Tax season is officially in the rear view, which means most of us are breathing a sigh of relief. Ma alcuni di noi rimangono ansiosi. Non si tratta della possibilità di essere controllati (che è piccola, anche se terrificante), ma piuttosto della paura che ci venga rubata l’identità.

Se sei un lavoratore autonomo – che sia un autista di Uber, un artista di Etsy, o qualcosa di meno del 21° secolo (come un giornalista freelance) – le aziende che ti pagano sono legalmente tenute a fornire un 1099 per aiutarti a preparare le tue tasse. E con l’esplosione della “sharing economy”, sempre più persone stanno ottenendo questi documenti invece dei W-2, il modulo fiscale riservato ai dipendenti. Le aziende spediscono fisicamente i 1099, ma poiché gli errori accadono, le scadenze fiscali sono inamovibili, e Internet è così conveniente, alcuni dipartimenti finanziari inviano questi moduli via e-mail. Questo perché questi documenti contengono dati sensibili come i numeri di previdenza sociale e l’e-mail è un obiettivo primario per gli hacker in cerca di identità da rubare.

Se non pensate che questo possa accadere a voi, considerate questo. Negli ultimi sei anni, più di una mezza dozzina di persone mi hanno inviato per email moduli finanziari non criptati contenenti informazioni di identificazione personale. Una società – un marchio americano multimilionario e importante – lo ha fatto addirittura due volte.

“I numeri di sicurezza sociale sono più suscettibili e più preziosi che mai”, dice Rob Douglas, un consulente di sicurezza specializzato in furto d’identità e truffe. Douglas ha testimoniato per la prima volta davanti al Congresso sulla protezione delle informazioni di identificazione personale nel 1998. Da allora, l’unica cosa che è cambiata è quanto sia diventato facile per i truffatori rubare le nostre cifre sensibili.

Dal massiccio grado di furto d’identità legato alla violazione dell’Office of Personnel Management ai miliardi persi in frodi sui rimborsi fiscali, è chiaro che ci sono un sacco di cose che i cattivi possono fare con il tuo numero di previdenza sociale. “I criminali amano questo crimine, perché è un crimine che paga, e c’è così poco interesse del pubblico ministero”, dice Douglas. Per esempio, la polizia di San Diego non guarderà nemmeno un caso di furto d’identità a meno che non ci siano almeno 40.000 dollari coinvolti, dice, perché ce ne sono così tanti. Immaginate di avere quella somma sottratta dal vostro conto bancario oggi e di non trovare nessuno disposto ad aiutarvi domani.

Così naturalmente si suppone che sia illegale trattare le informazioni vitali di qualcuno in modo così negligente, giusto? Sbagliato. Anche se il numero di previdenza sociale è un identificatore federale, gli stati hanno autorità su come vengono gestiti, il che significa che i protocolli variano. Attualmente solo 12 stati limitano l’invio fisico dei numeri di previdenza sociale, ma nessuno stato ne vieta l’invio via e-mail. Di nuovo: È completamente legale mettere il numero di previdenza sociale di qualcuno in un’e-mail.

Questo è un problema. Mentre possiamo pensare che l’email sia sicura, e mentre i provider come Apple, Google e Microsoft hanno fatto in modo che le note inviate e ricevute da indirizzi all’interno del loro dominio (gmail.com, per esempio) siano sicure, una volta che un messaggio inizia ad attraversare il web aperto, tutte le scommesse sono annullate.

Quando le email vengono inviate, di solito si spostano dal software sul computer di invio ai server chiamati agenti di trasferimento della posta. Probabilmente passeranno attraverso diversi di questi nodi fino a raggiungere il loro destinatario. Tra questi relè, le e-mail sono crittografate, ma quando colpiscono un server, vengono decodificate, lette e poi nuovamente crittografate prima di essere inviate al nodo successivo. Milton Mueller, professore di politica pubblica al Georgia Institute of Technology, avverte che questo processo potrebbe essere “imperfetto” in termini di sicurezza. “Il contenuto dei messaggi è rivelato e può essere alterato dai relè di posta elettronica intermedi”, dice.

Mueller dice che il problema è che i nodi di posta elettronica sono gestiti in modo indipendente, quindi la politica di crittografia di un nodo potrebbe essere leggermente incompatibile con quella di un altro. E alcuni nodi possono anche essere compromessi, permettendo agli hacker di accedere a tutte le informazioni che scorrono attraverso di loro.

Ancora, è possibile proteggere i dati crittografando i file contenenti informazioni private. Di recente, con quella grande marca americana, ho chiesto che lo facessero. Con mio stupore, non solo un professionista della finanza di questa società Fortune 500 non sapeva come criptare un file PDF, ma nemmeno il suo team tecnico. (“Le persone che dovrebbero sapere come fare la crittografia – in particolare quando si tratta di informazioni finanziarie sensibili – non è che non sanno come farlo, non è nemmeno nel loro protocollo”, dice Douglas. “È sconvolgente che non abbiamo avvolto le nostre menti intorno a questo problema.”

Ho detto a questa azienda esattamente come criptare il mio file, eppure è stato ancora inviato non protetto. Cosa ci vorrà per far sì che la gente rispetti i dati privati degli altri e li gestisca in modo responsabile, come farebbe con le proprie informazioni sensibili? Douglas dice che richiede che i professionisti della finanza smettano di guardare questi dati vitali come minuzie, come semplici numeri su una pagina, e invece li vedano per quello che sono: l’identità finanziaria di una persona.

Ma è improbabile che questo faccia una differenza abbastanza grande. Invece, Douglas crede che l’unica cosa che cambierà il modo disinvolto in cui le persone gestiscono i numeri di previdenza sociale via e-mail o su carta sarebbe “una tragedia di tale natura di danno fisico ad alcune persone che scuote la coscienza della nazione.”

Per esempio, il 15 ottobre 1999, la ventenne Amy Boyer è stata uccisa davanti al suo appartamento da Liam Youens, uno stalker che ha trovato l’indirizzo della Boyer dopo aver comprato il suo numero di previdenza sociale da un sito web. Le sparò più volte prima di rivolgere la pistola contro se stesso. Nell’indignazione che seguì, fu presentata la “legge di Amy Boyer” per impedire la visualizzazione o la vendita del numero di previdenza sociale di chiunque. La legge non è mai passata, quindi la presa di coscienza di cui parlava Douglas deve ancora arrivare.

E nonostante il mio numero di previdenza sociale sfili su Internet come una guardia di colore, non sono caduto vittima di furto d’identità o di altre frodi. Spero di essere al sicuro, ma Douglas non è altrettanto ottimista. “Non ho dubbi che il tuo sia là fuori”, dice. “Statisticamente, più volte.”

Contattateci su [email protected].