Nell’era digitale in cui attualmente viviamo, anche la criminalità ha saputo sfruttare, negli anni, le infinite opportunità che la rete offre.
In questo periodo di grave emergenza, purtroppo, sono stati riportati numerosi casi di tentativi di phishing, perpetrati tramite finte e-mail dell’Inps e di banche, persino di supermercati, che sono state ricevute da moltissimi utenti.
Questi attacchi sono i preferiti dai criminal hacker, soprattutto perché l’e-mail continua ad essere il mezzo di comunicazione più utilizzato dagli utenti del web.
Il phishing è, in poche parole, una particolare tipologia di truffa, realizzata sfruttando la rete internet, attraverso la quale gli utenti vengono tratti in inganno mediante soprattutto messaggi di posta elettronica, per il tramite dei quali è possibile carpire informazioni personali e sensibili degli stessi, come ad esempio dati anagrafici, credenziali e password per accedere ai conti correnti online o alle carte di credito.
Il fenomeno – la cui allusione alla pesca rende chiara l’intenzione di "pescare" i dati finanziari e le password dei malcapitati usando una e-mail come strumento di azione - è timidamente comparso intorno alla metà degli anni '90, ma con l’evoluzione della tecnologia ha avuto una diffusione sempre maggiore, grazie allo sviluppo di tecniche sempre più sofisticate, tanto da rappresentare oggi un vero e proprio allarme per gli utenti del web, nonché per i settori della sicurezza informatica e dei servizi finanziari.
Quanto alla dinamica del phishing, essa si realizza in concreto attraverso meccanismi di social engineering per l'invio di e-mail a catena ad un elevato numero di utenti sconosciuti, contenenti messaggi, informazioni e immagini formulati per influenzare il destinatario, il quale, ricevendo tali comunicazioni apparentemente provenienti da enti, istituzioni o società realmente esistenti, viene indotto a collegarsi a pagine web o siti non autentici ma del tutto simili a quelli legittimi, sollecitato a inserire le proprie credenziali per l'accesso ad aree riservate (soprattutto all'home banking), cliccando sui link approntati ad hoc dallo stesso phisher (ossia il truffatore), oppure reindirizzato, attraverso dei virus, a un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo poi a prosciugargli il conto corrente (c.d. "pharming").
Si tratta ovviamente di un fenomeno molto complesso, estremamente fluido e dinamico, in costante evoluzione, così da poter essere in grado di assumere molteplici forme e modus operandi. Si pensi, a esempio, ai nuovi fenomeni come il "vishing" (truffa effettuata tramite servizi di telefonia, attraverso la quale gli aggressori effettuano delle telefonate simulando l'esistenza di un call center, solitamente di una banca, chiedendo alla vittima di fornire i propri dati), lo "smishing" (variante di phishing che utilizza gli sms) ed infine il "twishing” (si concreta in furti d’identità compiuti attraverso la comunicazione mediata da Twitter).
Premesso che, attualmente, non esiste una normativa ad hoc, gli illeciti connessi al phishing vengono ricondotti, di volta in volta e grazie al loro di dottrina e giurisprudenza, sia di legittimità che di merito, nell'alveo delle diverse fattispecie di natura civile e penale, puntualmente disciplinate e punite dalla legge.
Innanzitutto, dal punto di vista civilistico, il comportamento posto in essere dal phisher configura una responsabilità di natura extracontrattuale, che lo obbliga al risarcimento dei danni patrimoniali e non patrimoniali cagionati alle vittime.
Secondo parte della dottrina e della giurisprudenza maggioritaria, tra i soggetti responsabili del danno si possono ravvisare anche gli stessi istituti di credito, gli enti e le società a loro volta vittime del phisher. È stata riconosciuta non solo la responsabilità di un istituto di credito, condannato al risarcimento dei danni patiti dai correntisti, sul presupposto di un'inadeguatezza delle misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico tese ad evitare prelievi fraudolenti, ma anche quella di un gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, grava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l'utente.
La responsabilità sul piano civile in capo al phisher, oggi, viene accentuata da ulteriori molteplici violazioni sanzionate dalla disciplina sulla privacy, argomento questo cui si sta rivolgendo sempre di più la sensibilità del legislatore.
Fermo quanto appena chiarito, va da sé che gli illeciti più rilevanti rimangono circoscritti nell’ambito del diritto penale, in particolare ai seguenti reati meglio precisati.
