Phishing
Il phishing è un illecito civile e penale che consiste in una truffa su internet attraverso la quale si cerca di ingannare la vittima con lo scopo di carpire importanti informazioni sensibili (come numeri di carta di credito, password home banking, ecc.)
- Cos'è il phishing
- Phishing significato e traduzione
- Evoluzione e dinamiche del fenomeno
- Phishing illecito civile
- Phishing illecito penale
- Come proteggersi dal phishing
- Come segnalare il phishing
Cos'è il phishing
Nell'ambito dei cyber crimes, si colloca il "phishing", consistente in una tecnica fraudolenta di "social engineering" mirante a carpire informazioni personali e sensibili (dati anagrafici; user id e password per i conti correnti online; codici carte di credito; ecc.) facendo leva sugli aspetti 'sociali' di internet, col fine di consumare illeciti bancari attraverso la rete, accedendo ai sistemi di home banking ovvero a conti correnti e servizi online per disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari.
Phishing significato e traduzione
Il termine phishing deriva dalla commistione dei due termini inglesi fishing, ovverosia pescare, e phreaking, che è il vocabolo che identifica l'attività di coloro che studiano e sfruttano i telefoni, le compagnie telefoniche e i sistemi telefonici ricercando delle falle che consentano degli usi degli stessi alternativi rispetto a quelli previsti dalla legge.
Per altri, il termine phishing è solo una variante di fishing, collegata al linguaggio leet che, di norma, sostituisce la f con ph.
L'allusione alla pesca è comunque connessa con l'intenzione del phishing di "pescare" i dati finanziari e le password su internet.
Evoluzione e dinamiche del fenomeno
La dinamica del phishing
La dinamica standard del phishing è, ormai, nota.
In genere, si parla di e-mail phishing, in quanto la modalità di manifestazione del fenomeno sfrutta i meccanismi di social engineering per l'invio di e-mail a catena a un elevato numero di utenti sconosciuti, contenenti messaggi, informazioni e immagini formulati per influenzare la psicologia del destinatario, il quale, ricevendo tali comunicazioni, apparentemente provenienti da enti, istituzioni o società reali, viene indotto a collegarsi a pagine web o siti non autentici, ma del tutto simili a quelli legittimi (mascherati attraverso un'operazione c.d. "typosquatting o "cybersquatting") e sollecitato a inserire le proprie credenziali per l'accesso ad aree riservate (soprattutto all'home banking), cliccando sui link approntati ad hoc dallo stesso phisher, oppure reindirizzato, attraverso i virus che il phisher ha infettato nel computer della vittima per alterare la gestione degli indirizzi Ip, a un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo a seccargli il conto (c.d. "pharming").
Oltre che tramite e-mail, sta iniziando a diffondersi ampiamente anche il phishing su Facebook.
È chiaro che si è davanti ad un fenomeno complesso, dinamico e in continua evoluzione che è in grado di assumere molteplici forme e cambiare progressivamente modus operandi (basta pensare ai nuovi fenomeni del "vishing", dello "smishing" e del "twishing").
Atteso che nell'ordinamento giuridico italiano non esiste alcuna norma ad hoc, gli illeciti connessi al phishing vengono ricondotti, di volta in volta, nell'alveo delle diverse fattispecie di natura civile e penale disciplinate e punite dalla legge.
Phishing illecito civile
Il comportamento del phisher configura, dal punto di vista dell'illecito civile, una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non cagionati alle vittime.
Secondo parte della dottrina, tra i soggetti responsabili del danno si possono ravvisare anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher.
La tesi della dottrina è stata accolta dalla giurisprudenza, la quale ha ravvisato una responsabilità dell'istituto di credito, condannandolo al risarcimento dei danni patiti dai correntisti, sul presupposto di un'inadeguatezza delle "misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico" tese ad "evitare prelievi fraudolenti (c.d. phishing)" (Trib. Palermo n. 81/2010; Trib. Siracusa, 15.3.2012), ovvero la responsabilità del gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, gravava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l'utente (Trib. Benevento, n. 1506/2009).
La responsabilità sul piano civile, in capo al phisher, viene accentuata, inoltre, da ulteriori molteplici violazioni sanzionate dalla disciplina sulla privacy.
