Il phishing

di Rocco Gianluca Massa

scritto il

È forse il reato informatico più infimo, temuto e, anche se conosciuto, imperversa da più di 10 anni in rete facendo leva sugli aspetti "sociali" di internet

Sono più di 10 anni che il phishing è in Rete e ciononostante continuano ad essere migliaia gli utenti che ogni giorno rimangono vittime di questo tipo di frode informatica. Una truffa che trae la propria denominazione dal verbo inglese “to fish” (pescare), in cui chi lancia l’esca è il phisher (il truffatore) e chi “abbocca” è l’ignaro internauta.

La dinamica del phishing è cosa nota, il criminale di turno con l’ausilio di social engineering e altri espedienti informatici, invia una email al cliente di una banca o più in generale di una società, fingendosi quest’ultima e invitando il destinatario -con le ragioni più varie e fantasiose- a cliccare su un certo link presente nel messaggio. Indirizzo che in realtà corrisponde a un sito web solo in apparenza identico a quello dell’istituto di credito, ma che in realtà è solo un’abile ricostruzione operata dal phisher per indurre la vittima a digitare i codici di autenticazione (username e password) del proprio conto on line o i dati della carta di credito.

Dalla metà degli anni 90, periodo in cui ufficialmente ha esordito il phishing, ad oggi, la frode si è notevolmente affinata e diffusa, non limitandosi necessariamente al perseguimento di un lucro pecuniario e investendo tecniche e forme sempre più varie e sofisticate; si parla infatti di phishing tramite email, VoIP, fax, sms etc., varianti che fanno più vittime di ieri grazie anche all’inflazionamento del fenomeno e alla diffusione di kit software “all inclusive” che permettono ai malviventi più inesperti di cimentarsi in tentativi abbastanza credibili di truffa.

Per quel che concerne gli aspetti giuridici, il nostro ordinamento non disciplina espressamente il phishing: è chiaro, tuttavia, che nelle caratteristiche e nella dinamica del fenomeno siano tracciabili e distinguibili alcune note fattispecie.

Procedere ad un tentativo di elencazione esaustiva di tali figure giuridiche può apparire di primo acchito comunque arduo, questo perchè l’evoluzione tecnologica e la condotta criminale di un phisher comportano aspetti (civili e penali) da sceverare con la dovuta analisi.

Innanzitutto l’aquisizione abusiva e il trattamento illecito di credenziali di autenticazione, di nome e cognome dell’intestatario del conto o del suo numero di carta di credito (a seconda della dinamica del caso di phishing) evidenziano la responsabilità extracontrattuale del phisher nei confronti della vittima, integrando il disposto di cui all’art.15 del d.lgs. 196 del 2003 c.d. Codice in materia di protezione dei dati personali, secondo cui «Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.».

Responsabilità accentuata dalle molteplici violazioni del Codice della Privacy poste in essere dal criminale di turno; a titolo esemplificativo si pensi a quella di cui all’art.23 (per il mancato consenso della vittima al fine di trattarne i dati bancari) e di cui all’art.122 che al co.1 sancisce il divieto di usare una rete di comunicazione elettronica «per accedere a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente», o anche, qualora il phisher agisse al fine di “rivendere” i nostri dati a bande criminali internazionali, alla violazione degli artt. 42 e 43 del Codice della Privacy (che regolamentano il trasferimento di dati personali all’estero).

Punto di riferimento, seppur concernente l’ambito penale, resta tuttavia l’art.167 del Codice, che configura il reato di trattamento illecito di dati personali e che punisce, se dal fatto deriva nocumento e salvo che il fatto costituisca più grave reato, «[…] chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli […]» , con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

Reato che il phisher commetterebbe con l’acquisizione ingannevole e la successiva gestione dei dati della vittima.

Anche l’art. 615 quater del codice penale (rubricato “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici“), prevede un’ipotesi delittuosa per certi versi simile a quella appena vista, disponendo al riguardo che «chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164».