Innanzitutto, la condotta del phisher integra il reato di trattamento illecito di dati personali ex art. 167 del Codice della privacy, che punisce «chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all'interessato» operi in violazione delle diverse prescrizioni della normativa a tutela dei dati personali.
In via alternativa, la condotta del phisher integrerebbe anche il più grave reato di truffa ex art. 640, 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 € per «chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno», ovvero quello di truffa aggravata, di cui al 2° co. dell'art. 640 c.p., allorquando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l'erroneo convincimento di dover eseguire l'ordine di un'autorità.
Il phishing può integrare, inoltre, il delitto di frode informatica ex art. 640-ter c.p.c., che presuppone un'alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo.
Possono essere potenzialmente ravvisabili, a seconda del caso di specie, anche altri illeciti penali, come ad esempio il reato di cui all'art. 615-ter, 1° co., c.p., rubricato "Accesso abusivo ad un sistema informatico o telematico", oppure del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell'art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991. Alla luce delle novità introdotte dalla l. n. 146/2006 e dalla n. 48/2008 di ratifica della convenzione Cybercrime, sono astrattamente configurabili in capo al phisher gli illeciti previsti dagli artt. 635, bis, ter, quater e quinquies, c.p. relativi al danneggiamento di informazioni e sistemi informatici o telematici, ovvero l'art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull'identità o su qualità personali proprie o di altri.
Da ultimo, è doveroso segnalare lo stretto legame che intercorre tra il fenomeno del phishing ed i cd. reati dei financial manager, cioè quei soggetti che si rendono disponibili alle operazioni di trasferimento delle somme prelevate indebitamente dai phisher, nei confronti dei quali la più recente giurisprudenza riconosce i delitti di ricettazione di cui all'art. 648 c.p. e riciclaggio ex art. 648-bis c.p., quando gli stessi abbiano agito con la consapevolezza della complessiva attività truffaldina (sul punto, una sentenza di notevole rilievo è Cass. S.U. n. 12433/2009).
Come difendersi efficacemente dal phishing?
Data la complessità e la mutevolezza del fenomeno in parola, si raccomanda di impiegare una elevata attenzione nell'utilizzo consapevole della rete, oltre che l’affidamento a software, servizi di assistenza e strumenti/dispositivi di sicurezza e protezione messi a disposizione dalle istituzioni e dagli istituti di credito, volti a consentire l'utilizzo di internet in tranquillità.
Si consiglia, in generale, di non fornire informazioni sensibili al telefono e, in particolare, di non fidarsi mai di e-mail ordinarie che contengono link, scegliendo di controllare i propri account direttamente tramite i siti ufficiali.
Bisogna cercare di non essere frettolosi o distratti nella lettura, in modo da fare caso alla presenza di errori: nei casi di phishing più grossolani, infatti, le e-mail contengono errori ortografici più o meno gravi, o piccole storpiature nel nome del presunto mittente; nei casi più raffinati, invece, l’errore sta nell’indirizzo del mittente, che è sempre differente da quello ufficiale.
Bisogna diffidare, poi, dall’enfasi e dalle urgenze, in quanto si tratta di uno dei fattori sui quali il phishing fa maggiormente leva, come ad esempio un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve o il rischio di perdere un account se non si paga subito.
Altro indice indicativo è poi la presenza di allegati: quando sono presenti con estensioni inusuali o sconosciute, o non previsti, è bene prestare la massima attenzione, perché in questo caso, oltre al semplice phishing, potrebbero nascondersi virus.
Da ultimo, può sembrare banale ricordarlo, ma nessuno regala mai e poi mai niente per niente: le comunicazioni che annunciano vincite di denaro, o qualsiasi tipo di premi, sono praticamente sempre fasulle.
A chi, invece, sia già stato vittima di phishing, stante l'assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali, denunciando i fatti alle autorità e segnalando l’accaduto ad esempio alla propria banca.
È anche possibile rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo introdotto dall'art. 128-bis del cd. "T.U. Bancario" e nato per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari. Il ricorso all'ABF, ovviamente, non preclude l'accesso all'ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.
Tenuto conto della sempre maggiore rilevanza del fenomeno, nonché dei danni che può causare, soprattutto in termini economici, è importante non solo essere sempre attenti e scrupolosi, ma anche collaborare con le autorità mediante la segnalazione anche del tentativo di phishing subito.
In particolare, ci si deve rivolgere alla polizia postale, anche attraverso il sito https://www.commissariatodips.it/ , ove è presente una sezione dedicata proprio alle segnalazioni di attività fraudolente, in modo da dare impulso ai controlli necessari.