Truffe via e-mail: il phishing
Tra i vari reati informatici, consistenti in “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o un programma informatico”[1], vi rientra il c.d. phishing[2], ossia quella forma di “truffa informatica effettuata inviando una e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico”[3]. Il phishing, a differenza del vishing (effettuato mediante chiamate telefoniche) e dello smishing (effettuato mediante l’invio di sms), si realizza tramite l’invio di e-mail.
La tecnica operativa di base del phishing consiste, attraverso l’utilizzo di tecniche di ingegneria sociale, nello sviluppo di un testo idoneo dal punto di vista dei contenuti, della struttura e della composizione grafica di riferimento, al fine di generare piena fiducia nei confronti del contenuto stesso da parte del soggetto ricevente ed indurre il medesimo all’esecuzione di una specifica azione. Questo testo solitamente è integrato in un’e-mail che viene “spammata”, ossia inviata ad un numero indeterminato e casuale di persone. Tramite questa e-mail il soggetto passivo viene persuaso a cliccare su un link che lo indirizzerà presso un sito web, creato ad hoc dal phisher (il soggetto attivo o attaccante) che riprodurrà in modo pressoché identico il sito web di un ente, un’istituzione o un’organizzazione privata. La pagina web, a sua volta, richiederà l’esecuzione di un’ulteriore azione da parte del soggetto passivo, come ad esempio l’inserimento di credenziali di accesso, dati personali o informazioni bancarie idonee a consentire al phisher di conseguire il vantaggio economico desiderato, tramite l’impiego delle informazioni illegittimamente acquisite. Un metodo che i truffatori spesso utilizzano per camuffare l’indirizzo web fasullo è quello di far comparire, nella barra degli indirizzi del browser, l’indirizzo reale dell’istituto di credito o delle società emittenti di carte di credito, rendendo invisibile o illeggibile l’indirizzo fasullo.
Dal momento che nel nostro ordinamento giuridico non esiste una norma specifica, gli illeciti connessi al phishing vengono ricondotti, di volta in volta, all’interno di fattispecie di natura civile e penale differenti.
Dal punto di vista civilistico, la condotta del phisher configura una responsabilità di tipo extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non causati alle vittime. Infatti, l’articolo 15 del decreto legislativo n. 196 del 2003, il c.d. Codice della Privacy, al comma primo, sancisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, prevedendo, al comma secondo, anche la risarcibilità del danno non patrimoniale. Secondo una tesi della dottrina – accolta da una parte della giurisprudenza[4] – tra i soggetti responsabili del danno rientrerebbero anche gli istituti di credito, gli enti e le società manipolate dal phisher, sulla base dell’articolo 31 del medesimo Codice, che sancisce per tali soggetti, in quanto titolari del trattamento dei dati dei propri clienti, l’obbligo di custodire e controllare “in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta”.
Dal punto di vista penale, invece, la condotta del phisher può integrare diverse fattispecie penali a seconda del bene giuridico tutelato.
Innanzitutto, integra il reato di trattamento illecito di dati personali, di cui all’articolo 167 del Codice della Privacy, che punisce “chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato”, viola diverse prescrizioni della normativa a tutela dei dati personali. La pena prevista varia a seconda di quali siano le previsioni violate: l’ipotesi meno grave prevede la reclusione da sei mesi ad un anno e sei mesi e quella più grave la reclusione da uno a tre anni.
Altro reato più grave integrabile è quello della truffa di cui all’articolo 640, comma primo, codice penale, che punisce “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”, ovvero quello di truffa aggravata, di cui al secondo comma del medesimo articolo, nell’ipotesi in cui il fatto sia commesso “ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dover eseguire un ordine dell’autorità”, ovvero “se il fatto è commesso a danno dello Stato o di un altro ente pubblico”. Infatti, quando si parla di artifizio si fa riferimento alla simulazione o dissimulazione della realtà, tale da indurre in errore il soggetto passivo, e quando si parla di raggiro si fa riferimento a ogni macchinazione finalizzata a far scambiare il falso con il vero. In ogni caso, con il phishing si tende a conseguire un ingiusto profitto con danno per la vittima.
