Cosa sono le informazioni di identificazione personale (PII)?

Che cosa sono le informazioni di identificazione personale?

Le informazioni di identificazione personale (PII) sono tutte le informazioni collegate a un individuo specifico che possono essere utilizzate per scoprirne o sottrarne l'identità, come il numero di previdenza sociale, il nome completo, l'indirizzo e-mail o il numero di telefono.

Poiché le persone si affidano sempre più alle tecnologie informatiche nel lavoro e nella vita privata, la quantità di PII condivise con le organizzazioni è aumentata. Ad esempio, le aziende raccolgono i dati personali dei clienti per capire i loro mercati e i consumatori forniscono prontamente i loro numeri di telefono e indirizzi di casa per iscriversi a servizi e fare acquisti online.

La condivisione delle PII può avere i suoi vantaggi, poiché consente alle aziende di personalizzare prodotti e servizi in base ai desideri e alle esigenze dei propri clienti, ad esempio fornendo risultati di ricerca più pertinenti nelle app di navigazione. Tuttavia, i crescenti archivi di PII raccolti dalle organizzazioni attirano l'attenzione dei criminali informatici.

Gli hacker rubano le informazioni personali per commettere furti di identità, venderle sul mercato nero o chiedere un riscatto tramite ransomware. Secondo il report Cost of a Data Breach 2024 di IBM, il costo medio di una violazione dei dati causata da un attacco ransomware è stato di 5,68 milioni di USD. Le persone e i professionisti della sicurezza delle informazioni devono affrontare un complesso landscape IT e legale per preservare la privacy dei dati a fronte di questi attacchi.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Identificatori diretti e indiretti

Le PII sono disponibili in due tipi: identificatori diretti e identificatori indiretti. Gli identificatori diretti sono univoci e includono, ad esempio, il numero del passaporto o il numero della patente di guida. Un solo identificatore diretto è in genere sufficiente per determinare l'identità di qualcuno.

Gli identificatori indiretti non sono univoci. Includono dati personali più generali, come l'origine etnica e il luogo di nascita. Un singolo identificatore indiretto non può identificare una persona, ma una combinazione di diversi indicatori diretti sì. Ad esempio, l'87% dei cittadini statunitensi potrebbe essere identificato solo in base al sesso, al codice postale e alla data di nascita.

Confronto tra PII sensibili e PII non sensibili

Non tutti i dati personali sono considerati PII. Ad esempio, i dati sulle abitudini di streaming di una persona non sono PII. Infatti sarebbe difficile, se non impossibile, identificare qualcuno esclusivamente in base a ciò che ha guardato su Netflix. Le PII si riferiscono solo a informazioni che possono identificare una persona specifica, come quelle che si forniscono per verificare la propria identità quando si contatta la propria banca.

Tra le PII, alcune informazioni sono più sensibili di altre. Le PII sensibili sono informazioni sensibili che identificano direttamente un individuo e possono causare danni significativi in caso di perdite o furto.

I numeri di previdenza sociale (SSN) sono un ottimo esempio di PII sensibili. Poiché molte agenzie governative e istituzioni finanziarie utilizzano gli SSN per verificare l'identità delle persone, un criminale che ruba un SSN potrebbe facilmente accedere ai registri fiscali o ai conti bancari della vittima. Altri esempi di PII sensibili includono:

  • Numeri di identificazione univoci, come numeri di patente di guida, numeri di passaporto e altri numeri di identificazione rilasciati dal governo.
  • Dati biometrici, come impronte digitali e scansioni della retina.
  • Informazioni finanziarie, inclusi numeri di conti bancari e numeri di carte di credito.
  • Cartelle cliniche.

Le PII sensibili in genere non sono disponibili pubblicamente e la maggior parte delle leggi sulla privacy dei dati impone alle organizzazioni di salvaguardarle tramite crittografia, controllo degli accessi o altre misure di cybersecurity.

Le PII non sensibili sono dati personali che, presi singolarmente, non causerebbero danni significativi a una persona in caso di fuga o furto. Possono essere univoci o meno. Ad esempio, l'handle di un social media è una PII non sensibile: potrebbe identificare qualcuno, ma un malintenzionato non potrebbe commettere un furto di identità se dispone solo del nome di un account di social media. Altri esempi di PII non sensibili includono:

  • nome e cognome di una persona;
  • cognome da nubile della madre;
  • numero di telefono;
  • Indirizzo IP
  • luogo di nascita;
  • data di nascita;
  • dati geografici (codice postale, città, stato, paese, ecc.);
  • informazioni sull'impiego;
  • indirizzo e-mail o indirizzo postale;
  • razza o etnia;
  • religione.

