Reati informatici: il phishing

155

Mail sospette con richieste di dati personali, dati finanziari e codici di accesso? ATTENZIONE, potrebbe trattarsi di una truffa.

Da una ricerca condotta da Intel e McAfee emerge che solo il 3% dei 19mila intervistati nell’anno 2015 è ben a conoscenza del fenomeno del phishing.

Il termine è una variante di “fishing” (pescare) associato a “phreaking” (hacking telefonico), e allude alle tecniche di pesca di dati finanziari e password di utenti in rete.

Si tratta di una delle pratiche di hacking più subdole che esistano; all’apparenza la vittima riceve una email proveniente da banche o portali di servizi web noti che richiede al destinatario di cliccare su qualche link e fornire dati personali per ripristinare un account o metterlo al sicuro. Il link rimanda ad un sito fittizio, dalle sembianze del portale istituzionale di riferimento, ma che in realtà ospita un server controllato dal phisher il quale in pochi secondi si impossessa dell’identità digitale del soggetto.

Una volta ottenute le credenziali di accesso dell’utente, l’hacker si introduce nella pagina home banking della vittima per effettuare operazioni di prelievo o bonifici on line non autorizzati; tutto ciò si realizza con l’aiuto di un altro soggetto, il c.d. financial manager che si presta per ricevere sul proprio conto corrente le somme di denaro provenienti da terzi e trasferirle, trattenuta una percentuale, al phisher tramite canali idonei ad interrompere la tracciabilità di quei trasferimenti.

La pratica de qua oltre a configurarsi come illecito civile che obbliga al risarcimento dei danni patrimoniali e non, cagionati alla vittima, ha ovviamente rilevanza sul piano penale.

La condotta del phisher integra, innanzitutto, il reato di trattamento illecito dei dati personali, di cui all’art. 167 del Codice della privacy, nonché il più grave reato di truffa ex art. 640 del codice penale.

Può altresì profilarsi l’applicazione del delitto di sostituzione della persona ex art. 494 c.p. sebbene non si tratti di materiale sostituzione della stessa, perchè il c.d. “identity theft” si sostanzia anche qualora avvenga il mero utilizzo degli estremi identificativi del soggetto, attraverso l’uso delle credenziali ottenute in maniera illecita per accedere a sistemi informatici e porre in essere transazioni non consentite.

Il financial manager risponderà, beninteso, a titolo di concorso nei medesimi delitti realizzati dal phisher, solo se ha agito essendo consapevole dell’attività truffaldina messa in essere ai danni degli utenti vittime; se invece ne è all’oscuro risponderà di ricettazione o riciclaggio a norma degli artt. 648 e 648 bis c.p.

Il rischio di phishing è ancora maggiore nei social media come Facebook, Twitter e Google+ ma non esistono ad oggi strumenti o segreti infallibili anti-phishing, le uniche forme di tutela contro questo cyber crime si basano tutte (o quasi) sul buon senso.