Il phishing, una modalità per commettere reati e la normativa italiana
Ad inizio giornata, molti di noi, nell’aprire la propria casella di posta elettronica capita di notare mail con il seguente seguente contenuto: “vuoi guadagnare 2000 euro al mese comodamente da casa tua? Se sei interessato/a rispondi a questa mail”, oppure “abbiamo tentato di recapitarle una spedizione al suo indirizzo. Prego contattarci in orari di ufficio al numero 89.988.0868 per una nuova consegna”.
Se non fossi un avvocato penalista, probabilmente risponderei. “L’uomo delle strada” invero non sa che questa mail è inviata dal phisher, colui che tenta di “pescare” dati ovvero è alla ricerca del financial manager. Vi starete chiedendo chi sono questi soggetti.
E’ opportuno preliminarmente un breve inquadramento del fenomeno che ci si accinge a spiegare. Lo sviluppo delle tecnologie digitali ha aperto la strada a diverse nuove fattispecie di reato, prima sconosciute dal nostro legislatore sennonché, come ogni fenomeno sociale ed economico, ha portato alla nascita di nuove esigenze di regolamentazione giuridica. Il Codice Penale è stato novellato mediante l’inserimento di molte nuove fattispecie di reato ed anche la Giurisprudenza della Corte di Cassazione è sempre più spesso portata ad esprimersi in materia di reati informatici e non solo. Il Phishing, reato di nuova generazione non ancora compiutamente disciplinato dalla normativa italiana, è stato oggetto di molti studi, non solo giuridici ma anche sociologici, volti a comprendere questo fenomeno sempre più vasto.
Il phishing è una tecnica di social engineering, ossia una metodologia di comportamento sociale indirizzata a estorcere informazioni personali e riservate oppure abitudini e stili di vita. L’etimologia rivela un’origine incerta, poiché essa deriverebbe dall’unione delle parole “harvesting”, “raccolta”, con “password”, oppure con “password” e “fishing” o, ancora, quest’ultima con “phreaking”.
Ritornando all’esempio iniziale, chi sono quindi i soggetti che inviano le mail? E soprattutto che cosa cercano? Con il phishing attack (l’invio di mail), l’utente è indotto a fornire dati o informazioni personali, riguardanti nella massima parte le credenziali di autenticazione per l’accesso ad aree informatiche esclusive o a servizi finanziari o bancari on line, i numeri di carte di credito e di pagamento, gli identificativi per ottenere l’accesso a siti di diverso genere, gli userid e le password di accesso diretto alla movimentazione di conti correnti bancari.
Le e-mail di phishing, spedite ad un numero imprecisato di ignari correntisti bancari e che sembrano apparentemente provenire da enti, istituti di credito o società che forniscono servizi a mezzo internet, contengono una serie di messaggi, immagini e informazioni che ricordano alla perfezione sia la veste grafica del messaggio di posta elettronica dell’ente o della banca, sia il linguaggio di una comunicazione standard. Tutto questo viene fatto al fine di influenzare la psicologia dell’utente ed indurlo, così, a seguire il link indicato nel messaggio di posta elettronica per fare in modo che si connetta non alla pagina web legata a quell’istituto di cui si legge nell’ e-mail, ma ad una di un sito web creato ad arte per consentire al phisher di sottrarre e di memorizzare le informazioni fornite dagli inconsapevoli utenti, i quali inseriranno così i loro dati riservati nei form predisposti dall’agente.
Il phisher dunque cosa fa per porre in essere il reato? Ecco i passaggi che portano al furto di dati identificati e riservati, con l’unico scopo, in un secondo momento, di aggredire il patrimonio della vittima che ha ricevuto le mail.
a) Invio di un messaggio di posta elettronica contenente il link di indirizzamento alla pagina web non autentica, diretto ad indurre un soggetto utente o fruitore di un servizio on line a rivelare informazioni personali;
b) Raccolta dei dati riservati del soggetto utente o fruitore del servizio on line tramite tale sito, oppure attraverso un form contenente le stringhe corrispondenti alle informazioni personali richieste;
c) Utilizzo delle informazioni raccolte per accedere abusivamente ai servizi on line, o per utilizzare indebitamente carte di credito, realizzando un ingiusto profitto.