Le PII non sensibili sono spesso disponibili pubblicamente. Ad esempio i numeri di telefono possono essere elencati in una rubrica telefonica e gli indirizzi possono essere inseriti nei registri di proprietà pubblica di un governo locale. Alcune normative sulla privacy dei dati non richiedono la protezione delle PII non sensibili, ma molte aziende mettono comunque in atto misure di salvaguardia. Questo perché i criminali potrebbero comunque causare problemi appropriandosi di diverse PII non sensibili.

Ad esempio, un hacker potrebbe entrare nell'app del conto bancario di qualcuno con il suo numero di telefono, indirizzo e-mail e cognome da nubile della madre: l'e-mail gli fornisce un nome utente, lo spoofing gli consente di ricevere un codice di verifica e il cognome da nubile della madre fornisce la risposta alla domanda di sicurezza.

È importante notare che il fatto che un dato sia considerato PII sensibile o non sensibile dipende in larga misura dal contesto. Un nome completo di per sé può non essere un dato sensibile, ma un elenco di persone che si sono recate presso un certo medico potrebbe esserlo. Allo stesso modo, il numero di telefono di una persona può essere disponibile pubblicamente, ma un database di numeri di telefono utilizzato per l'autenticazione a due fattori su un sito di social media sarebbe una PII sensibile.

Quando le informazioni sensibili diventano PII?

Anche il contesto determina se un dato è considerato una PII. Ad esempio, i dati aggregati di geolocalizzazione anonima vengono spesso considerati dati personali generici, perché non è possibile isolare l'identità di un singolo utente.

Tuttavia, i singoli record di dati di dati di geolocalizzazione anonimi possono diventare PII, come dimostrato da una recente causa legale della Federal Trade Commission (FTC).

La FTC sostiene che il broker di dati Kochava vendeva dati di geolocalizzazione che contavano come PII perché "i feed di dati personalizzati dell'azienda consentono agli acquirenti di identificare e monitorare specifici utenti di dispositivi mobili. Ad esempio, la posizione di un dispositivo mobile durante la notte è probabilmente l'indirizzo di casa dell'utente e potrebbe essere combinata con i registri delle proprietà per scoprire la sua identità."

Anche i progressi della tecnologia rendono più facile identificare le persone con un minor numero di informazioni, abbassando potenzialmente la soglia di ciò che è considerato PII in generale. Ad esempio, i ricercatori di IBM e dell'Università del Maryland hanno sviluppato un algoritmo che identifica individui specifici combinando dati di posizione anonimi con informazioni disponibili al pubblico dai siti di social network.

Leggi sulla privacy dei dati e PII 

Normative internazionali sulla privacy

Secondo McKinsey, il 75% dei paesi ha implementato leggi sulla privacy dei dati che regolano la raccolta, la conservazione e l'uso delle PII. Rispettare queste normative può essere difficile perché giurisdizioni diverse possono avere regole diverse o addirittura contraddittorie.

Anche la diffusione del cloud computing e della forza lavoro da remoto comporta una sfida. In questi ambienti, i dati possono essere raccolti in un unico luogo, archiviati in un altro ed elaborati in un terzo. Ai dati possono essere applicate normative diverse in ogni fase, a seconda della posizione geografica.

A complicare ulteriormente le cose, le varie normative stabiliscono standard diversi per i tipi di dati che devono essere protetti. Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea richiede alle organizzazioni di proteggere tutti i dati personali, definiti come "qualsiasi informazione relativa a una persona fisica identificata o identificabile".

Ai sensi del GDPR, le organizzazioni devono proteggere le PII sensibili e non sensibili. Devono anche salvaguardare dati che potrebbero anche non essere considerati dati sensibili in altri contesti. Queste informazioni includono opinioni politiche, affiliazioni organizzative e descrizioni delle caratteristiche fisiche. 

