Sono più di 10 anni che il phishing è in Rete e ciononostante continuano ad essere migliaia gli utenti che ogni giorno rimangono vittime di questo tipo di frode informatica. Una truffa che trae la propria denominazione dal verbo inglese “to fish” (pescare), in cui chi lancia l’esca è il phisher (il truffatore) e chi “abbocca” è l’ignaro internauta.

La dinamica del phishing è cosa nota, il criminale di turno con l’ausilio di social engineering e altri espedienti informatici, invia una email al cliente di una banca o più in generale di una società, fingendosi quest’ultima e invitando il destinatario -con le ragioni più varie e fantasiose- a cliccare su un certo link presente nel messaggio. Indirizzo che in realtà corrisponde a un sito web solo in apparenza identico a quello dell’istituto di credito, ma che in realtà è solo un’abile ricostruzione operata dal phisher per indurre la vittima a digitare i codici di autenticazione (username e password) del proprio conto on line o i dati della carta di credito.

Dalla metà degli anni 90, periodo in cui ufficialmente ha esordito il phishing, ad oggi, la frode si è notevolmente affinata e diffusa, non limitandosi necessariamente al perseguimento di un lucro pecuniario e investendo tecniche e forme sempre più varie e sofisticate; si parla infatti di phishing tramite email, VoIP, fax, sms etc., varianti che fanno più vittime di ieri grazie anche all’inflazionamento del fenomeno e alla diffusione di kit software “all inclusive” che permettono ai malviventi più inesperti di cimentarsi in tentativi abbastanza credibili di truffa.

Per quel che concerne gli aspetti giuridici, il nostro ordinamento non disciplina espressamente il phishing: è chiaro, tuttavia, che nelle caratteristiche e nella dinamica del fenomeno siano tracciabili e distinguibili alcune note fattispecie.

Procedere ad un tentativo di elencazione esaustiva di tali figure giuridiche può apparire di primo acchito comunque arduo, questo perchè l’evoluzione tecnologica e la condotta criminale di un phisher comportano aspetti (civili e penali) da sceverare con la dovuta analisi.

Innanzitutto l’aquisizione abusiva e il trattamento illecito di credenziali di autenticazione, di nome e cognome dell’intestatario del conto o del suo numero di carta di credito (a seconda della dinamica del caso di phishing) evidenziano la responsabilità extracontrattuale del phisher nei confronti della vittima, integrando il disposto di cui all’art.15 del d.lgs. 196 del 2003 c.d. Codice in materia di protezione dei dati personali, secondo cui «Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.».

Responsabilità accentuata dalle molteplici violazioni del Codice della Privacy poste in essere dal criminale di turno; a titolo esemplificativo si pensi a quella di cui all’art.23 (per il mancato consenso della vittima al fine di trattarne i dati bancari) e di cui all’art.122 che al co.1 sancisce il divieto di usare una rete di comunicazione elettronica «per accedere a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente», o anche, qualora il phisher agisse al fine di “rivendere” i nostri dati a bande criminali internazionali, alla violazione degli artt. 42 e 43 del Codice della Privacy (che regolamentano il trasferimento di dati personali all’estero).