Se stare chiusi a casa ci difende dal Coronavirus, non ci difende dalle truffe messe in atto mediante sms, chiamate ed, in particolare, internet. Ma vediamo di cosa si tratta e quali sono le conseguenze giuridiche
E’ tempo di emergenza sanitaria, il Covid-19 ci impone di stare a casa e, tra le preoccupazioni che ci affliggono e il desiderio di informarsi, è facile cadere nella trappola di sciacalli, che sfruttano la situazione per trarre in inganno le persone. Bisogna fare attenzione non solo a falsi screening a domicilio, a persone che simulano di svolgere servizi porta a porta, a semplici telefonate o a sms ingannevoli, ma anche al “phisher” che “pesca utenti” per truffarli.
Ma di cosa stiamo parlando?
Di “phishing”, termine che deriva da “fishing”, la cui “f” è stata sostituita, nell’ambito della pirateria informatica, dalla “ph” e che significa, appunto, “pescare”.
Il phishing rappresenta un tentativo di truffa da parte di un soggetto che, ricorrendo a falsi messaggi di posta elettronica o a veri e propri programmi informatici e malware, riesce ad impossessarsi fraudolentemente dei codici elettronici (username, codici di accesso e password) di un utente, al fine di utilizzarli per accedere a conti correnti bancali o postali che vengono rapidamente svuotati” (Cass. Sez. Pen. n. 9891/2011).
Il phishing rientra nell’ambito dei cyber crimes, disciplinati dalla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23.11.2001, ratificata dall’Italia con l. n. 48/08, i quali sono definiti come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”.
In che modo il “phisher” realizza questo tipo di truffa?
Il metodo più semplice per portare a compimento un attacco di phishing consiste nell’inviare semplici messaggi di posta elettronica, sotto forma di spam, che presentano caratteristiche molto simili a quelle dei servizi di pagamento online o istituti bancari e postali. Tali e-mail inducono in errore l’utente, il quale ritiene di essere stato contattato dalla propria banca, e contengono un link che rinvia ad un sito-truffa, in apparenza del tutto simile all’originale. Il messaggio di phishing potrebbe ad esempio ricordare all’utente la scadenza di una determinata password o il potenziale rinnovo della carta prepagata o della carta di credito (es. Postepay, …), potrebbe richiedere l’accettazione dei cambiamenti delle condizioni contrattuali o indicare potenziali problemi di accrediti, addebiti o trasferimenti di denaro su determinati conti online (es. PayPal) potrebbe persino inviare offerte di lavoro particolarmente allettanti.
Logicamente, i contenuti appena descritti sono elencati a titolo esemplificativo, ma possono essere i più vari ed imprevedibili.
Ai fini di una maggiore credibilità, l’utente non viene chiamato mai con il proprio nome e, se questi “abbocca all’amo”, finirà per inserire username, password e/o altre potenziali informazioni che il phisher, cioè il malintenzionato, potrà liberamente utilizzare, sottraendo liquidità e subendo tutte le spiacevoli conseguenze del caso.
Quali sono le conseguenze giuridiche?
Sotto il profilo civilistico, il comportamento del phisher configura una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non patrimoniali cagionati alle vittime. Secondo parte della dottrina ma anche della più recente giurisprudenza tra i soggetti responsabili del danno si individuano anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher. La legge pone in capo all’istituto di credito l’obbligo di risarcire il correntista truffato e ciò perché rientra nel rischio professionale dell’istituto la possibilità che vengano sottratte in qualche modo le credenziali dell’utente. La responsabilità a carico degli istituti sorge sul presupposto di un’inadeguatezza delle “misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico” tese ad “evitare prelievi fraudolenti” (Trib. Siracusa, 15.3.2012). La responsabilitàin capo all’istituto di credito è esclusa quando lo stesso sia in grado di dimostrare l’eventualitàdi una utilizzazione dei codici di accesso al sistema da parte dei terzi o che le operazioni online effettuate sono riconducibili alla volontà del cliente (ad es. il cliente cade ripetutamente nella stessa trappola o la modalità in cui è redatta l’e-mail truffaldina fa facilmente comprendere che si tratti di una truffa).
Responsabile è anche il gestore telefonico, in quanto, in tema di illeciti bancari consumati attraverso la rete, grava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l’utente (Trib. Benevento, n. 1506/2009).
Sotto il profilo penale, la condotta del phisher integra il reato di trattamento illecito dei dati personali, di cui all’art. 167 del Codice della privacy, che punisce chi, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali.
Il phishing integrerebbe anche il reato di truffa ex art. 640 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 euro per “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”. Tale reato è configurabile anche nella forma aggravata (art. 640, 2° co. cod. pen.) quando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l’erroneo convincimento di dover eseguire l’ordine di un’autorità.
Il phishing può far configurare anche il reato di “frode informatica” (art. 640-ter c.p.), che presuppone un’alterazione del funzionamento di un sistema informatico o un intervento abusivo su dati o informazioni o programmi contenuti nel sistema stesso, così da determinare un ingiusto profitto per il soggetto che realizza la condotta illecita e un danno per chi la subisce.
Ancora, potrebbe configurarsi il reato di cui all’art. 615-ter, 1° co., c.p., che punisce con la reclusione fino a tre anni chi si introduce in un sistema informatico o telematico protetto da misure di sicurezza.
Infine si potrebbe configurare anche il delitto di sostituzione della persona ex art. 494 c.p. in quanto, anche se non si tratta di sostituzione materiale, il furto d’identità si realizza anche qualora avvenga il mero utilizzo degli estremi identificativi del soggetto, attraverso l’uso delle credenziali ottenute in maniera illecita per accedere a sistemi informatici e porre in essere transazioni non consentite.
Come difendersi?
A chi è stato “pescato” dall’esca del phisher non resta che rivolgersi ad un avvocato e farsi difendere sulla base delle norme civilistiche, penalistiche e dalle leggi speciali su indicate. In ogni caso l’utente può rivolgersi all’Arbitro Bancario Finanziario (ABF), organismo introdotto dall’art. 128-bis della l. n. 262/2005 (“T.U. Bancario”), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari.
Per non cadere nella trappola, comunque, si consiglia vivamente di lasciarsi guidare dal buon senso e, dunque, verificare la veridicità delle comunicazioni ricevute, contattando il servizio clienti dell’istituto di credito interessato, non aprire gli allegati o i link contenuti nelle e-mail, tenere sempre aggiornato l’antivirus e il Sistema Operativo e segnalare i casi sospetti alle forze dell’ordine.
Legge & Diritto è una rubrica quindicinale a cura della dott.ssa Francesca Santangelo
Nata a Sciacca il 04-08-1984. Ha conseguito la maturità classica presso il Liceo Classico “Tommaso Fazello” di Sciacca e la Laurea Magistrale in Giurisprudenza presso l’Università degli Studi di Palermo. Dal 2016 al 2018 ha frequentato il praticantato forense in ambito civile, penale e processuale con attività di studio e presso il Tribunale di Sciacca. Nel 2018 ha frequentato un corso di formazione in ambito criminologico “Criminal Profiler – Dall’analisi della scena del crimine al profilo psicologico criminale” nel 2019 ha acquisito le competenze base su “La scena del crimine”, con relativi attestati. Ad oggi procede gli studi per approfondire le tematiche giuridiche che saranno oggetto della sua professione.
