Nove cifre tra te e il disastro
Ho perso il conto delle volte in cui, leggendo un romanzo ambientato in USA o guardando l'ennesima puntata di una serie crime americana, mi sono imbattuto in una scena che segue sempre lo stesso copione.
Il detective rovista nella vita della vittima. Ad un certo punto qualcuno dice: "Abbiamo il suo Social Security Number". E da quel momento in poi è come aver trovato il codice sorgente di un essere umano. Nome, cognome, conti in banca, storia creditizia, cartelle cliniche, indirizzo di casa, datore di lavoro. Tutto. Come se quelle nove cifre fossero la master password dell'intera esistenza di una persona.
La prima volta che ho visto questa dinamica ho pensato fosse un'esagerazione narrativa. Il classico espediente da sceneggiatori per farcire la trama. Poi, dopo un po' di anni passati tra IT, cybersecurity, romanzi, serie TV e film e grazie alla curiosità che mi contraddistingue, ho iniziato a scavare. E ho scoperto che la realtà è peggio della finzione. Di parecchio.
Il Social Security Number — abbreviato SSN — è probabilmente il più colossale single point of failure[^In ingegneria informatica e dei sistemi, un single point of failure (SPOF) è un componente la cui singola rottura o compromissione provoca il collasso dell'intero sistema. È esattamente ciò che rappresenta l'SSN per l'infrastruttura identitaria americana.] mai progettato dall'uomo. Un numero di nove cifre che doveva servire a tracciare i contributi pensionistici e che, per pigrizia sistemica e inerzia burocratica, è diventato la chiave universale della vita di 330 milioni di persone. Il sogno proibito di ogni hacker e l'incubo quotidiano di ogni cittadino americano.
Per usare un (sempre adatto francesismo): se te lo rubano, sei fottuto.
Tra fiction e realtà: il "Santo Graal" di criminali e fuggiaschi
Chi ha letto i romanzi di Lee Child sa che Jack Reacher vive senza documenti, senza contratti e senza vincoli. Ma anche Reacher — il fantasma per eccellenza — ha un Social Security Number. Ce l'ha perché senza quello, negli Stati Uniti, semplicemente non esisti. Non puoi lavorare, non puoi aprire un conto in banca, non puoi affittare un appartamento e non puoi nemmeno farti prescrivere un antibiotico.
Nel WITSEC — il programma federale di protezione testimoni di cui ho scritto in un post precedente — una delle prime cose che gli U.S. Marshals forniscono al testimone ricollocato è proprio un nuovo SSN. Non un nuovo passaporto, non una nuova patente. Un nuovo numero. Perché quel numero è la tua identità. Cambiarlo equivale a rinascere. Non cambiarlo equivale a essere rintracciabili in un pomeriggio da chiunque sappia cosa cercare.
Nei thriller di John Grisham il furto del Social Security Number è una condanna a morte finanziaria. Nei romanzi di Jeffery Deaver è il grimaldello con cui i criminali informatici smontano le vite delle persone pezzo per pezzo. E la cosa inquietante è che nessuno di questi autori sta esagerando.
Da previdenza sociale a "passepartout" di una nazione
Le origini: un semplice tracking per le pensioni (1936)
La storia del Social Security Number inizia in modo quasi poetico nella sua banalità. Siamo nel 1936. Franklin D. Roosevelt ha appena firmato il Social Security Act e il governo federale si trova davanti a un problema logistico titanico: come tracciare i contributi pensionistici di milioni di lavoratori americani in un'epoca in cui i computer non esistevano e tutto si faceva con schede perforate e buona volontà[^L'SSN fu creato nel 1936 con il solo scopo di tracciare la storia retributiva dei lavoratori statunitensi per il calcolo dei benefici previdenziali. Fonte: Social Security Administration - The Story of the Social Security Number].
La soluzione fu elegante nella sua semplicità: assegnare a ogni lavoratore un numero univoco a nove cifre. Le prime tre cifre indicavano l'area geografica di emissione, le successive due erano un codice di gruppo e le ultime quattro un numero seriale progressivo. Il tutto veniva stampato su un cartoncino delle dimensioni di una carta di credito e distribuito attraverso la rete capillare dei 45.000 uffici postali americani. Niente di più, niente di meno.
La cosa più importante — e la più ignorata nella storia successiva — è che quel cartoncino riportava la dicitura "FOR SOCIAL SECURITY PURPOSES — NOT FOR IDENTIFICATION". Non per scopi identificativi. Una frase stampata a chiare lettere che il sistema americano ha proceduto a ignorare sistematicamente per i successivi novant'anni con una coerenza che, se non fosse tragica, sarebbe ammirevole[^A partire dalla sesta versione della card, emessa dal 1946, la SSA aggiunse la dicitura "For Social Security Purposes — Not For Identification" sul fondo della tessera. Fonte: SSA History FAQs].