Normative sulla privacy degli Stati Uniti

L'Office of Management and Budget (OMB) del governo degli Stati Uniti definisce in modo più specifico le PII come:

[I]nformazioni che possono essere utilizzate per distinguere o risalire all'identità di un individuo, come il nome, il numero di previdenza sociale, i dati biometrici e altro, da sole o in combinazione con altri dati personali o identificativi collegati o collegabili a un individuo specifico, come la data e il luogo di nascita, il cognome da nubile della madre, ecc.

Come ha dichiarato l'analista di Gartner Bart Willemsen: "Negli Stati Uniti [...] le PII solitamente si riferiscono a due o tre dozzine di identificatori come nome, indirizzo, SSN, patente di guida o numero di carta di credito".

Sebbene gli Stati Uniti non dispongano di leggi sulla privacy dei dati a livello federale, le agenzie governative sono soggette al Privacy Act del 1974, che disciplina il modo in cui le agenzie federali raccolgono, utilizzano e condividono le PII. Alcuni stati degli Stati Uniti hanno le proprie normative sulla privacy dei dati, in particolare la California. Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) concedono ai consumatori determinati diritti sul modo in cui le organizzazioni raccolgono, memorizzano e utilizzano le loro PII.

Normative sulla privacy specifiche di settore

Alcuni settori hanno anche le proprie normative sulla privacy dei dati. Negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA) disciplina il modo in cui le organizzazioni sanitarie raccolgono e proteggono le cartelle cliniche e le PII dei pazienti.

Analogamente, il Payment Card Industry Data Security Standard (PCI DSS) è uno standard globale del settore finanziario che regola il modo in cui società di carte di credito, commercianti ed elaboratori di pagamenti gestiscono le informazioni sensibili dei titolari di carte.

La ricerca suggerisce che le organizzazioni hanno faticato a orientarsi in questo variegato landscape di leggi e standard di settore. Secondo ESG, il 66% delle aziende che sono state sottoposte a controlli sulla privacy dei dati negli ultimi tre anni non ha superato il controllo almeno una volta, mentre il 23% tre o più volte.

Il mancato rispetto delle normative sulla privacy dei dati può portare a multe, danni alla reputazione, perdita di affari e altre conseguenze per le organizzazioni. Ad esempio, Amazon è stata sanzionata per 888 milioni di USD per aver violato il GDPR nel 2021.

Protezione delle PII

Gli hacker rubano le PII per molte ragioni: per commettere un furto di identità, per ricattare o per venderle sul mercato nero, dove possono ottenere fino a 1 USD per numero di previdenza sociale e 2.000 USD per un numero di passaporto.

Gli hacker possono anche prendere di mira le PII come parte di un attacco più ampio: possono tenerle in ostaggio utilizzando ransomware o rubare PII per impossessarsi degli account e-mail dei dirigenti da utilizzare in attacchi di spear phishing e truffe di compromissione della posta elettronica aziendale (BEC).

I criminali informatici spesso utilizzano attacchi di ingegneria sociale per indurre le vittime ignare a consegnare volontariamente le proprie PII, ma possono anche acquistarle sul dark web o ottenerne l'accesso nell'ambito di una più ampia violazione dei dati. Le PII possono essere rubate fisicamente rovistando nella spazzatura di una persona o spiandola mentre usa il computer.

I malintenzionati possono anche monitorare gli account dei social media di un bersaglio, dove molte persone condividono inconsapevolmente PII non sensibili ogni giorno. Con il tempo, un utente malintenzionato può raccogliere informazioni sufficienti per impersonare una vittima o entrare nei suoi account.

Per le organizzazioni, proteggere le PII può essere complicato. La diffusione del cloud computing e dei servizi SaaS ha fatto sì che le PII possano essere memorizzate ed elaborate in più sedi anziché in un'unica rete centralizzata.

Secondo un report di ESG, la quantità di dati sensibili memorizzati nei cloud pubblici raddoppierà entro la fine del 2024 e più della metà delle organizzazioni ritiene che questi dati non siano sufficientemente sicuri.

