Il phishing: un illecito civile e penale

Indice della guida


Insieme alla diffusione del sapere e delle informazioni, la rete Internet ha consentito, quale logica conseguenza, il proliferare di nuove condotte criminose, i c.d. "cyber crimes" che la Convenzione di Budapest del Consiglio d'Europa sulla criminalità informatica del 23.11.2001 (ratificata dall'Italia con l. n. 48/08) definisce come ogni tipo di violazione penale commessa per mezzo, con l'ausilio e/o avente ad oggetto un sistema o programma informatico.
Nell'ambito dei cyber crimes, si colloca il "phishing", termine derivante dall'unione tra il vocabolo inglese "fishing" (pescare) associato a "phreaking" ('hacking' telefonico), consistente in una tecnica fraudolenta di "social engineering" mirante a carpire informazioni personali e sensibili (dati anagrafici; user id e password per i conti correnti online; codici carte di credito; ecc.) facendo leva sugli aspetti 'sociali' di internet, col fine di consumare illeciti bancari attraverso la rete, accedendo ai sistemi di home banking ovvero a conti correnti e servizi online per disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari.

Evoluzione e dinamiche del fenomeno


Il fenomeno ha fatto il suo esordio intorno alla metà degli anni '90 e si è talmente diffuso, con l'uso di tecniche e varianti sempre più sofisticate da rappresentare un vero e proprio allarme per gli utenti e per i settori della sicurezza informatica e i servizi finanziari.
La dinamica standard del phishing è, ormai, nota. In genere, la modalità di manifestazione del fenomeno, sfrutta i meccanismi di social engineering per l'invio di e-mail a catena, ad un elevato numero di utenti sconosciuti, contenenti messaggi, informazioni ed immagini formulati per influenzare la psicologia del destinatario, il quale, ricevendo tali comunicazioni, apparentemente provenienti da enti, istituzioni o società reali, viene indotto a collegarsi a pagine web o siti non autentici, ma del tutto simili a quelli legittimi (mascherati attraverso un'operazione c.d. "typosquatting o "cybersquatting") e sollecitato ad inserire le proprie credenziali per l'accesso ad aree riservate (soprattutto all'home banking), cliccando sui link approntati ad hoc dallo stesso phisher, oppure reindirizzato, attraverso i virus che il phisher ha infettato nel computer della vittima per alterare la gestione degli indirizzi Ip, ad un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo a seccargli il conto (c.d. "pharming").
È chiaro che si è davanti ad un fenomeno complesso, dinamico e in continua evoluzione che è in grado di assumere molteplici forme e cambiare progressivamente modus operandi (basta pensare ai nuovi fenomeni del "vishing", dello "smishing" e del "twishing").
Atteso che nell'ordinamento giuridico italiano non esiste alcuna norma ad hoc, gli illeciti connessi al phishing vengono ricondotti, di volta in volta, nell'alveo delle diverse fattispecie di natura civile e penale disciplinate e punite dalla legge.

Gli illeciti civili


Il comportamento del phisher configura, dal punto di vista dell'illecito civile, una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non cagionati alle vittime.
A venire in rilievo, innanzitutto, è la responsabilità del phisher conseguente all'acquisizione abusiva e all'illecito trattamento dei dati che, oltre agli effetti sul piano penale, per violazione della norma di cui all'art. 167 del d.lg. n. 196/2003, c.d. "Codice Privacy", integrano il disposto di cui all'art. 15 dello stesso codice, il quale, al 1° co., sancisce che "chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile", aggiungendo al 2° comma la risarcibilità del danno non patrimoniale "anche in caso di violazione" del precedente art. 11.
Secondo parte della dottrina, nella formulazione di cui all'art. 15 del Codice della privacy, si possono individuare, tra i soggetti responsabili del danno anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher, sulla base del combinato disposto del successivo art. 31, che sancisce per i medesimi soggetti, quali titolari del trattamento dei dati dei propri clienti, l'obbligo di custodire e controllare "in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".
La tesi della dottrina è stata accolta dalla giurisprudenza, la quale ha ravvisato una responsabilità dell'istituto di credito, condannandolo al risarcimento dei danni patiti dai correntisti, sul presupposto di un'inadeguatezza delle "misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico" tese ad "evitare prelievi fraudolenti (c.d. phishing)", in ottemperanza all'art. 31 del d.lg. n. 196/03 (Trib. Palermo n. 81/2010; Trib. Siracusa, 15.3.2012), ovvero la responsabilità del gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, gravava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l'utente (Trib. Benevento, n. 1506/2009).
La responsabilità sul piano civile, in capo al phisher, viene accentuata, inoltre, dalle molteplici violazioni sanzionate dal Codice della privacy: come quelle di cui all'art. 23 per il mancato consenso della vittima al trattamento dei dati e di cui all'art. 122 che al 1° comma sancisce il divieto di utilizzare una rete di comunicazione elettronica al fine di "accedere ad informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente".