La pigrizia strutturale del sistema americano
Quello che è successo dopo il 1936 è un caso da manuale di come la comodità uccida la sicurezza. Un concetto che, dopo vent'anni di informatica, conosco fin troppo bene.
Il Social Security Number era semplice. Era univoco. E soprattutto, lo possedevano quasi tutti. Per qualsiasi ente — pubblico o privato — che avesse bisogno di identificare univocamente una persona, usare l'SSN era la scorciatoia perfetta. Perché inventare un sistema nuovo quando ce n'è già uno che funziona?
Nel 1961 la Civil Service Commission adottò l'SSN come identificativo per i dipendenti federali. Nel 1962 l'IRS (l'equivalente della nostra Agenzia delle Entrate) lo adottò come codice identificativo fiscale. E da lì fu una valanga inarrestabile. Banche, ospedali, università, compagnie assicurative, datori di lavoro, agenzie immobiliari: tutti iniziarono a chiedere l'SSN per qualsiasi cosa[^Oggi esistono 27 utilizzi autorizzati del SSN come identificativo per la tenuta dei registri o come criterio di abbinamento. L'uso nel settore privato non è né specificamente autorizzato né limitato. Fonte: SSA - The Expansion of the SSN as Identifier].
La vera esplosione nell'uso del Social Security Number avvenne durante la rivoluzione informatica degli anni '60. La semplicità di utilizzare un numero unico che la maggior parte delle persone già possedeva incoraggiò un'adozione massiccia da parte di agenzie governative e imprese private che stavano adattando i propri sistemi al trattamento automatizzato dei dati. In pratica, l'SSN divenne il primary key del database umano americano. Un primary key scelto nel 1936, quando il concetto stesso di database non esisteva ancora.
Nel 2004, una stima impressionante, indica circa 42 milioni di tessere Medicare riportavano ancora il Social Security Number per esteso sul fronte della card. Come scriversi la password di root su un post-it attaccato al monitor. Ma su scala nazionale.
L'anomalia di sicurezza: il Single Point of Failure
Il peccato originale IT: confondere "Identificazione" con "Autenticazione"
Eccoci al cuore del disastro. E qui chi ha un minimo di background informatico inizierà a sentire un brivido lungo la schiena.
Il problema fondamentale del Social Security Number è che viene usato contemporaneamente come identificativo e come autenticatore. In termini che chiunque abbia configurato un sistema di login capirebbe al volo: è come se il tuo username e la tua password fossero la stessa identica stringa.
Il tuo SSN serve a identificarti: sei il signor John Smith con il numero XXX-XX-XXXX. Fin qui, tutto bene. Ma lo stesso identico numero serve anche ad autenticarti: quando chiami la banca per modificare il tuo conto, ti chiedono di "confermare le ultime quattro cifre del Social Security Number" come prova che sei davvero tu. Quando fai domanda per un mutuo, il creditore usa il tuo SSN per verificare la tua identità. Quando vai al pronto soccorso, l'ospedale lo usa per accedere alla tua cartella clinica[^Il report della FTC ha evidenziato come l'uso duale dell'SSN come identificativo e autenticatore abbia creato enormi vulnerabilità nel sistema. L'SSN viene spesso descritto come la "chiave del regno". Fonte: FTC - Security in Numbers: SSNs and ID Theft].
Un ricercatore dell'Università di Carnegie Mellon lo ha spiegato con un'analogia perfetta: il tuo numero di telefono è un identificativo — lo condividi con amici e colleghi perché serve a raggiungerti. Ma nessuno userebbe il proprio numero di telefono come password per accedere al conto in banca. Con l'SSN, gli americani fanno esattamente questo. Ogni. Singolo. Giorno.
Il sogno proibito di ogni hacker
Se sei un criminale informatico e riesci a mettere le mani sul Social Security Number di qualcuno, hai vinto la lotteria. Non la lotteria nel senso figurato. La lotteria nel senso che puoi letteralmente diventare quella persona.