Phishing illecito penale
Trattamento illecito di dati personali
La condotta del phisher integra, innanzitutto, il reato di trattamento illecito di dati personali, di cui all'art. 167 del Codice della privacy, che punisce "chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato" operando in violazione delle diverse prescrizioni della normativa a tutela dei dati personali. La pena prevista varia a seconda di quali siano le previsioni violate e nell'ipotesi meno grave è quella della reclusione da sei mesi a un anno e sei mesi.Truffa
Frode informatica
Il phishing integra, inoltre, gli estremi del delitto di "frode informatica" per come definita dall'art. 640-ter c.p.c., che presuppone "un'alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo" (Trib. Milano 19.3.2007; Trib. Padova n. 75/2013).Altri illeciti penali
Nella condotta del phisher possono anche ravvisarsi gli estremi del reato di cui all'art. 615-ter, 1° co., c.p., rubricato "Accesso abusivo ad un sistema informatico o telematico" (Gip Milano n. 13/2013), ovvero del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell'art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass. Pen. n. 37115/2002).
Alla luce delle novità introdotte dalla l. n. 146/2006 e dalla ll. n. 48/2008, di ratifica della convenzione Cybercrime, sono astrattamente configurabili in capo al phisher gli illeciti previsti dagli artt.: 635, bis, ter, quater e quinquies, c.p. relativi al danneggiamento di informazioni e sistemi informatici o telematici, ovvero l'art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull'identità o su qualità personali proprie o di altri.
Con riferimento al segmento finale della condotta criminosa del phisher, può altresì profilarsi l'applicazione del delitto di sostituzione di persona ex art. 494 c.p. (Trib. Milano 7.10.2011). Pur non corrispondendo ad una materiale sostituzione della persona, il fenomeno del c.d. "identity theft" comporta, infatti, l'utilizzo degli estremi identificativi della stessa, attraverso l'uso delle credenziali abusivamente ottenute per accedere ai sistemi informatici e porre in essere transazioni economiche (Cass. Pen. 46674/2007).
I reati dei financial manager
Strettamente connesso al phishing, infine, è il ruolo dei financial manager (ovvero i soggetti che si rendono disponibili alle operazioni di trasferimento delle somme prelevate indebitamente dai phisher), nei confronti dei quali la più recente giurisprudenza riconosce i delitti di ricettazione di cui all'art. 648 c.p. e riciclaggio ex art. 648-bis c.p., quando gli stessi abbiano agito con la consapevolezza ("dolo eventuale") della complessiva attività truffaldina (Cass. Pen. n. 9226/2013; Cass. Pen. n. 25960/2011; Cass. S.U. n. 12433/2009).Come proteggersi dal phishing
Per difendersi dal disegno criminoso dei phisher attacks, le prime cose da fare sono scaricare un antivirus, accertarsi di essere dotati di firewall ed evitare di scaricare software di dubbia provenienza, che potrebbero rivelarsi dei trojan o altri malware suggeriti da hacker (che spesso innescano degli algoritmi di criptografia che rendono inutilizzabili i dati se non previo pagamento di un riscatto).
Oltre al "buon senso" e all'attenzione nell'utilizzo della rete, ci si può affidare ai tutorial, alle guide, ai software, ai servizi di assistenza e agli strumenti e dispositivi di sicurezza messi a disposizione dalle istituzioni, dalle società e dagli stessi privati per consentire l'utilizzo di internet in condizioni di massima tranquillità. Sicuramente, la prima cosa
Per chi, invece, è già caduto nell'esca gettata dal phisher e dai suoi collaboratori, stante l'assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali.
In alternativa, inoltre, l'utente può rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo introdotto dall'art. 128-bis della l. n. 262/2005 ("T.U. Bancario"), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari.
Il ricorso all'ABF, ovviamente, non preclude l'accesso all'ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.
Da più parti, tuttavia, considerato il tenore sempre più sofisticato dei phishing attacks, le ricadute economiche causate dalla commissione dei reati informatici e la lesione di beni giuridici meritevoli di tutela, si auspica la regolamentazione del settore con una disciplina organica ad hoc in grado di fornire risposte sistematiche e contrastare efficacemente il fenomeno.
Come segnalare il phishing
Chi riceve un messaggio e-mail che rinvia a un sito di phishing e si accorge di essere incappato in un tentativo di attacco, non deve limitarsi a non cliccare sul link.
E' infatti utile che la vicenda venga segnalata alle autorità.
In particolare, ci si deve rivolgere alla polizia postale, raccontando i fatti e indicando l'intestazione del messaggio che si è ricevuto, in maniera tale da attivare tutti i controlli del caso e far scattare gli opportuni provvedimenti.