Les suplantacions d'identitat, com altres il·lícits a internet, no han parat de créixer als darrers anys. L'ús massiu de la tecnologia fa que, cada vegada més, ens relacionem a distància, per internet o per telèfon, i així resulta més fàcil suplantar. Per aquest motiu, alguns experts i el mateix Ministeri Fiscal van demanar -sense èxit- que, a la darrera reforma del Codi Penal de l'any 2015, es tipifiquessin les suplantacions com a delicte, perquè era un fenomen creixent que no s'estava combatent de forma adequada.
Actualment, el Codi Penal, per tant, no reconeix la suplantació d'identitat pròpiament com un delicte; només preveu la figura de la "usurpació de l'estat civil" (art. 401) que, sovint, no encaixa amb la suplantació d'identitat, ja que les usurpacions, a criteri dels Tribunals, requereixen continuïtat i persistència, a més de pretendre exercir els drets i accions de la persona suplantada de forma completa.
El Codi Penal, per tant, no reconeix la suplantació d'identitat pròpiament com un delicte
En paral·lel, succeeix que les suplantacions d'identitat acostumen a ser el mitjà, l'eina, que fan servir els ciberdelinqüents per cometre altres delictes, i afecten tant a persones físiques com jurídiques. El més habitual és l'estafa, en la seva modalitat de phising, que consisteix a enganyar a un usuari fent-se passar pel responsable d'una empresa per tal d'obtenir informació privada que permeti la sostracció econòmica. Per atribuir-se més credibilitat, el suplantador normalment utilitza marques o logos d'entitats de prestigi o noms de domini quasi idèntics als de l'entitat suplantada. Què es pot fer en aquests casos?
El suplantador normalment utilitza marques o logos d'entitats de prestigi o noms de domini
En l'àmbit preventiu:
- Mantenir els sistemes operatius i navegadors actualitzats amb les darreres versions que ofereix el fabricant i triar sempre claus d'accés llargues i segures i renovar-les periòdicament.
- No respondre els correus electrònics de remitents desconeguts amb informació privada i anar amb compte amb les connexions a xarxes de Wi-Fi públiques.
- Implementar protocols interns que reforcin el control dels moviments bancaris de l'empresa, per exemple, preveient que es sol·licitin certificats bancaris a les entitats financeres en el supòsit que un proveïdor notifiqui un canvi de número de compte o fixant sistemes de doble verificació abans d'autoritzar els moviments.
- Dur a terme auditories periòdiques de seguretat per conèixer el nivell de maduresa i robustesa de la seguretat de l'empresa, detectar debilitats i proposar accions de millora.
I a escala reactiva:
- Guardar el màxim de proves que evidenciïn la suplantació i, si s'escau, el posterior delicte que s'hagi comès (correus electrònics, missatges de text o de veu, etc.) i aportar-les a un notari o a un tercer de confiança per tal que certifiquin que les proves no s'han manipulat.
- Posteriorment, notificar l'il·lícit al titular de la plataforma digital on s'hagi produït la suplantació per tal que prengui les mesures adequades (actualment, per exemple, la majoria de plataformes com Facebook , Twitter o Instagram fa temps que preveuen la suplantació com una infracció de les seves normes de conducta) i, segons els casos, denunciar-ho al Ministeri Fiscal o a les autoritats administratives (com les Autoritats en matèria de protecció de dades), judicials i policials per tal que es persegueixi al suplantador.