Con un SSN e un paio di informazioni aggiuntive (nome, data di nascita, indirizzo — tutte cose che si trovano con una ricerca OSINT di base, come ho spiegato nel post dedicato) è possibile:
- aprire conti correnti bancari a nome della vittima
- richiedere carte di credito
- sottoscrivere mutui e finanziamenti
- presentare dichiarazioni fiscali fraudolente per incassare rimborsi
- accedere a cartelle cliniche e ottenere cure mediche
- stipulare contratti di affitto, utenze e servizi telefonici
Tutte le informazioni riportate in questo post sono pubblicamente disponibili e provengono da fonti istituzionali, report ufficiali e documentazione liberamente consultabile. Non sto rivelando segreti industriali: sto descrivendo un sistema che è stato analizzato, criticato e documentato da decenni da agenzie governative, ricercatori accademici e testate giornalistiche. Il che, se ci pensate, rende il tutto ancora più deprimente.
Tutta questa roba. Con nove cifre. Nove.
E il bello (si fa per dire) è che l'SSN non si può cambiare. O meglio, tecnicamente è possibile ma la Social Security Administration concede la sostituzione solo in circostanze estreme e documentate, con un massimo di tre sostituzioni all'anno e dieci nell'arco di un'intera vita. È come avere una password che non puoi resettare nemmeno se te l'hanno rubata. Un concetto che farebbe piangere chiunque operi in ambito di sicurezza informatica. {Infatti, sto piangendo}
L'incubo del cittadino: l'Identity Theft
La "morte" finanziaria e creditizia: cosa succede quando ti rubano l'SSN
L'identity theft — il furto d'identità — è il crimine che cresce più velocemente negli Stati Uniti. E il Social Security Number ne è il combustibile principale {è come utilizzare lo "Zippo Lighter Fluid" per dare fuoco a qualcosa: semplice, immediato e infallibile}.
I numeri sono da capogiro. Nel 2024, la Federal Trade Commission ha ricevuto oltre 1,1 milioni di denunce per furto d'identità, con un aumento del 9,5% rispetto all'anno precedente. Le perdite finanziarie totali legate alle frodi hanno raggiunto i 12,7 miliardi di dollari[^Dati FTC 2024. Fonte: Experian - U.S. Fraud and Identity Theft Losses]. Secondo alcune stime, un americano su quattro è stato vittima di furto d'identità almeno una volta nella vita. In pratica, ogni 4,9 secondi qualcuno negli Stati Uniti diventa una nuova vittima[^Dato elaborato da Security.org. Fonte: Security.org - Identity Theft Statistics].
Ma i numeri, per quanto impressionanti, non raccontano l'orrore quotidiano di chi subisce il furto. Perché quando qualcuno ruba il tuo SSN non ti svuota solo il conto corrente (quello, con un po' di fortuna e tanta pazienza, si recupera). Ti ruba l'identità. Ti ritrovi con debiti che non hai mai contratto. Carte di credito che non hai mai richiesto. Finanziamenti su auto che non hai mai visto. Cartelle cliniche con gruppi sanguigni che non sono il tuo. E il brutto? Sei tu a dover dimostrare che non sei stato tu. Presunzione di colpevolezza finanziaria, potremmo chiamarla.
Il collegamento con il Credit Score è devastante: il furto dell'SSN distrugge il punteggio creditizio della vittima, il che significa niente mutui, niente affitti, niente assunzioni (perché sì, le aziende americane controllano il credit score prima di assumerti). Un circolo vizioso da cui uscire richiede anni.
Il labirinto burocratico per tornare a esistere
Il processo per "riprendersi" la propria identità dopo un furto dell'SSN è un calvario kafkiano che farebbe impallidire anche la burocrazia italiana. E di burocrazia italiana ne abbiamo vissuta parecchia, quindi il paragone pesa.
La vittima deve: congelare il credito presso tutte e tre le agenzie di reporting (Equifax, Experian, TransUnion); contestare individualmente ogni singola voce fraudolenta sul proprio report creditizio; presentare denuncia alla polizia locale e alla FTC; notificare l'IRS per prevenire frodi fiscali; contattare ogni singola azienda con cui il criminale ha aperto conti fraudolenti; monitorare ossessivamente la propria situazione creditizia per anni. Il tutto senza alcuna garanzia di riuscita completa. Alcune vittime impiegano letteralmente anni per ripulire il proprio nome.
Il breach di National Public Data nel 2024 ha esposto circa 2,9 miliardi di record contenenti nomi, indirizzi, date di nascita e Social Security Number di cittadini americani, britannici e canadesi. L'analisi dei dati ha rivelato che il database conteneva circa 272 milioni di SSN unici, pari al 60% di tutti i Social Security Number storicamente emessi dall'IRS[^Analisi dettagliata del breach NPD. Fonte: Constella Intelligence - Verifying the National Public Data Breach]. Nel 2025 i data breach hanno raggiunto il record storico di 3.332 compromissioni in un anno, con i Social Security Number coinvolti in due terzi dei report[^Fonte: HIPAA Journal - U.S. Data Compromises Hit Record in 2025].
