Il phishing

Il phishing è un illecito civile e penale rientrante nelle nuove condotte criminose note come "cyber crimes". Ecco una breve guida al fenomeno


Insieme alla diffusione del sapere e delle informazioni, la rete Internet ha consentito, quale logica conseguenza, il proliferare di nuove condotte criminose, i c.d. "cyber crimes" che la Convenzione di Budapest del Consiglio d'Europa sulla criminalità informatica del 23.11.2001 (ratificata dall'Italia con l. n. 48/08) definisce come ogni tipo di violazione penale commessa per mezzo, con l'ausilio e/o avente ad oggetto un sistema o programma informatico. 
  1. Cos'è il phishing  
  2. Phishing significato e traduzione
  3. Evoluzione e dinamiche del fenomeno
  4. Phishing come illecito civile
  5. Phishing come illecito penale
  6. Come difendersi dal phishing
  7. Come segnalare il phishing

Cos'è il phishing  

Nell'ambito dei cyber crimes, si colloca il "phishing", consistente in una tecnica fraudolenta di "social engineering" mirante a carpire informazioni personali e sensibili (dati anagrafici; user id e password per i conti correnti online; codici carte di credito; ecc.) facendo leva sugli aspetti 'sociali' di internet, col fine di consumare illeciti bancari attraverso la rete, accedendo ai sistemi di home banking ovvero a conti correnti e servizi online per disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari. 

Phishing significato e traduzione

Il termine phishing deriva dalla commistione dei due termini inglesi fishing, ovverosia pescare, e phreaking, che è il vocabolo che identifica l'attività di coloro che studiano e sfruttano i telefoni, le compagnie telefoniche e i sistemi telefonici ricercando delle falle che consentano degli usi degli stessi alternativi rispetto a quelli previsti dalla legge.
Per altri, il termine phishing è solo una variante di fishing, collegata al linguaggio leet che, di norma, sostituisce la f con ph.
L'allusione alla pesca è comunque connessa con l'intenzione del phishing di "pescare" i dati finanziari e le password su internet.

Evoluzione e dinamiche del fenomeno

Il fenomeno ha fatto il suo esordio intorno alla metà degli anni '90 e si è talmente diffuso, con l'uso di tecniche e varianti sempre più sofisticate, da rappresentare un vero e proprio allarme per gli utenti e per i settori della sicurezza informatica e i servizi finanziari. 

La dinamica del phishing  

La dinamica standard del phishing è, ormai, nota. In genere, la modalità di manifestazione del fenomeno sfrutta i meccanismi di social engineering per l'invio di e-mail a catena a un elevato numero di utenti sconosciuti, contenenti messaggi, informazioni e immagini formulati per influenzare la psicologia del destinatario, il quale, ricevendo tali comunicazioni, apparentemente provenienti da enti, istituzioni o società reali, viene indotto a collegarsi a pagine web o siti non autentici, ma del tutto simili a quelli legittimi (mascherati attraverso un'operazione c.d. "typosquatting o "cybersquatting") e sollecitato a inserire le proprie credenziali per l'accesso ad aree riservate (soprattutto all'home banking), cliccando sui link approntati ad hoc dallo stesso phisher, oppure reindirizzato, attraverso i virus che il phisher ha infettato nel computer della vittima per alterare la gestione degli indirizzi Ip, a un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo a seccargli il conto (c.d. "pharming").
È chiaro che si è davanti ad un fenomeno complesso, dinamico e in continua evoluzione che è in grado di assumere molteplici forme e cambiare progressivamente modus operandi (basta pensare ai nuovi fenomeni del "vishing", dello "smishing" e del "twishing").
Atteso che nell'ordinamento giuridico italiano non esiste alcuna norma ad hoc, gli illeciti connessi al phishing vengono ricondotti, di volta in volta, nell'alveo delle diverse fattispecie di natura civile e penale disciplinate e punite dalla legge.

Phishing come illecito civile

Il comportamento del phisher configura, dal punto di vista dell'illecito civile, una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non cagionati alle vittime.
Secondo parte della dottrina, tra i soggetti responsabili del danno si possono ravvisare anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher.
La tesi della dottrina è stata accolta dalla giurisprudenza, la quale ha ravvisato una responsabilità dell'istituto di credito, condannandolo al risarcimento dei danni patiti dai correntisti, sul presupposto di un'inadeguatezza delle "misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico" tese ad "evitare prelievi fraudolenti (c.d. phishing)" (Trib. Palermo n. 81/2010; Trib. Siracusa, 15.3.2012), ovvero la responsabilità del gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, gravava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l'utente (Trib. Benevento, n. 1506/2009).
La responsabilità sul piano civile, in capo al phisher, viene accentuata, inoltre, da ulteriori molteplici violazioni sanzionate dalla disciplina sulla privacy.

