Il phishing ed il suo inquadramento nel diritto penale italiano
Può esservi capitato di ricevere messaggi di posta elettronica, spesso scritti in un italiano sgrammaticato e con errori grossolani, emulanti comunicazioni provenienti da presunti istituti di credito bancari o postali, società come Paypal o altri enti eroganti servizi di consulenza, credito e mediazione. Si tratta di email che, per risultare ancora più credibili agli occhi del lettore, in alcuni casi riportano addirittura una riproduzione più o meno fedele del logo della società emittente.
Ebbene, se vi è successo un episodio simile allora siete stati vittime di phishing, fenomeno fraudolento che può fermarsi al tentativo (quando gli errori sono palesi e le motivazioni così assurde che è abbastanza facile accorgersi del raggiro) o concludersi in una vera e propria frode informatica. Tale fenomeno, tristemente in espansione, prende il nome di “phishing” (dal vocabolo inglese “fishing”, letteralmente “pescare”) e sfrutta non soltanto i canali telematici ma anche quelli telefonici e meno frequentemente quelli postali.
La vittima del phishing viene invitata a fornire dati personali che consentano l'accesso ad informazioni riservate (ad esempio conti correnti bancari, password di accesso e codici di identificazione in genere) utilizzando come motivazione alla base di tali richieste perdita di dati, scadenza di parole di accesso, necessaria autenticazione allo svolgimento di operazioni particolari. A volte anche facendo riferimento a potenziali vincite nell'ordine di migliaia o addirittura di milioni di euro che comportino però il preventivo accesso al conto corrente d'appoggio del malcapitato.
Dal punto di vista normativo il nostro sistema penale non prevede una norma specifica che contempli il phishing. Per questo motivo tale condotta criminosa non costituisce ancora ipotesi punibile singolarmente ma deve essere “frazionata” per essere poi ricondotta ad altre norme già esistenti, sulla base dei principi della tipicità e della personalità del diritto penale. Queste norme possono essere, ad esempio, la falsificazione di comunicazione telematica1, la truffa2, il trattamento illecito di dati3, l'accesso abusivo in un sistema informatico o telematico4, la frode informatica5.
In questo momento di “vuoto” normativo, la Cassazione6, vedendosi sottoposta un caso rientrante in suddetta fattispecie, ha uniformato la giurisprudenza sul punto inquadrando la condotta tenuta da chi commette phishing nel delitto di frode informatica, individuando precisamente un elemento comune ad entrambe le fattispecie: si tratterebbe della modalità in cui vengono carpite le informazioni, dati in ogni caso contenuti in un “sistema informatico”. L'utilizzo abusivo di codici informatici di terzi, comunque ottenuti, contro la volontà dei relativi possessori, è infatti idoneo ad integrare la fattispecie di cui all'art. 640 c.p. ove le parole d'ordine d'accesso siano usate al fine di intervenire sui dati protetti “per procurare a sé o ad altri un ingiusto profitto”.
Per il momento resta a carico dell'interprete l'onere di considerare l'evento storico nel suo complesso, risalendo all'animus agendi del responsabile, considerandolo unitamente al comportamento tenuto dalla vittima. Tutto questo in attesa che il sistema penale italiano si adegui a quei comportamenti illeciti scaturenti dall'introduzione sempre incalzante di sistemi di comunicazione tecnologicamente avanzati.
1art. 617 sexies c.p.2art. 640 c.p.3art. 167 d.lg. 196/20034art. 615ter c.p.5art. 640ter c.p.6Cassazione Penale, sezione II, sentenza n. 9891 dell'11.03.2011
Data: 07/10/2012 11:00:00
Autore: Licia Albertazzi