E come non citare il breach di Equifax del 2017: i dati personali di 147,9 milioni di americani — circa il 40% dell'intera popolazione — esposti per colpa di una vulnerabilità nota (la famosa CVE-2017-5638 in Apache Struts) che nessuno si era preoccupato di patchare per mesi. Costo totale per Equifax: 1,38 miliardi di dollari in risarcimenti[^Il breach Equifax è stato definito "interamente prevenibile" dal Congresso. Fonte: FTC - Equifax Data Breach Settlement]. Da persona che mastica cybersecurity, ogni volta che rileggo questa storia mi chiedo come sia possibile che una patch disponibile da mesi non venga applicata a un sistema che custodisce i dati di metà della nazione. Poi mi ricordo che il mondo IT funziona così e smetto di stupirmi.
Il confronto: Stati Uniti vs. Italia (e Europa)
Il Codice Fiscale: differenze sostanziali
Ed eccoci al confronto che, ogni volta, mi fa apprezzare un po' di più il nostro sistema. Con tutti i suoi difetti, che non sono pochi.
Il Codice Fiscale italiano è composto da 16 caratteri alfanumerici ed è la rappresentazione codificata di nome, cognome, data di nascita, sesso e comune di nascita. A differenza dell'SSN americano, il codice fiscale non è segreto. Non è stato progettato per esserlo e non pretende di esserlo. Internet è pieno di generatori di codice fiscale che, partendo dai dati anagrafici di una persona, lo calcolano in pochi secondi[^Confronto tecnico tra SSN e Codice Fiscale. Fonte: 4Privacy - Social Security Number e Codice Fiscale, fra security e privacy].
E qui sta la differenza fondamentale che cambia tutto: il codice fiscale è solo un identificativo, non un autenticatore. Conoscere il codice fiscale di qualcuno in Italia non ti permette di aprire un conto corrente, richiedere un prestito o accedere alla sua cartella clinica. Per fare qualsiasi cosa servono documenti d'identità con foto, firme, chip NFC e spesso l'autenticazione digitale tramite SPID o CIE. Il sistema è stratificato. Nessun singolo dato, da solo, apre tutte le porte.
Ho preparato una tabella che evidenzia le differenze strutturali tra i due sistemi:
| Caratteristica | SSN (USA) | Codice Fiscale (Italia) |
|---|---|---|
| Formato | 9 cifre numeriche | 16 caratteri alfanumerici |
| Segretezza | Trattato come segreto (ma condiviso ovunque) | Pubblico per design |
| Funzione originale | Tracking previdenziale | Identificazione fiscale |
| Uso attuale | Identificazione + autenticazione universale | Solo identificazione |
| Calcolabile dai dati anagrafici? | No (dal 2011, assegnazione randomizzata) | Sì (generatori online ovunque) |
| Modificabile? | Solo in casi estremi (max 10 nella vita) | No (ma non serve cambiarlo) |
| Usato per aprire conti bancari? | Sì, è sufficiente | No, servono documenti con foto e SPID/CIE |
| Usato come autenticatore? | Sì, diffusamente | No |
| Conseguenze del furto | Catastrofiche | Limitate (da solo non basta per nulla) |
Perché in Europa rubare un codice fiscale non basta per rovinarti la vita
Il vero scudo europeo si chiama stratificazione dell'identità. In Italia (e in buona parte dell'Europa) il sistema di identificazione non si regge su un singolo numero magico ma su una combinazione di elementi: carta d'identità elettronica con chip NFC e dati biometrici, SPID per l'accesso ai servizi digitali della PA (o CIE), autenticazione a due fattori per le operazioni bancarie (grazie alla direttiva PSD2), il GDPR che impone standard rigorosi sulla protezione dei dati personali.
Se qualcuno ruba il mio codice fiscale, tanto per rendere l'idea di quanto sia "segreto", può farci ben poco. Per aprire un conto corrente deve presentarsi in banca con un documento d'identità valido con foto. Per accedere ai servizi dell'Agenzia delle Entrate serve lo SPID (o la CIE) con autenticazione multifattore. Per fare un bonifico dal mio conto serve l'app bancaria con riconoscimento biometrico e OTP. Il codice fiscale, da solo, è un pezzo di carta con delle lettere sopra. Non una master key per l'intera esistenza.