Il phishing potrebbe integrare anche gli estremi della frode informatica, di cui all’articolo 640-ter codice penale, la quale, a differenza degli artifizi e raggiri richiesti per la truffa, richiede l’alterazione del funzionamento di un sistema informatico o telematico o l’intervento senza diritto con qualsiasi modalità su dati informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti[5]. Verrebbe integrata la frode informatica in luogo della truffa, ad esempio allorquando il phishing venga effettuato tramite l’utilizzo di software contenenti un codice maligno (come i malware o i trojan). Nel caso in cui, invece, la vittima fornisca i propri dati accedendo al link inviato a mezzo e-mail si tratterebbe di truffa ex articolo 640 codice penale[6].
Anche nel caso della frode informatica sono previste delle aggravanti: se il fatto è commesso a danno dello Stato o di altro ente pubblico, ovvero se è commesso con abuso delle qualità di operatore del sistema. Un’altra ipotesi aggravante di recente introduzione[7] si verifica quando “il fatto è commesso con furto o indebito utilizzo dell’identità digitale[8] in danno di uno o più soggetti”. Questa ipotesi aggravata della frode informatica è in grado di tutelare i diversi beni giuridici lesi dalla condotta del phisher che, precedentemente, veniva inquadrata nei reati di truffa e sostituzione di persona di cui all’articolo 494 codice penale[9].
Vi sono poi altre ipotesi cui astrattamente potrebbe essere ricondotto il phishing.
Si pensi all’articolo 615-ter codice penale, relativo all’accesso abusivo a un sistema informatico o telematico, che punisce l’introduzione o il mantenimento in un sistema informatico o telematico contro la volontà di chi ha diritto di escludere il phisher. Ovvero all’articolo 615-quater codice penale, relativo alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici, che punisce chi si procura abusivamente codici o parole chiave per profitto e con danno ad altri. Queste due fattispecie sono poste a tutela del domicilio informatico, quale ulteriore bene giuridico potenzialmente leso dalla condotta del phisher, ma escluderebbero la responsabilità penale della fase dell’adescamento della vittima, con relativa induzione in errore di quest’ultima, valorizzata invece nel reato di truffa.
Infine, alla luce delle novità introdotte dalla legge n. 146 del 2006 e dalla legge n. 48 del 2008, di ratifica della Convenzione Cybercrime, sono astrattamente configurabili anche gli illeciti di cui agli articoli 635-bis, ter, quater e quinquies, codice penale, relativi al danneggiamento di informazioni, dati e programmi informatici, di sistemi informatici o telematici. Ovvero l’articolo 495-bis codice penale sulla falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri.
Alla luce di queste considerazioni, emerge chiaramente quanto sia difficile inquadrare la variegata condotta del phisher nell’ambito penale, stante la frammentarietà delle norme coinvolte e i diversi beni giuridici tutelati dalle stesse. Pertanto, al fine di punire nel modo più completo il fenomeno sarebbe forse il caso forse di ricorrere al concorso tra diversi reati, tenuto conto dell’effettivo danno causato e delle varie modalità operative e tecnologiche che caratterizzano il fatto criminoso.
La giurisprudenza prevalente è in ogni caso orientata a ricondurre la condotta del phisher in via principale all’interno del reato di frode informatica, ex articolo 640-ter codice penale, aggravata dalla circostanza di cui al terzo comma relativa al furto o indebito utilizzo dell’identità digitale, in concorso formale con l’eventuale ipotesi di accesso abusivo ad un sistema informatico, ex articolo 615-bis codice penale[10].
In conclusione, il reato di phishing, qualunque sia l’inquadramento giuridico della condotta, è un fenomeno che deve essere attenzionato a causa del progredire della tecnologia e al proliferare delle insidie del web. Tra l’altro, ultimamente, i phisher hanno anche approfittato dell’attuale contesto pandemico per inviare e-mail che, sfruttando la scusa di condivisione di notizie relative al COVID-19, hanno diffuso malware, rubando le credenziali e il denaro di tante povere vittime. Pertanto, l’unica arma che abbiamo per contrastare un fenomeno così difficile da prevenire, a causa della facilità di diffusione sul web, è quella di dotarsi di un buon anti-spam per i nostri dispositivi collegati ad internet, nonché di attenzionare le e-mail che ci vengono inviate, ricordandosi di non condividere informazioni e dati sensibili senza prima verificare l’attendibilità del sito sul quale si sta navigando.
[1] Così definiti dalla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 novembre 2001, ratificata dall’Italia con la legge n. 48 del 2008.
