Il phishing
Nella motivazione della sentenza della Suprema Corte Sez. II, n. 9891/2011 il phishing è definito come quell’attività illecita “in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati. La suddetta truffa presuppone, poi, anche un terzo “collaboratore”, ed finacial manager, ossia colui che si presta a che le somme che l’hacker trafuga dal conto corrente nel quale è entrato abusivamente, vengano accreditate sul proprio conto corrente al fine poi di essere definitivamente trasferite all’estero con operazioni di money transfert”.
Differenti i fini perseguiti attraverso il fenomeno del c.d. phishing, la cui realizzazione viene ricostruita da autorevole dottrina attraverso le seguenti fasi:
1. preparazione e propagazione dell’attacco rivolto a stabilire un contatto con la persona offesa perseguendo il furto dell’identità ottenendone credenziali e dati sensibili;
2. azione/reazione della vittima;
3. furto d’identità e trasmissione delle informazioni fornite dalla persona offesa all’indirizzo del phisher;
4. indebita percezione del profitto;
5. dispersione e reimpiego del profitto del reato.
Elemento comune è il celare l’attività illecita dietro siti web abitualmente visionati dall’utente e il bene giuridico tutelato varia a seconda delle condotte poste in essere.
Il phisher può ottenere infatti abusivamente le credenziali di accesso di home banking o conti on line con conseguente integrazione della previsione di cui all’art. 167 D.Lgs n. 196/03; può indurre in errore la persona offesa con artifici e raggiri idonei a configurare il reato di truffa ex art. 640 c.p.; può investire non la persona di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di questo così come ex art. 640 ter c.p. rubricato frode informatica.
Posto che è necessario utilizzare sempre password differenti e complesse (formate da una combinazione di lettere maiuscole e minuscole, numeri e simboli) per accedere ai siti che offrono all’utenza diverse tipologie di servizi, si è rilevato nell’ultimo anno un aumento di phishing su social network.
Per mera esemplificazione si rappresenta che ad esempio numerosi utenti di un noto social network si sono visti recapitare un messaggio di spam che palesando la violazione della policy del social network per molestie e insulti verso altri iscritti; tale messaggio richiedeva la conferma delle credenziali dell’account per evitare la cancellazione dal sito.
Quando gli utenti cliccavano sul link contenuto nel messaggio si apriva una pagina “controllo di sicurezza” nella quale dovevano inserire le credenziali di login, specificando il tipo di servizio webmail cui fosse collegato il loro account e veniva altresì loro richiesto di inserire le cifre della propria carta di credito per verificare l’account.
Apposite querele e contestuali segnalazioni ai siti Internet riprodotti sono determinanti al fine di individuare i responsabili di tali illeciti, impedire il reiterarsi della condotta e l’aggravamento delle sue conseguenze oltre che di supporto all’attività di polizia giudiziaria.
Al fine invece di difendersi da tali azioni delittuose sarà prima facie necessario attenzionare eventuali errori ortografici contenuti nel messaggio, controllare l’URL, installare un buon antivirus, fidarsi dei messaggi di posta elettronica cestinati nella cartella dello spam dal proprio client di posta, ricordando che nessun ente pubblico chiederà mai di rivelare nome utente e password via e-mail, sms o chat.
Avv. Veronica Ribbeni
Acquista l’ebook: difendersi in internet