Per salvaguardare le PII, le organizzazioni in genere creano framework per la privacy dei dati. Questi framework possono assumere forme diverse a seconda dell'organizzazione, delle PII raccolte e delle normative sulla privacy dei dati che occorre rispettare. A titolo di esempio, il National Institute of Standards and Technology (NIST) fornisce questo framework di esempio:

1. identificare tutte le informazioni personali nei sistemi dell'organizzazione;

2. ridurre al minimo la raccolta e l'utilizzo delle PII e smaltire regolarmente le PII non più necessarie;

3. categorizzare le PII in base al livello di sensibilità;

4. Attuare controlli di sicurezza dei dati; esempi di controlli possono includere:

  • crittografia: la crittografia delle PII in transito, a riposo e in uso tramite crittografia omomorfica o confidential computing può aiutare a mantenere le PII sicure e conformi, indipendentemente dalla posizione in cui sono memorizzate o gestite;

  • gestione delle identità e degli accessi (IAM): l'autenticazione a due fattori o a più fattori può mettere più barriere tra gli hacker e i dati sensibili; allo stesso modo, l'applicazione del principio del privilegio minimo attraverso l'architettura Zero Trust e i controlli degli accessi basati sui ruoli (RBAC) può limitare la quantità di PII a cui gli hacker possono accedere in caso di violazione della rete;

  • formazione: i dipendenti imparano a gestire e smaltire correttamente le PII; i dipendenti imparano anche a proteggere le proprie PII; questo tipo di formazione riguarda aree come l'anti-phishing, l'ingegneria sociale e la sensibilizzazione sui social media;

  • anonimizzazione: l'anonimato dei dati è il processo di rimozione delle caratteristiche identificative dei dati sensibili; le tecniche di anonimizzazione più comuni includono la rimozione degli identificatori dai dati, l'aggregazione dei dati o l'aggiunta strategica di rumore ai dati;

  • Strumenti di cybersecurity: gli strumenti di prevenzione della perdita dei dati (DLP) possono aiutare a tracciare i dati mentre si spostano nella rete, facilitando il rilevamento di fughe e violazioni; anche altre soluzioni di cybersecurity che offrono visualizzazioni di alto livello dell'attività sulla rete, come gli strumenti di rilevamento e risposta estesi (XDR), possono aiutare a tracciare l'uso e l'abuso delle PII.

5. elaborare un piano di risposta agli incidenti per perdite e violazioni delle PII.

Vale la pena notare che il NIST e altri esperti di privacy dei dati spesso consigliano di applicare controlli diversi a diversi set di dati in base alla sensibilità dei dati. L’utilizzo di controlli rigorosi per i dati non sensibili può essere complicato e non economicamente vantaggioso.

Risorse

Scopri perché KuppingerCole classifica IBM come azienda leader

Il report sulle piattaforme di sicurezza dei dati di KuppingerCole offre indicazioni e consigli per trovare i prodotti per la protezione e la governance dei dati sensibili che meglio soddisfano le esigenze dei clienti.
IBM® X-Force Threat Intelligence Index 2025

Acquisisci gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore velocità ed efficacia con IBM X-Force Threat Intelligence Index.
L'impatto economico totale (TEI) di Guardium Data Protection

Scopri i benefici e il ROI di IBM Security Guardium Data Protection in questo studio TEI di Forrester.
Gartner Market Guide for AI TRiSM

Accedi a questo rapporto di Gartner per scoprire come gestire l'inventario completo dell'AI, proteggere i workload AI con misure di sicurezza, ridurre i rischi e gestire il processo di governance per ottenere l'AI Trust in tutti i casi d'uso dell'AI nella tua organizzazione.
Espandi le tue competenze con tutorial gratuiti sulla sicurezza

Segui passaggi chiari per completare le attività e imparare a utilizzare efficacemente le tecnologie nei tuoi progetti.
Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi (IAM) è una branca di cybersecurity che si occupa dell'accesso degli utenti e delle autorizzazioni delle risorse.
Soluzioni correlate
Soluzioni per la sicurezza e la protezione dei dati

Proteggi i dati aziendali in ambienti diversi, rispetta le normative sulla privacy e semplifica le complessità operative.

         Scopri le soluzioni per la sicurezza dei dati
    IBM Guardium

    Scopri IBM Guardium, una famiglia di software di sicurezza dei dati che protegge i dati sensibili on-premise e nel cloud.

     

             Esplora IBM Guardium
      Servizi per la sicurezza dei dati

      IBM offre servizi completi di sicurezza dei dati per proteggere i dati aziendali, le applicazioni e l'AI.

             Scopri i servizi per la sicurezza dei dati
      Fai il passo successivo

      Proteggi i dati della tua organizzazione in tutti i cloud ibridi e semplifica i requisiti di conformità con le soluzioni di sicurezza dei dati.

             Scopri le soluzioni per la sicurezza dei dati Prenota una demo live