[2] La parola Phishing fu coniata nel 1966 dagli hacker che rubarono password e accounts connessi agli utenti del portale America Online. In analogia con lo sport della pesca con amo – fishing – i phisher (attaccanti) utilizzavano delle e-mail esca contenenti ami per la “pesca” di password e dati finanziari dal “mare” degli utenti di internet. La sostituzione della lettera F con PH deriva dalla fusione del termine fishing con il termine phreaking, che è il vocabolo che identifica l’attività di coloro che studiano e sfruttano i telefoni, le compagnie telefoniche e i sistemi telefonici, cercando delle falle che consentano loro usi dei dispositivi alternativi rispetti a quelli previsti dalla legge.
[3] Cass. Pen., Sez. II, sentenza n. 10060 del 2017.
[4] Sentenza Trib. Palermo n. 81 del 2010; Trib. Benevento n. 1506 del 2009.
[5] “Il reato di frode informatica ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema” – Cass. Pen., Sez. II, sentenza n. 6958 del 2011; Cass. Pen, Sez. II, sentenza n. 41435 del 2016.
[6] Sebbene ultimamente si segnalano arresti giurisprudenziali che riconducono anche il phishing effettuato mediante e-mail con dati forniti direttamente dalla vittima all’illecito di cui all’art. 640-ter codice penale: Cass. Pen., Sez. II, sentenza del 14 gennaio 2019.
[7] Decreto Legge n. 93/2013.
[8] Per identità digitale si intende una rappresentazione informatica della corrispondenza biunivoca tra un utente ed i suoi attributi identificativi. Nel caso del phishing, l’identità digitale verrebbe sottratta nel momento in cui il phisher apprende le credenziali di accesso alle fonti patrimoniali e finanziarie del soggetto passivo.
[9] Il reato di sostituzione di persona tutela la fede pubblica e punisce quei comportamenti posti in essere al fine di sostituire illegittimamente la propria all’altrui persona o attribuire a sé o ad altri un falso nome, un falso stato o una qualità a cui la legge ricollega effetti giuridici. Questa fattispecie consente di valorizzare il primo aspetto che viene in rilievo con il phishing, ossia il momento in cui il soggetto passivo, tratto in inganno, fornisce le credenziali al phisher e quest’ultimo le utilizza per accedere al sistema informatico della vittima (sul punto, la Cassazione penale – sentenza n. 46674 del 2007 – ha infatti affermato che, sebbene non corrisponda ad una materiale sostituzione della persona, il furto di identità comporta anche l’utilizzo degli estremi identificativi della medesima). Tuttavia, come si può notare, questa fattispecie non descrive appieno il fenomeno del phishing, non venendo in tal modo valorizzato lo scopo per il quale il phisher trae in inganno la vittima acquisendo la sua identità digitale: ossia il vantaggio patrimoniale ingiusto cui effettivamente tende il phishing.
[10] Non mancano comunque orientamenti contrari. V. g.i.p. Milano 29 marzo 2008, Merito 08, 48: “nel delitto di cui all’art. 640-ter c.p., il sistema telematico ed informatico non viene invero raggirato, non potendo essere a differenza di una persona fisica, essere indotto in errore. Risulta invece come al momento in cui il phisher lancia il proprio attacco, mascherandosi con il riprodurre siti web che costituiscono abituali interlocutori del soggetto passivo, riproduce pedissequamente lo schema del requisito della induzione in errore del soggetto passivo che rappresenta il nodo centrale della fattispecie prevista e punita dall’art. 640 c.p. Evidenti sono infatti gli artifici ed i raggiri posti in essere da chi utilizza una e-mail dove vengono riprodotti colori, marchi ed altre caratteristiche che si rinvengono, nella normalità delle modalità di relazione con l’interlocutore, le cui sembianze l’agente assume. Nel caso di specie, dunque, l’artificio inteso come manipolazione della realtà, ed il raggiro, inteso come attività volta a far scambiare il falso per il vero, sono dunque contestuali”.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Elena Avenia
Nata ad Agrigento nel 1994. Laureata con pieni voti e lode nel luglio del 2018, presso l'Università degli studi di Enna Kore, con una tesi in diritto processuale penale dal titolo "L'ascolto del minore nel processo penale". Diplomata nel luglio 2020 presso la Scuola di specializzazione per le professioni legali dell'Università degli studi di Catania. Abilitata alla professione forense il 21 settembre 2020.
Latest posts by Elena Avenia (see all)
- Adozione per coppie omosessuali: arriva il sì dalla Cassazione - 10 April 2021
- Prelievo forzoso di ovociti: violenza privata o rapina? - 5 March 2021
- Truffe via e-mail: il phishing - 15 February 2021