Phishing: attenzione a fornire i vostri dati bancari

LUCCA, 23 ottobre – Un utente riceve un messaggio di posta elettronica dalla sua banca, che lo invita a collegarsi ad un indirizzo internet e digitare i dati per accedere al conto corrente online. Il sito al quale lo sfortunato utente si collega è molto simile se non uguale a quello della banca (cambia solo l’indirizzo) ed è invece strutturato per raccogliere i dati (nome-utente e password). L’utente che si collega ad un sito di questo tipo, in pratica passerà il proprio username e password direttamente nelle mani dei criminali informatici. Costoro utilizzeranno in tempi successivi i dati per svuotare il conto corrente.

Il termine “phishing viene utilizzato in ambito informatico per riferirsi alle moderne truffe intentate sempre più frequentemente con lo scopo di sottrarre all’utente dati personali ed informazioni utilizzate per la gestione di conti corrente online, la disposizione di bonifici o di altre operazioni finanziarie, l’effettuazione di versamenti con carta di credito.

Il termine “phishing” è una variante di fishing (letteralmente “pescare” in lingua inglese) e si tratta è un’attività molto diffusa e conosciuta da chiunque possieda un indirizzo di posta elettronica. Consiste, infatti, nel classico bombardamento di “spam”, messaggi inviati a milioni di persone via web: normalmente si tratta di fidarsi di sconosciuti, mettendo a loro disposizione il proprio conto corrente.

Il “phisher” (tutti i vocaboli sono deformazioni lessicali provenienti dal verbo inglese to fish, pescare) getta così milioni di “ami” telematici e qualcuno finisce con l’abboccare: a quel punto, da una parte, l’organizzatore dell’imbroglio ruba on-line a un correntista, dall’altra dà a un altro, che trattiene per qualche giorno o qualche ora le somme rubate e poi si impegna a ritrasmetterle a persone o aziende indicate dal phisher.

Come proteggersi dal Phishing?

E’ importante essere prudenti nel fornire dati riservati ed è necessario essere sicuri dell’identità di chi li sta chiedendo.

Si indicano alcuni suggerimenti utili:

– Se hai fornito i tuoi codici personali, cambia al più presto la password di accesso ai servizi online e informa immediatamente il tuo servizio che, di norma unitamente ai codici di accesso, ti deve aver fornito anche un numero verde al quale segnalare le violazioni.

– Diffida delle e-mail che chiedono l’inserimento di dati riservati (il nome utente e la password, il codice per le operazioni dispositive, i codici delle carte di pagamento, altre informazioni personali).

– Verifica sempre con la massima attenzione le e-mail che ricevi ad un indirizzo di posta elettronica diverso dalla casella attivata per il tuo servizio.

– Nel caso in cui un’e-mail contenga richieste “sospette”, non rispondere.

– Non cliccare sui link presenti nelle e-mail “sospette”: diffida di tutti i messaggi che ricevi dove il mittente si rivolge a te senza usare il tuo nome e cognome, usando male la lingua italiana, con tono intimidatorio e che non riportano date di scadenza: inoltre questi messaggi non chiedono di rispondere al mittente ma solamente di cliccare su un link.

– Fai attenzione agli elementi sospetti nelle e-mail ricevute. Controlla per bene il link che ti viene proposto, se coincide o meno con quello della tua Banca; il truffatore usa infatti un dominio simile (es: www.posten.it in luogo di www.poste.it).

– Custodisci con cura i dati riservati e modifica la password di accesso ai servizi online almeno una volta al mese o al più presto se ritieni che qualcuno ne sia venuto in possesso. Modifica spesso le password assegnate.

– Quando inserisci dati riservati in una pagina web, assicurati che si tratti di una pagina protetta: vedrai in basso a destra un lucchetto e l’indirizzo inizia per https://.

– Diffida di improvvisi cambiamenti nella modalità con cui viene chiesto di inserire i codici di accesso. Contatta subito il tuo servizio se noti anomalie e pagine diverse dal solito.

– Controlla regolarmente gli estratti conto del tuo conto e carte di credito.

– In luogo della carta di credito tradizionale, puoi utilizzare quelle ricaricabili, come Postepay; nel caso vengano violate, puoi rischiare solo la cifra impiegata nella ricarica.

– Aggiorna costantemente il software dedicato alla sicurezza (antivirus, antispyware, ecc.).

– L’utilizzo di una toolbar antiphishing può aiutare a riconoscere i siti potenzialmente pericolosi. Queste toolbar segnalano il livello di rischio del sito che si sta visitando e, in caso di phishing, sono in grado di bloccare la navigazione (l’utente può, in ogni caso, scegliere di continuare a “navigare”). Alcune toolbar sono disponibili sul web (es.: Microsoft, Netcraft, ecc.) e possono essere installate gratuitamente sul proprio computer.

Il Phishing: aspetti legali

Il phishing si presenta come un fenomeno decisamente complesso da un punto di vista legale.

Va detto subito che trattasi di un fenomeno sprovvisto di una adeguata previsione normativa. Nell’ordinamento giuridico italiano non esiste alcuna legge che preveda una definizione del phishing, né che prescriva una qualche sanzione a carico dei phisher. Pertanto, dovrà essere la Magistratura, al termine dei procedimenti penali che hanno visto interessate diverse unità operative della guardia di Finanza e della Polizia Postale, ha dover precisare meglio gli aspetti legali legati al fenomeno del phishing.