Una volta che il phisher si è impossessato delle credenziali, nasce il problema di come riscuotere le somme: viene effettuata così la richiesta, nella maggior parte dei casi diffusa da messaggi di posta elettronica provenienti da non meglio identificate società estere, di “collaborazione” indirizzata a soggetti terzi, i c.d. financial manager.
Questi soggetti, aprono dietro compenso un conto corrente nello stesso Paese delle vittime di phishing, oppure ne utilizzano uno già aperto, sul quale il phisher effettuerà i bonifici on line. Questi soggetti vengono scelti attraverso migliaia di mail spedite: al soggetto terzo si offre un’opportunità di lavoro, poiché egli deve solo possedere un computer collegato in rete. Quello che deve fare il financial manager è trasferire piccole somme di denaro dal suo conto corrente a quello di un terzo beneficiario. Infine, il financial manager preleverà dal suo conto corrente la somma che gli è stata accreditata dal phisher, ne ricaverà la propria provvigione ed il resto verrà trasferito ad un terzo beneficiario, attraverso i servizi di money transfer, che rendono difficilmente tracciabile il denaro trasferito. Questa fase è necessaria perché al phisher, spesso straniero, non è consentito effettuare bonifici all’estero, senza essere autorizzato dalla banca.
Queste le tecniche del phisher e le sue modalità di azione. Ma quale sanzione penale prevede il nostro ordinamento? Come detto in Italia non esiste una normativa specifica sul phishing, ma le varie fasi dell’attacco, poc’anzi descritte, trovano una copertura legislativa nel nostro sistema penale, con l’utilizzo di diverse fattispecie. Innanzitutto la condotta del phisher viene punita grazie alla previsione del reato di cui all’art. 494 c.p..(sostituzione di persona), ovvero induzione in errore della persona offesa, sostituendosi illegittimamente al raggirato. Successivamente, nella fase di raccolta dati, si applica l’art. 615 quater c.p., che punisce la condotta di chi detenzione abusivamente i codici di accesso a sistemi informatici). Nella terza fase ovvero l’accesso abusivo e il conseguimento profitto, si applicherà l’art. 615 ter c.p. (accesso abusivo di un sistema informatico), allorquando vengono utilizzati i dati “pescati” che permettono l’accesso alle informazioni riservate. Anche il financial manager risponde per la condotta tenuta, in concorso con il phisher nel reato di cui all’art. 640 c.p. oppure di un autonomo titolo di reato, in ipotesi ricettazione (art. 648 c.p.) o riciclaggio (art. 648 bis c.p.).
Appare chiaro che la normativa italiana non si sia ancora adeguata al fenomeno dilagante del phishing, o in generale delle evoluzioni digitali, ma i Giudici, come spesso accade, sono usciti dall’imbarazzo dettato dalla lacuna normativa con l’utilizzo delle norme penali sopra citate.
Sara Garaventa
Foto: Edwind Richzendy Contreras Soto, pubblicata sotto licenza Creative Commons
Potrebbe interessarti anche
Altri articoli di questa categoria
"Un tuffo dentro il codice penale e le leggi italiane con il dizionario della 'lingua di strada' alla mano. Che legge che fa è la rubrica di Era Superba che prova a decifrare leggi e regole che spesso sfuggono alla comprensione dei più ma riguardano molti aspetti del vivere quotidiano. Usa un linguaggio colloquiale per avvicinare il mondo dei sigilli a chi abitualmente non frequenta le aule del Palazzo di Giustizia. Un modo per avvicinare tutti alla giurisprudenza".
Le ultime puntate
-
Legittima difesa, tra offesa ingiusta e necessità della reazione. Quando l’omicidio è “scriminato”
In questi giorni si è molto parlato di legittima difesa, ma qual è il quadro ... -
Femminicidio, la realtà giuridica e il dato sociologico. I numeri delle violenze sulle donne in Italia
Prosegue il nostro percorso verso l'8 marzo; facciamo chiarezza sul ... -
Il phishing, una modalità per commettere reati e la normativa italiana
La normativa italiana non si è ancora adeguata al fenomeno dilagante del ... -
Droghe leggere e pesanti: quando la Cannabis non è reato
La materia giuridica sulle sostanze considerate droganti è complessa e ... -
Omicidio stradale, tutte le pene che si rischiano con la nuova legge
Ci vorranno almeno due anni per leggere le prime sentenze per il nuovo reato ...