Il phishing è una tecnica fraudolenta molto diffusa attuata mediante internet e finalizzata a trarre in inganno la vittima con lo scopo di ottenere informazioni come per esempio numeri di carta di credito o codici di accesso.
L’attacco avviene generalmente mediante l’invio di una e-mail contraffatta (ma si registra un numero crescente di episodi di phishing anche via sms o sui social network) che simula quella di una banca o di un altro fornitore di servizi con cui il destinatario intrattiene dei rapporti.
La comunicazione e-mail riporta molto spesso segnalazioni di problematiche relative all’account del destinatario ed invita a cliccare su un link inserito nel testo del messaggio per regolarizzare la situazione.
Tramite questo meccanismo (fake login), la vittima viene indotta ad inserire i propri dati personali su un sito apparentemente attendibile, ma che in realtà è una copia fittizia creata dal cyber criminale.
Il phisher utilizza poi questi dati per trasferire somme di denaro o per effettuare acquisti.
Si tratta di un fenomeno complesso e in continua crescita che viene attuato con tecniche sempre più subdole e difficili da rilevare.
Basti pensare ai recenti numerosi attacchi di phishing basati sui vaccini anti Covid-19, che sono stati utilizzati come esca per sottrarre denaro e informazioni personali.
Diritto penale
Sul piano penale non è prevista una fattispecie ad hoc in Italia. Tuttavia la condotta del phisher può rientrare in numerose ipotesi di reato previste nel nostro ordinamento.
In primo luogo il phishing è riconducibile al reato di truffa di cui all’art. 640 comma 1 c.p. che punisce “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”.
La fattispecie risulta aggravata (comma 2 dell’art. 640 c.p.) qualora il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l'erroneo convincimento di dover eseguire l'ordine di un'autorità.
Il phisher può rispondere anche del reato di “frode informatica” disciplinato dall'art. 640-ter c.p.c. che si applica in caso di “alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo” o del reato di “accesso abusivo ad un sistema informatico o telematico” di cui all'art. 615 ter comma 1 c.p.
Se i dati ottenuti con modalità fraudolente vengono utilizzati per trasferire somme di denaro o per effettuare acquisti, si può configurare il reato di "utilizzo indebito di carte di credito e di pagamento", disciplinato dall'art. 12 del D.l. n. 143/1991 convertito in L. n. 197/1991 nonché il reato di "sostituzione di persona" ex art. 494 c.p.
Infine, il phishing comporta il trattamento illecito di dati personali, con conseguente applicazione dell’art. 167 del codice della privacy, che punisce i soggetti che, al fine di trarne profitto o danneggiare la vittima, violino la normativa a tutela della privacy.
Diritto civile
Sul piano civilistico il phishing è un illecito che comporta una responsabilità extracontrattuale con conseguente obbligo di risarcire il danno cagionato alla vittima.
L’obbligo risarcitorio si configura in primo luogo a carico dell’autore dell’illecito. Tuttavia secondo la giurisprudenza va considerata anche la responsabilità dell'istituto di credito o del fornitore di servizi telefonici qualora non riescano a garantire misure di sicurezza “tecnicamente idonee” finalizzate ad “evitare prelievi fraudolenti” (v. Tribunale, Siracusa, sez. II, sentenza 15/03/2012, Trib. Palermo n. 81/2010).
Come tutelarsi
In primo luogo è consigliabile installare sul proprio computer un filtro anti-spam, che possa prevenire o quantomeno ridurre la ricezione di e-mail fraudolente.
In ogni caso è consigliabile diffidare di tutte quelle e-mail che contengono link a siti web e che richiedono l’inserimento dei propri dati personali. Se possibile, è preferibile effettuare eventuali modifiche relative ai propri account direttamente sui siti ufficiali.
Se si è vittima di un episodio di phishing è possibile segnalare l’accaduto alla polizia postale, la quale provvederà ad effettuare le indagini necessarie e cercherà di risalire agli autori dell’illecito.
Per ottenere il risarcimento del danno, è possibile avviare una causa civile o costituirsi parte civile in un eventuale processo penale.
Inoltre, qualora possa configurarsi anche una responsabilità della banca, la vittima può rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo che ha la funzione di risolvere in via stragiudiziale le controversie tra gli istituti di credito e i clienti.
Comments