Sono attività comuni: un turista compra un biglietto su internet, un cliente apre un conto corrente in banca, un consumatore usa la tessera per la spesa. Ma richiedono di comunicare dati personali (come il nome o il numero di telefono), custoditi poi in archivi digitali dalle organizzazioni che li ricevono. È ormai una quantità enorme di informazioni, in rapida crescita. E le leggi in materia potrebbero non essere adeguate: è l’opinione, rivelata dai sondaggi Eurobarometro, di metà dei “guardiani della privacy” nella Ue, persone incaricate di proteggere i dati personali in ogni azienda e istituzione (qui il rapporto). Rappresentano, quindi, un termometro sensibile per il rispetto della privacy. L’Italia è la seconda in Europa per le richieste di accesso a queste notizie: ogni anno infatti il 12% dei “sorveglianti” riceve più di cinquanta domande; invece, la media Ue è inferiore a dieci interrogazioni.
Non è una questione per soli addetti ai lavori: sei europei su dieci si dichiarano preoccupati dalla gestione delle informazioni personali (qui il sondaggio Eurobarometro). E si arriva a otto su dieci se i dati sono trasmessi attraverso internet. In particolare le incertezze degli italiani sulla tutela della privacy si rivolgono verso le banche: appena il 47% confida in istituti di credito e organizzazioni finanziarie, invece è in crescita la fiducia verso le organizzazioni non profit.

A far salire il livello di allarme su internet è l’esplosione del fenomeno “trojan”: software che entrano nei computer e possono anche “rubare” informazioni personali all’insaputa degli utenti. Sono “ladri d’identità” non sempre facili da trovare: per la Microsoft quelli scoperti negli ultimi sei mesi del 2007 sono aumentati del 300% dall’inizio dell’anno (qui il rapporto). Ma è un dato che non tiene conto di quelli ancora attivi in rete. Di recente il Consiglio d’Europa ha adottato nuove misure nell’ambito della Convenzione europea sul cybercrimine: sarà rafforzato il pattugliamento online per contrastare l’assalto dei pirati, facilitando lo scambio di conoscenze tra gli investigatori telematici e gli internet service provider.

Lo chiamano “uomo nel browser”, ma forse sarebbe più opportuno definirlo “la talpa del browser”, giacché il suo compito è proprio quello di entrare nel pc senza farsi notare, spiare e trasmettere le informazioni al suo losco “principale”. Man in the browser è solo l’ultima delle tante minacce informatiche di nuova generazione che hanno come obiettivo non più l’infezione fine a se stessa dei pc, bensì il furto di identità e, con esso, quello di denaro dai conti correnti e dai servizi di pagamento online.
Tecnicamente siamo di fronte a uno dei tanti programmini invisibili comunemente detti Trojan che si installano sul pc nascondendo nella propria “pancia” un codice maligno. Nello specifico, quello del Man in the browser è in grado di interagire con i più comuni browser in commercio, come Explorer e Firefox, generando una piccola finestra che si sovrappone perfettamente sui campi chiave (login e password) dei siti o dei servizi da colpire, come ad esempio quelli di home banking; il tutto, senza che l’utente se ne possa accorgere. A differenza del phishing, che adesca la vittima con un fac-simile del servizio utilizzato sul web, Man in the browser agisce infatti sul sito reale intervenendo solo durante la fase di login. Una volta rubate le informazioni, per il cyber-criminale sarà un gioco da ragazzi riutilizzarle o rivenderle al miglior offerente attraverso i siti specializzati usati dai truffatori digitali per la compravendita di dati personali
Ma esiste un metodo per debellare questa nuova forma di intrusione informatica? Per F-secure, società che opera nel campo delle soluzioni per la sicurezza informatica, siamo di fronte a una tipologia di attacco che non è vulnerabile attraverso i classici sistemi antivirus; in casi come questi la difesa migliore arriva dall’impiego di prodotti di sicurezza che adottano l’a cosiddetta analisi ”comportamentale”, che siano cioé in grado di identificare comportamenti anomali e sospetti all’interno dei pc. “Si tratta di un tipo di attacco più difficile da prevenire perché la frode si frappone proprio fra l’utente e il meccanismo di sicurezza all’interno del browser”, avverte l’esperto di sicurezza Philipp Guhring che comunque puntualizza: “Impiantare un uomo nel browser richiede un sforzo piuttosto alto sia dal punto di vista tecnologico sia da quello dei costi. Per questo il suo impiego si limita perlopiù ad alcune tipologie di frodi finanziarie”. Almeno per ora.