Da un punto di vista giuridico, si può dire che il fine del phisher è quello di carpire i dati personali degli utenti titolari di conti correnti bancari o postali on-line in modo da potersi introdurre telematicamente all’interno degli account dei malcapitati per sottrarre il denaro ivi presente.

L’attività illiceità del phishing attiene, in un primo momento, alle modalità con cui vengono sottratte password e Id name ai malcapitati. In seconda battuta, un ulteriore elemento di illiceità attiene alla circostanza che il phisher dovrà porre in essere ulteriori pratiche poco trasparenti per giustificare la movimentazione di denaro dai conti dei legittimi titolari fino a quelli di altri beneficiari, facendo perdere le tracce dei tragitti compiuti, in modo da rendere molto difficile il lavoro degli inquirenti.

Sul piano giurisprudenziale vi sono già stati alcuni pronunciamenti: “La condotta cosiddetta di “pishing”, consistente nel “pescare”, mediante abusivo inserimento nel sistema informatico di un’istituzione finanziaria o mediante false e-mail dirette ai clienti delle banche o delle poste, i dati significativi dei rapporti di conto corrente intrattenuti dagli stessi, dati che vengono successivamente utilizzati in modo fraudolento per “donare” carte di credito e/o di pagamento o per disporre on line operazioni di trasferimento di denaro su conti correnti nella disponibilità dei criminali con successivo prelevamento di contanti e conseguente sparizione del denaro fraudolentemente sottratto, integra la fattispecie di truffa punita ex art. 640 c.p. e non il delitto di frode informatica di cui all’art. 640 ter c.p. (Tribunale Monza, penale Sentenza 7 maggio 2009, La Tribuna, Rivista Penale, 2010, 12, pg. 1301).

Si noti che per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell’account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito.

Un provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate, potrebbe attribuire all’ente la qualifica di danneggiato dal reato.

I singoli contratti per l’apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate.

Spesso, l’istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.

L’istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking, rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token. Ciò configura negligenza da parte del cliente e l’eventualità del dolo e truffa all’istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, che d’accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.

Tuttavia la banca (o altro istituto o società) ha l’onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l’utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi. Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l’utente del danno.

La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell’uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.

Casi giudiziari e prime condanne penali

Nel 2007, con sentenza del Tribunale di Milano (sentenza del 10.12.2007 est. Gamacchio) si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, con sentenza del Tribunale di Milano, (sentenza del 29.10.2008, est. Luerti) si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio di soggetti che, quali financial manager, si erano prestati all’attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che in Italia il phishing non è ancora specificatamente regolamentato, a differenza di altre legislazioni – prima fra tutte quella americana – che possiedono norme penali incriminatrici ad hoc.

Il phishing è un tipo di truffa via Internet attraverso la quale un aggressore cerca di ingannare la vittima convincendola a fornire informazioni personali sensibili.

L’art. 640 c.p., al primo comma recita infatti «chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro».

Gli elementi descritti dalla norma incriminatrice sono tutti ampiamente ravvisabili nella condotta del phisher. Partendo dalle e-mail maliziose contenenti un collegamento ipertestuale ingannatorio (gli artifizi ed i raggiri) che conduce verso un sito in tutto e per tutto identico a quello del proprio istituto di credito (l’induzione in errore), fino ad arrivare alla sottrazione dei codici d’accesso ai propri conti on-line e quindi la materiale sottrazione del denaro ivi custodito (ingiusto profitto ed altrui danno).

Pertanto vi sono due momenti fondamentali da tener presente nel valutare l’illiceità del phisher: uno attiene ai raggiri informatici necessari per carpire i dati personali degli utenti; l’altro attiene alle manovre finanziarie e bancarie che il phisher deve porre in essere per trasferire il denaro sottratto agli utenti all’interno di posti sicuri.

Questa seconda fase è forse ancora più delicata della prima, perché una volta acquisita la disponibilità di un conto corrente on-line, il phisher dovrebbe cercare in ogni modo di nascondere le tracce, spesso in maniera illecita, delle movimentazioni che ha effettuato con il denaro altrui.

Non solo. Spesso gli attacchi di phishing integrano anche l’ipotesi di truffa aggravata prevista al n. 2) del comma 2 dell’art. 640 c.p., ipotesi che si verifica allorquando il fatto sia stato commesso «ingenerando nella persona offesa il timore di un pericolo immaginario». Il più delle volte capita, infatti, che il phisher nel proprio messaggio inviato al suo destinatario, lo inviti a recarsi repentinamente presso il sito della propria banca, paventando proprio rischi di truffe o altri accessi non consentiti ai propri dati.

Tuttavia, oltre alla truffa, ritengo che possano essere ravvisabili gli estremi di altri reati informatici e contro la privacy come ad esempio la frode informatica (art. 640 ter c.p.), l’accesso abusivo ad un sistema informatico (art. 615 ter c.p.) che punisce chiunque «abusivamente si introduce all’interno di un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo» o l’illecito trattamento di dati personali (art. 167 D.Lgs. n. 196/2003) che si configura soltanto ove il fatto commesso non sia idoneo a configurare reati più gravi (quali sono appunto la truffa, la frode informatica e l’accesso abusivo).

* Avvocato

(Per proporre quesiti su ulteriori questioni legali i lettori possono scrivere all’indirizzo: consiglilegali@nullloschermo.it; sarà garantito il pieno rispetto della privacy).

3 commenti

.

Newsletter