Frode informatica: il phishing
Al giorno d’oggi è in forte aumento, quasi esponenziale si potrebbe dire, la truffa on line, nata in Spagna e Portogallo, chiamata “phishing”. Si tratta di una nuova forma di spamming, che potrebbe avere come conseguenza il furto del numero di carta di credito o di password, informazioni relative a un account o altre informazioni personali. Tale truffa solitamente ha come campo di azione le banche e l’e-commerce.
Il phishing è un tipo di frode ideato allo scopo di rubare l’identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l’utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata (email) o finestre a comparsa.
Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false email che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. Arriva dunque nella propria casella di posta elettronica un’email che sembra provenire dalla banca e vi dice che c’è un imprecisato problema al sistema di “home bancking”. Vi invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul link indicato nella mail. Subito dopo aver cliccato sul link vi si apre una finestra (pop-up) su cui digitare la “user-id” e la “password” di accesso all’home bancking. Dopo pochi secondi, in generale, appare un altro pop-up che vi informa che per assenza di collegamento non è possibile la connessione. I messaggi di posta elettronica e i siti Web in cui l’utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste email attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali. Queste imitazioni sono spesso chiamate siti Web ingannevoli (“spoofed”). Una volta all’interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all’autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l’identità dell’utente.
Oltre agli estremi del reato di frode informatica, di cui all’art. 640 ter del codice penale, il phishing integra l’ipotesi delittuosa della truffa. Il reato di frode informatica, come ha ricordato più volte la giurisprudenza della Cassazione (v., in particolare Cass. sez. IV, 4 ottobre 1999, n. 3056) ha la medesima struttura, e quindi i medesimi elementi costitutivi, della truffa, dalla quale si distingue solamente perché l’attività fraudolenta dell’agente investe non la persona, bensì il sistema informatico (significativa è la mancanza del requisito della “induzione in errore” nello schema legale della frode informatica, presente invece nella truffa). Di talché il phishing da un lato, induce in errore la persona che fornisce inconsapevolmente i propri dati al phisher, dall’altro lato la sua azione investe il sistema informatico dell’istituto creditizio poiché interviene sine titulo all’interno dello stesso.
Il reato di frode informatica presenta numerose analogie con quello di truffa: identico trattamento sanzionatorio (da sei mesi a tre anni unitamente alla multa da 51 a 1032 euro), e analoga suddivisione fra un’ipotesi delittuosa semplice ed una aggravata dagli stessi elementi previsti dal secondo comma dell’art. 640, e analogo simmetrico richiamo alla procedibilità a querela nell’ipotesi semplice legato procedibilità officiosa nell’ipotesi aggravata.
Inoltre anche il trattamento sanzionatorio previsto per l’ipotesi aggravata della frode informatica è identico rispetto a quello previsto dall’art. 640 c.p. per la truffa aggravata, ovvero della reclusione da uno a cinque anni e della multa da trecendonove a millecinquecento euro. Queste circostanze ci consentono di replicare anche per la frode informatica le considerazioni di natura processuale spese per la truffa, aggiungendo che esiste anche la possibilità giuridica del cumulo fra i due reati, anzi che nella maggior parte dei casi il phishing costituisce un’attività criminale che viola le prescrizioni previste da entrambe le norme incriminatici.
La Polizia postale, per contravvenire a questo fenomeno, ha comunque inviato una circolare all’ABI (Associazione Bancaria Italiana) invitando le banche ad avvertire i propri clienti di non digitare i codici personali nel caso dovessero ricevere questo tipo di email.
Il fenomeno del phishing che in realtà non coinvolge solo le banche ma in generale le varie aziende che si occupano di e-business è oggi considerato la parte dello spam più in crescita in tutto il mondo e colpisce sia le aziende che i consumatori.
Proprio per questi motivi Microsoft, e-Bay e Visa hanno deciso di dar vita al Phish Report Network: una sorta di database che raccoglie le informazioni utili per identificare le email truffaldine che arrivano agli utenti di tutto il mondo e che consentirà di stilare una lista nera dei siti del phishing a cui sono stati attribuiti molti tentativi di truffa. In questo contesto, si inseriscono le operazioni di acquisizione e di analisi del traffico di rete effettuate dalla polizia postale e che vanno sotto il nome di network forensic. Lo scopo di tale attività è quello di ricercare e identificare, se non direttamente le persone responsabili, l’origine di questo tipo di reato.
.