Gli illeciti penali


In ogni caso, le fattispecie più rilevanti, riconducibili al phishing, rimangono circoscritte all'ambito penale.
La condotta del phisher integra, innanzitutto, il reato di trattamento illecito di dati personali, di cui all'art. 167 del Codice della privacy, che punisce "chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali" con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, nonché l'illecito penale per violazione delle misure di sicurezza previsto per i titolari del trattamento dati ex art. 169 del Codice.
In via alternativa, la condotta del phisher integrerebbe anche il più grave reato di truffa ex art. 640, 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 EUR per "chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno" (c.d. semplice), ovvero quello di truffa aggravata, di cui al 2° co. dell'art. 640 c.p., allorquando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l'erroneo convincimento di dover eseguire l'ordine di un'autorità.
Il phishing integra, inoltre, gli estremi del delitto di "frode informatica" per come definita dall'art. 640-ter c.p.c., che presuppone "un'alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo" (Trib. Milano 19.3.2007; Trib. Padova n. 75/2013).
Nella condotta del phisher possono anche ravvisarsi gli estremi del reato di cui all'art. 615-ter, 1° co., c.p., rubricato "Accesso abusivo ad un sistema informatico o telematico" (Gip Milano n. 13/2013), ovvero del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell'art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass. Pen. n. 37115/2002).
Alla luce delle novità introdotte dalla l. n. 146/2006 e dalla ll. n. 48/2008, di ratifica della convenzione Cybercrime, sono astrattamente configurabili in capo al phisher gli illeciti previsti dagli artt.: 635, bis, ter, quater e quinquies, c.p. relativi al danneggiamento di informazioni e sistemi informatici o telematici, ovvero l'art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull'identità o su qualità personali proprie o di altri.
Con riferimento al segmento finale della condotta criminosa del phisher, può altresì profilarsi l'applicazione del delitto di sostituzione di persona ex art. 494 c.p. (Trib. Milano 7.10.2011). Pur non corrispondendo ad una materiale sostituzione della persona, il fenomeno del c.d. "identity theft" comporta, infatti, l'utilizzo degli estremi identificativi della stessa, attraverso l'uso delle credenziali abusivamente ottenute per accedere ai sistemi informatici e porre in essere transazioni economiche (Cass. Pen. 46674/2007).
Strettamente connesso al phishing, infine, è il ruolo dei financial manager (ovvero i soggetti che si rendono disponibili alle operazioni di trasferimento delle somme prelevate indebitamente dai phisher), nei confronti dei quali la più recente giurisprudenza riconosce i delitti di ricettazione di cui all'art. 648 c.p. e riciclaggio ex art. 648-bis c.p., quando gli stessi abbiano agito con la consapevolezza ("dolo eventuale") della complessiva attività truffaldina (Cass. Pen. n. 9226/2013; Cass. Pen. n. 25960/2011; Cass. S.U. n. 12433/2009).

Difendersi dal phishing


Per difendersi dal disegno criminoso dei phisher attacks, oltre al "buon senso" e all'attenzione nell'utilizzo della rete, ci si può affidare ai tutorial, alle guide, ai software, ai servizi di assistenza e agli strumenti e dispositivi di sicurezza messi a disposizione dalle istituzioni, dalle società e dagli stessi privati per consentire l'utilizzo di internet in condizioni di massima tranquillità.
Per chi, invece, è già caduto nell'esca gettata dal phisher e dai suoi collaboratori, stante l'assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali.
In alternativa, inoltre, l'utente può rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo introdotto dall'art. 128-bis della l. n. 262/2005 ("T.U. Bancario"), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari.
Il ricorso all'ABF, ovviamente, non preclude l'accesso all'ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.
Da più parti, tuttavia, considerato il tenore sempre più sofisticato dei phishing attacks, le ricadute economiche causate dalla commissione dei reati informatici e la lesione di beni giuridici meritevoli di tutela, si auspica la regolamentazione del settore con una disciplina organica ad hoc in grado di fornire risposte sistematiche e contrastare efficacemente il fenomeno.
Seguici:
Print Friendly and PDF
Arricchisci questa guida con un tuo commento:
blog comments powered by Disqus
bottone newsletter Icona Facebook Icona Rss Icona Google plus Icona twitter Icona linkedin