Restando alla fase “iniziale” (quella della “cattura” dei dati digitati dalla vittima) della frode informatica di che trattasi, va anche detto che il criminale di turno con l’invio dell’email truffaldina fa un uso indebito del nome e/o del logo dell’istituto di credito o della società-esca, in alcuni casi (si pensi al c.d.Vishing, ovvero il phishing realizzato a mezzo VoIP) non limitandosi alle email ma arrivando a contattare telefonicamente la vittima, fingendosi un certo impiegato di banca, in violazione dell’art. 494 c.p.(rubricato “Sostituzione di persona“, a tal fine si veda anche l’art.7 del c.c. sulla “Tutela del diritto al nome“) e, per gli istituti di credito coinvolti, della normativa in materia di marchi e brevetti di cui al Decreto legislativo 10 febbraio 2005, n.30 (Codice della proprieta’ industriale).

Si parla, normalmente, di responsabilità limitatamente al phisher e di parti lese, nonchè legittimati attivi, gli istituti di credito e i clienti vittime del raggiro, ma non è esclusa la possibilità che a rispondere del danno ingiusto procurato al cliente sia anche lo stesso istituto, laddove non abbia adottato le misure di sicurezza di cui agli artt. 31 e ss. del D.Lgs 196 del 2003; si ricorda a tal proposito che la mancata adozione delle misure di cui all’art.33 costituisce per il Codice della Privacy illecito penale (ex art.169).

A tal fine è bene comunque che il ruolo dell’istituto di credito/società vittima a sua volta del phisher, vada valutato con attenzione e non solo in relazione alle norme appena viste: si pensi ad es. all’ipotesi in cui la banca non abbia adeguatamente informato il cliente sui rischi di truffa o sulla possibilità che il proprio sito venga inglobato in un layout multiframe truffaldino, circostanze che potrebbero rilevarne una potenziale responsabilità contrattuale e/o aquiliana.

Le fattispecie più rilevanti riconducibili al phishing restano comunque circoscritte al penale: la condotta del phisher integrerebbe infatti in generale il reato di truffa ex art. 640 c.p., norma che al co.1 prevede la reclusione da sei mesi a tre anni e la multa da 51 a 1.032 euro per «chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno» (c.d. truffa semplice).

Inoltre, l’illegittima acquisizione dei dati della vittima (ad es. nome utente e password) ed il successivo utilizzo da parte del phisher per accedere al portale dell’istituto di credito ed incassare una certa somma di denaro, configurerebbe in primis il reato di cui all’art. art.615 ter c.p. (rubricato “Accesso abusivo ad un sistema informatico o telematico“) il cui enunciato al co.1 è il seguente: «Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni»; in secundis, il reato di frode informatica ex art. 640 ter, norma che al co.1 dispone: «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032».

Come è evidente siamo di fronte ad una fattispecie criminosa particolarmente complessa ed ampia: caratteri che emergono ulteriormente se si considera il ruolo dell’istituto di credito o della società nel perfezionarsi della condotta illecita di che trattasi. Non è escluso, inoltre, che in sede giudiziaria le figure delittuose focalizzate siano ulteriori e più gravi (è il caso del reato di truffa aggravata) ove la frode sia consumata -come spesso accade- «ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità», o che le pretese risarcitorie vadano oltre il semplice pregiudizio economico, potendo la banca lamentare il danno all’immagine e il cliente addurre anche un danno esistenziale: emblematica in tal senso è ad es. la situazione di disagio patita dalla vittima nell’esercizio della propria attività lavorativa contestualmente e conseguentemente all’illecito.

Concludendo, è indubbio che una svolta decisiva -forse definitiva- nella lotta al phishing si avrà nei prossimi anni; se da un lato infatti vi è già chi in dottrina e in giurisprudenza auspica l’introduzione di una fattispecie delittuosa ad hoc, dall’altro il progresso tecnologico permetterà la programmazione di applicativi sempre più efficaci nel riconoscere email e pagine ingannevoli. L’unico rammarico in tutto ciò è che i phishers non resteranno a guardare e quasi sicuramente troveranno altri metodi per carpire la buona fede degli internauti con l’ausilio del social engineering.