Certo, non siamo al sicuro al 100% — il furto d'identità esiste anche in Italia e il codice fiscale, combinato con altre informazioni rubate, può creare problemi seri. Ma la differenza fondamentale è che il nostro sistema non si basa su un singolo punto di accesso. È ridondante. È stratificato. È, usando un termine che i colleghi di cybersecurity apprezzeranno, defense in depth.
Negli Stati Uniti, fino a tempi relativamente recenti, il Social Security Number era stampato sulle tessere Medicare, sulle carte d'identità militari e persino sulle patenti di guida di alcuni Stati. In Italia il codice fiscale è sulla tessera sanitaria (e sulla CIE), ma — dettaglio non da poco — la tessera sanitaria, da sola, non è un documento d'identità e non autentica un bel nulla. Per qualsiasi operazione significativa serve anche un documento con foto, chip e — idealmente — una conferma digitale.
Conclusioni: un sistema senza via d'uscita?
Le enormi difficoltà di aggiornare un'infrastruttura analogica e obsoleta
Il paradosso più crudele di tutta questa storia è che tutti sanno che il sistema è rotto. Lo sa il governo federale, lo sanno le banche, lo sanno le agenzie di credito e lo sanno i cittadini. Nel 2008 il presidente Bush firmò un ordine esecutivo che revocava l'obbligo per le agenzie federali di usare l'SSN come identificativo. La FTC ha implorato pubblicamente aziende, scuole e istituzioni private di trovare metodi migliori per autenticare le identità[^Nel 2008, il presidente Bush firmò l'Executive Order 13478 che revocava l'EO del 1943. Nello stesso mese, la FTC esortò le aziende a trovare alternative all'SSN. Fonte: SSA - The Story of the Social Security Number].
Ma cambiare è praticamente impossibile. O meglio, è tecnicamente possibile ma logisticamente un incubo di proporzioni bibliche. Stiamo parlando di un sistema che permea ogni singolo aspetto della vita americana da quasi novant'anni. Ogni banca, ogni ospedale, ogni agenzia governativa, ogni compagnia assicurativa, ogni datore di lavoro, ogni università ha sistemi informatici — molti dei quali costruiti su mainframe degli anni '70 — che usano l'SSN come chiave primaria. Sostituirlo richiederebbe una migrazione di dati su scala mai tentata nella storia dell'umanità. È come dover cambiare il motore di un aereo in volo con trecento passeggeri a bordo {giusto per ricordare a tutti il mio terrore per gli aerei}.
Dal 2011 la Social Security Administration ha almeno introdotto un'assegnazione randomizzata dei nuovi numeri, eliminando il legame con l'area geografica che rendeva i vecchi SSN parzialmente prevedibili (un ricercatore della Carnegie Mellon aveva dimostrato di poterli indovinare conoscendo solo luogo e data di nascita). Ma è una toppa su un sistema che avrebbe bisogno di essere rifatto da zero.
La realtà è che il Social Security Number è il debito tecnico più grande del mondo. Un sistema progettato nel 1936 per un mondo analogico che si trova a dover sopravvivere in un'epoca di intelligenza artificiale, data breach miliardari e criminalità informatica industrializzata. È il legacy code definitivo: tutti sanno che andrebbe riscritto, nessuno ha il coraggio (o i fondi) per farlo e nel frattempo si continua a mettere pezze sperando che regga ancora un po'.
La prossima volta che in un romanzo di Connelly vedrete un criminale usare l'SSN di qualcuno per smontarne la vita pezzo per pezzo, sappiate che non è fantasia. È cronaca quotidiana mascherata da fiction. Con la differenza che nella realtà non c'è nessun Harry Bosch che viene a salvarti. C'è solo un call center della FTC con quaranta minuti di attesa e un modulo online da compilare.
E io, nel mio piccolo, dal mio angolo di mondo dove il codice fiscale non apre nessuna porta e lo SPID mi chiede tre conferme diverse anche solo per controllare una multa, per una volta non mi lamento.
Bonus TV e libri
Per chi volesse approfondire l'argomento dell'identity theft americano con qualcosa di meno tecnico e più visivo, consiglio caldamente il 15° episodio della 2a stagione di The Rookie: "Hand Off" (Identità violate) — ne avevo già parlato nel post sul Credit Score, ma merita di essere rivisto con queste nuove consapevolezze.
Per i lettori, praticamente ogni romanzo di Jeffery Deaver con Lincoln Rhyme contiene almeno una scena in cui l'SSN viene usato come arma. E nei legal thriller di John Grisham il furto d'identità è una costante silenziosa che si muove sullo sfondo di trame più grandi.
Commenti