Dopo aver affrontato le basi dell’OPSEC (Operation security), oggi vi suggerisco qualche strumento per ottenere un ragionevole livello di anonimato online. Dico ragionevole perché l’anonimato assoluto non esiste. È uno spettro variabile e dinamico, che cambia in base al contesto.

Come registrarsi in modo anonimo a servizi online

Molti servizi oggi richiedono un qualche tipo di registrazione e identificazione dell’utente per poter essere usati. Alcuni si accontentano di una email, altri chiedono anche un numero di telefono.

1) verifica tramite email

L’email è ormai un punto nevralgico delle nostre identità online, soprattutto per gli indirizzi a cui abbiamo collegato social network, account bancari e sistemi di pagamento. Usare questi indirizzi per iscriversi a servizi non essenziali non è mai una buona idea, perché aumenta esponenzialmente la nostra superficie di rischio in caso di violazione di dati.

Se non ci credi, prendi una email che usi spesso per registrarti a servizi online e inseriscila qui. Molto probabilmente scoprirai che è stata oggetto di qualche furto di dati.

Questo è il motivo per cui è sempre preferibile usare email usa e getta per iscriversi a servizi non essenziali.

Un servizio che uso spesso è Guerrilla Mail, che permette di creare una email in pochi secondi, senza alcuna registrazione, e usarla per il tempo necessario per la registrazione.

La mail creata può essere usata anche per inviare messaggi, e anche questo può essere utile. Attenzione però: non è una mail cifrata, quindi i messaggi inviati sono in chiaro (come gmail e altre email normali) - non confondere privacy delle comunicazioni con anonimato.

3) verifica tramite sms

I servizi che non si accontentano dell’email, ma che hanno bisogno per qualche motivo anche di un numero di telefono, sono più complessi da bypassare.

Il problema è che il numero di telefono è anche molto più sensibile dell’email, per ovvi motivi.

Un servizio utile in questo senso, che ho scoperto da poco, è textverified. È un servizio che permette di noleggiare un numero voip per ricevere chiamate e sms. Può essere usato per registrarsi online e anche per multi-factor authentication.

Subscribe now

Il servizio è a pagamento, ma la cosa buona è che si può pagare con Bitcoin, Litecoin o Ethereum, evitando così di lasciar traccia della transazione alla banca.

Il funzionamento è molto semplice: cerchi il servizio a cui vuoi registrarti, verifichi le funzionalità disponibili (sms, voce, ecc.) e acquisti il numero voip da usare per ricevere l’sms o la chiamata di verifica in tempo reale. Easy peasy.

Una SIM anonima?

Grazie alla tecnologia eSIM, introdotta in Italia a partire dal 2019, oggi è possibile accedere a servizi dati e telefonia mobile senza possedere una SIM fisica. Se il telefono è abilitato a usare eSIM, è sufficiente attivare il servizio digitale inquadrando il QR code del servizio. Operatori come TIM e Vodafone offrono già questo tipo di servizio in Italia.

Ma oggi esistono anche operatori che offrono eSIM anonime, cioè senza alcuna verifica dell’identità. La cosa bella è che è possibile acquistare numerazioni da tutto il mondo, senza essere limitati geograficamente. Uno di questi è silent.link, che offre due piani tariffari: solo dati (4G/5G) oppure dati + voce.

Anche in questo caso la forza del servizio è che si può pagare tramite Bitcoin, evitando di lasciar tracce evidenti.

Un commento sull’uso di Bitcoin

Come visto, alcuni di questi servizi danno la possibilità di pagare in Bitcoin. Il motivo è che le transazioni in Bitcoin non richiedono procedure KYC (Know Your Customer) - cioè non hanno bisogno di identificare le parti per poter acquistare e vendere servizi.

Ma questo non significa che usare Bitcoin garantisca anonimato. Anzi, è l’esatto contrario: il protocollo Bitcoin è estremamente trasparente e pseudoanonimo. Sembra paradossale, ma una transazione bancaria è più riservata (verso i terzi) rispetto a una transazione Bitcoin. D’altronde, sono tutte accessibili pubblicamente.

Subscribe now

Un esempio di indirizzo Bitcoin

Senza le dovute precauzioni un attaccante interessato a sorvegliare le nostre azioni (es. lo Stato) potrà comunque essere in grado di collegare una transazione Bitcoin alla nostra identità reale.

Ma allora perchè preferire Bitcoin rispetto alle banche?

Come ogni ambito umano, è tutta una questione di (dis)incentivi economici. Grazie ai meccanismi di pseudoanonimizzazione, analizzare le transazioni Bitcoin ed essere in grado di risalire all’identità reale di una persona non è facile. Servono strumenti, tempo e risorse. Tutto il protocollo Bitcoin è pensato per essere estremamente trasparente, ma al tempo stesso minimizzare all’osso i dati richiesti per effettuare una transazione. Questo rende la vita molto difficile a chiunque voglia scoprire l’identità di qualcuno.

È talmente complesso che gli Stati Uniti ci hanno messo più di 6 anni per recuperare l’equivalente di 5 miliardi di dollari in Bitcoin, rubati nell’hack di Bitfinex del 2016.

Se una delle maggiori potenze al mondo ha impiegato 6 anni per recuperare 5 miliardi di dollari, molto probabilmente il costo e le risorse necessarie per sorvegliare delle transazioni di alcune migliaia di euro rendono il tutto estremamente sconveniente da un punto di vista economico.

Viceversa, le banche e gli intermediari di pagamento tradizionali sono obbligati a conservare un elevatissimo quantitativo di dati personali e metadati, appositamente trattati e archiviati per permettere l’identificazione delle persone col minor sforzo possibile. L’incentivo in questo caso è all’identificazione, non il contrario.

A questo bisogna aggiungere che Bitcoin oggi ha a disposizione degli strumenti (Coinjoin) che permettono di ottenere un certo grado di plausible deniability sulle transazioni.

Per plausible deniability intendo la capacità di poter ragionevolmente negare qualsiasi collegamento con una determinata azione. In pratica, un attaccante farà molta difficoltà a sostenere che quella transazione è proprio la nostra.

Ma di questo magari ne parlerò la prossima volta.

Hai già risposto al sondaggio che ho proposto qualche giorno fa? Aiutami a migliorare Privacy Chronicles, ci vogliono 5 minuti!

Partecipa al sondaggio

Chi vuole può adesso sottoscrivere un abbonamento (mensile o annuale) a Privacy Chronicles.

Continuerò a scrivere contenuti gratuiti e pubblici, come questo, ma l’obiettivo è rendere sostenibile nel tempo il progetto e aiutarmi a dedicare le risorse (tempo ed energia) che servono per garantire sempre contenuti di qualità.

Grazie, alla prossima Chronicle!

Subscribe now

privacychronicles.substack.com…