le informazioni personali vengono diffuse senza il consenso dell’interessato e senza una base giuridica valida, tali dati diventano inutilizzabili e possono essere soggetti a rimozione forzata e altre azioni legali ai sensi dell’art. 2-Decies del Codice della Privacy.

Profili penalistici legati al Doxing

Il doxing può integrare diverse fattispecie di reato ai sensi della legislazione italiana e internazionale.

Illecito trattamento di dati personali

Secondo l’art. 167 del Codice della Privacy, chiunque tratti illecitamente dati personali per trarre profitto o arrecare danno all’interessato può essere punito con la reclusione da sei mesi a tre anni. Questo reato richiede il dolo specifico, cioè l’intenzione di trarre un vantaggio o arrecare un danno.

Minaccia

La diffusione di dati personali con l’intento di minacciare la vittima può configurare il reato di minaccia (art. 612 c.p.).
Questo si verifica quando il doxer prospetta un danno ingiusto all’interessato.

Estorsione

Se la minaccia di diffusione di dati personali viene utilizzata per ottenere un vantaggio economico, può configurare il reato di estorsione (art. 629 c.p.).
cyberbullismo e altri reati

Le informazioni diffuse possono essere utilizzate per creare falsi account, per attività connesse al cyberbullismo o per altre attività criminali.
Inoltre, il doxer può essere soggetto a sanzioni amministrative da parte dell’Autorità Garante per la protezione dei dati personali.

Doxing: come tutelarsi

La protezione contro il doxing richiede un mix di misure preventive e azioni proattive.

Misure Preventive

Per proteggersi dal doxing, è fondamentale adottare una serie di misure preventive che riducano la possibilità che le proprie informazioni personali vengano raccolte e diffuse online.

In primo luogo, è importante limitare la condivisione di informazioni personali sui social media. Evitare di pubblicare dettagli troppo specifici sulla propria vita e mantenere i profili privati può ridurre significativamente il rischio di essere bersaglio di doxing.

Un altro accorgimento utile è l’utilizzo di indirizzo email secondari. Quando ci si registra su servizi o siti web di cui non si è certi dell’affidabilità, è consigliabile usare un indirizzo email diverso da quello principale. Questo può aiutare a contenere eventuali danni in caso di violazione dei dati.

L’uso di VPN (Virtual Private Network) è un ulteriore strumento efficace per proteggere la propria privacy online. Una VPN maschera l’indirizzo IP dell’utente, rendendo più difficile per i doxer tracciare la posizione fisica della persona.

Implementare l’autenticazione a due fattori (2FA) è un’altra misura di sicurezza importante. La 2FA aggiunge un livello di protezione agli account online, richiedendo non solo la password, ma anche un secondo elemento di verifica, come un codice inviato al telefono. Questo rende molto più difficile per i malintenzionati accedere agli account personali.

Infine, è cruciale utilizzare password complesse e diverse per ogni account. Password robuste, che combinano lettere maiuscole e minuscole, numeri e simboli, sono molto più difficili da violare. Utilizzare un password manager può facilitare la gestione di più password complesse, migliorando ulteriormente la sicurezza complessiva.

Misure di Emergenza

In caso di doxing, è cruciale agire prontamente per limitare i danni e proteggere le proprie informazioni personali.
Ecco alcune misure di emergenza da adottare.

Per prima cosa, è fondamentale segnalare immediatamente alle piattaforme online la presenza di informazioni personali non autorizzate. Molti siti web offrono strumenti per la segnalazione di contenuti inappropriati o dannosi. Utilizzare questi strumenti può aiutare a rimuovere rapidamente i dati esposti.

Se la segnalazione alle piattaforme non produce risultati, è possibile contattare il Garante per la Protezione dei Dati Personali.
Presentare una segnalazione al Garante può avviare un’indagine ufficiale e portare alla rimozione delle informazioni personali in conformità con il GDPR.

Persino documentare accuratamente le violazioni è un passaggio essenziale.
Raccogliere screenshot e URL delle pagine web in cui sono pubblicate le informazioni personali fornirà prove concrete che possono essere utilizzate nelle indagini e nelle azioni legali.

In caso di diffusione di informazioni finanziarie, è importante proteggere immediatamente i propri conti bancari. Informare le banche e le società di carte di credito della violazione permette di prendere misure preventive, come bloccare carte e conti, per evitare furti di identità e frodi.

Il doxing è una pratica pericolosa che può avere gravi conseguenze per le vittime, dalla perdita della privacy all’intimidazione e alle minacce fisiche.
È essenziale essere consapevoli dei rischi e adottare misure preventive per proteggere le proprie informazioni personali. In caso di attacco, è importante agire rapidamente per limitare i danni e cercare il supporto delle autorità competenti. La conoscenza e la consapevolezza sono le prime linee di difesa contro questa crescente minaccia informatica.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.