Il phishing (termine che deriva dalla fusione dei termini inglesi phreaking, che indica una tecnica utilizzata negli anni ’70 per effettuare telefonate senza pagare e fishing, pescare) è una truffa informatica che sfrutta una tecnica di ingegneria sociale effettuata mediante l’invio di e-mail che imitano, nell’aspetto e nel contenuto, messaggi legittimi per lo più di fornitori di servizi, o di mittenti ricorrenti. Mediante l’invio di tali e-mail, il criminale invia il destinatario a fornire dati riservati, o rispondendo all’e-mail stessa, o, più frequentemente, cliccando su un link che riporta ad un sito web con un form da compilare.
Il fenomeno del phishing comprende una pluralità di tecniche di sottrazione dei dati informatici, ma quella maggiormente usata dal criminale consiste nello sviluppo e contestuale creazione di testi idonei a generare piena fiducia nei confronti del contenuto medesimo da parte del destinatario del messaggio.
Una volta aperto il link, la vittima si potrebbe trovare in una pagina pressoché identica a quella originale del proprio fornitore di servizi (ad esempio la propria compagnia elettrica, il proprio gestore telefonico, o la propria banca). A quel punto il criminale potrà o direttamente ottenere le credenziali dalla vittima o potrà scaricare sul dispositivo di essa un malware ed infettarlo (il malware è un virus che si annida in modo silenzioso nel dispositivo, senza creare alcun apparente malfunzionamento del sistema, per poi sottrarre informazioni riservate ad esempio sui conti bancari o per dirottare gli utenti su veri e propri siti clone al momento della digitazione del sito della propria banca).
In ogni caso, una volta ottenuti i codici, il criminale accede abusivamente al sistema e usa le credenziali per scopi fraudolenti, quali l’acquisto di beni o la disposizione di uno o più bonifici on-line a favore suo o di un altri soggetti cointeressati.
Generalmente non vi è una vittima specifica, il phishing infatti di solito trae origine dall’invio indiscriminato di e-mail a un vasto numero di destinatari, apparentemente provenienti da istituti bancari. Tali comunicazioni possono informare gli utenti di presunti problemi tecnici verificatisi sui server dell’istituto di credito o della necessità di aggiornare il sistema stesso. Al fine di risolvere la questione segnalata, il messaggio di posta elettronica fraudolento induce i destinatari a inserire o modificare i propri codici di accesso personali relativi ai conti on-line.
Gli attacchi di phishing sono in continuo e costante aumento, e mirano solitamente:
- a convincere la vittima ad aprire un allegato contenente un malware;
- convincere la vittima a cliccare su un link che porta a un sito fraudolento;
- convincere la vittima a rivelare i suoi dati o le sue credenziali rispondendo all’e-mail o comunicandole in una chat.
Allo stato attuale, manca una disciplina giuridica ad hoc per il phishing il quale, comunque, assume una valenza plurioffensiva, entrando in rilievo diverse fattispecie di reato a seconda dei casi: art. 494 c.p. (sostituzione di persona), art. 615-ter c.p. (accesso abusivo ad un sistema informatico o telematico), art. 615-quater c.p. (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), art. 615-quinquies c.p. (diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico), art. 640-ter c.p. (frode informatica).
Con riferimento a tale ultima fattispecie di reato, la Corte di Cassazione si è pronunciata su un caso di false comunicazioni che richiedevano, mediante inganno, la divulgazione di dati personali da parte di un sito clone di Poste Italiane. In questa circostanza, la Corte ha enunciato il principio secondo cui «integra il reato di frode informatica, e non già soltanto quello di accesso abusivo ad un sistema informatico o telematico, la condotta di introduzione nel sistema informatico delle Poste italiane S.p.A. mediante l’abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro depositate sul conto corrente del predetto» (Cass. pen., Sez. II, 24/02/2011, n. 9891).
Già precedentemente era stato ritenuto che l’illecita acquisizione di codici di accesso a conti correnti bancari e postali ed il loro successivo utilizzo per effettuare prelievi e bonifici on-line non autorizzati fosse inquadrabile ai sensi degli artt. 640–ter, 615-quater e 615-quinquies (Trib. Milano 28 luglio 2006, in Dir. Internet, 2007, 1, 62 con nota di Vaciago–Giordano).
Sul piano civilistico invece, in tema di responsabilità l’attenzione va posta sulla condotta della vittima, la quale ben potrebbe porre in essere dei comportamenti che agevolerebbero colposamente la sottrazione delle credenziali.
Da segnalare, infine, le interessanti pubblicazioni sul tema ad opera del il Garante per la protezione dei dati personali sul suo sito istituzionale contenente, tra le altre cose, le linee guida e un’infografica che illustrano come proteggersi dal phishing (premere qui per leggere).
Per approfondire:
- FINOCCHIARO, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012; - FLOR, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in RIDPP, 2007; - FEROLA, Il riciclaggio da phishing tra vecchie e nuove questioni, in GM, 2009; - CAJANI, CONTESTABILE, MAZZARACO, Phishing e furto d’identità digitale. Indagini informatiche e sicurezza bancaria, Giuffrè, 2008; - FANTINI, Phishing: strategie operative dell’inganno, in Dir. Internet, 2008; - TROIANO, Gli ordini non autorizzati, in MANCINI(a cura di), La direttiva Psd, 2011; - VALORE, Phishing sul conto postale e trattamento dei dati personali, in Corr. merito, 2012.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024