Phishing come illecito penale

In ogni caso, le fattispecie più rilevanti, riconducibili al phishing, rimangono circoscritte all'ambito penale. 

Trattamento illecito di dati personali  

La condotta del phisher integra, innanzitutto, il reato di trattamento illecito di dati personali, di cui all'art. 167 del Codice della privacy, che punisce "chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato" operando in violazione delle diverse prescrizioni della normativa a tutela dei dati personali. La pena prevista varia a seconda di quali siano le previsioni violate e nell'ipotesi meno grave è quella della reclusione da sei mesi a un anno e sei mesi.

Truffa  

In via alternativa, la condotta del phisher integrerebbe anche il più grave reato di truffa ex art. 640, 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 EUR per "chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno" (c.d. semplice), ovvero quello di truffa aggravata, di cui al 2° co. dell'art. 640 c.p., allorquando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l'erroneo convincimento di dover eseguire l'ordine di un'autorità. 

Frode informatica  

Il phishing integra, inoltre, gli estremi del delitto di "frode informatica" per come definita dall'art. 640-ter c.p.c., che presuppone "un'alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo" (Trib. Milano 19.3.2007; Trib. Padova n. 75/2013). 

Altri illeciti penali  

Nella condotta del phisher possono anche ravvisarsi gli estremi del reato di cui all'art. 615-ter, 1° co., c.p., rubricato "Accesso abusivo ad un sistema informatico o telematico" (Gip Milano n. 13/2013), ovvero del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell'art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass. Pen. n. 37115/2002).
Alla luce delle novità introdotte dalla l. n. 146/2006 e dalla ll. n. 48/2008, di ratifica della convenzione Cybercrime, sono astrattamente configurabili in capo al phisher gli illeciti previsti dagli artt.: 635, bis, ter, quater e quinquies, c.p. relativi al danneggiamento di informazioni e sistemi informatici o telematici, ovvero l'art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull'identità o su qualità personali proprie o di altri.
Con riferimento al segmento finale della condotta criminosa del phisher, può altresì profilarsi l'applicazione del delitto di sostituzione di persona ex art. 494 c.p. (Trib. Milano 7.10.2011). Pur non corrispondendo ad una materiale sostituzione della persona, il fenomeno del c.d. "identity theft" comporta, infatti, l'utilizzo degli estremi identificativi della stessa, attraverso l'uso delle credenziali abusivamente ottenute per accedere ai sistemi informatici e porre in essere transazioni economiche (Cass. Pen. 46674/2007). 

I reati dei financial manager  

Strettamente connesso al phishing, infine, è il ruolo dei financial manager (ovvero i soggetti che si rendono disponibili alle operazioni di trasferimento delle somme prelevate indebitamente dai phisher), nei confronti dei quali la più recente giurisprudenza riconosce i delitti di ricettazione di cui all'art. 648 c.p. e riciclaggio ex art. 648-bis c.p., quando gli stessi abbiano agito con la consapevolezza ("dolo eventuale") della complessiva attività truffaldina (Cass. Pen. n. 9226/2013; Cass. Pen. n. 25960/2011; Cass. S.U. n. 12433/2009).

Come difendersi dal phishing

Per difendersi dal disegno criminoso dei phisher attacks, oltre al "buon senso" e all'attenzione nell'utilizzo della rete, ci si può affidare ai tutorial, alle guide, ai software, ai servizi di assistenza e agli strumenti e dispositivi di sicurezza messi a disposizione dalle istituzioni, dalle società e dagli stessi privati per consentire l'utilizzo di internet in condizioni di massima tranquillità.
Per chi, invece, è già caduto nell'esca gettata dal phisher e dai suoi collaboratori, stante l'assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali.
In alternativa, inoltre, l'utente può rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo introdotto dall'art. 128-bis della l. n. 262/2005 ("T.U. Bancario"), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari.
Il ricorso all'ABF, ovviamente, non preclude l'accesso all'ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.
Da più parti, tuttavia, considerato il tenore sempre più sofisticato dei phishing attacks, le ricadute economiche causate dalla commissione dei reati informatici e la lesione di beni giuridici meritevoli di tutela, si auspica la regolamentazione del settore con una disciplina organica ad hoc in grado di fornire risposte sistematiche e contrastare efficacemente il fenomeno. 

Come segnalare il phishing

Chi riceve un messaggio e-mail che rinvia a un sito di phishing e si accorge di essere incappato in un tentativo di attacco, non deve limitarsi a non cliccare sul link.
E' infatti utile che la vicenda venga segnalata alle autorità.
In particolare, ci si deve rivolgere alla polizia postale, raccontando i fatti e indicando l'intestazione del messaggio che si è ricevuto, in maniera tale da attivare tutti i controlli del caso e far scattare gli opportuni provvedimenti.

Aggiornamento: aprile 2019
Condividi
Seguici
Feedback

Newsletter f t in Rss