Tra i crimini informatici più insidiosi e di stretta attualità si può senz’altro annoverare il fenomeno noto come “Phishing”.
L’etimologia può farsi risalire, secondo alcuni, ad una variante del termine fishing (letteralmente “pescare” in lingua inglese) e probabilmente influenzato da phreaking, che allude ad un fenomeno che potrebbe essere considerato il predecessore del phishing, in quanto indica l’attività di persone che, utilizzando varie frequenze, manipolano un sistema telefonico.
In Italia la prima e-mail di phishing inerente un istituto di credito italiano (Poste Italiane) risale al 16 marzo 2005, grazie alla quale si è appresa la diffusione, anche nel nostro Paese, di un fenomeno già conosciuto all’estero.
La procedura attraverso la quale avviene il raggiro si sviluppa nelle seguenti fasi:
1. l’utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio di posta elettronica che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste on-line a cui è iscritto);
2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatisi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account ecc.);
3. l’e-mail invita il destinatario a seguire un link (collegamento), presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione;
4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato;
5. il phisher infine utilizza i dati acquisiti illecitamente per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.
L’analisi giuridica del fenomeno si presenta particolarmente complessa in quanto, al momento, non esiste nell’ordinamento italiano una norma incriminatrice che prenda specificamente in considerazione il phishing.
A questa grave lacuna, tuttavia, possono sopperire alcune norme nella cui sfera di applicazione sembrano potersi ricondurre le condotte finora illustrate. Tali norme si trovano principalmente all’interno della L. 23 Dicembre 1993 n. 547, modificata e integrata dalla L. 18 Marzo 2008 n. 48, la quale ha introdotto importanti modificazioni in tema di criminalità informatica.
Nella formazione della e-mail falsa creata dal phisher potrebbero astrattamente vedersi contemporaneamente integrate diverse fattispecie penali.
Innanzitutto nessun dubbio circa l’applicabilità dell’art. 494 c.p. che definisce l’ipotesi di sostituzione di persona, così come reati quali la truffa (art. 640 c.p.), la frode informatica (art.640-ter c.p.), l’accesso abusivo a sistema informatico e telematico (art. 615-ter c.p.).
Il fenomeno però è molto complesso e la condotta operata dal Phisher viola anche alcune disposizioni in ambito civile e soprattutto quelle riguardanti la materia del trattamento dei dati personali, disciplinata dal D.Lgs 196/2003 (Codice Privacy).
Dal punto di vista della repressione di tale frode informatica, non vi sono molte pronunce in materia. A tal proposito è interessante però evidenziare la sentenza emessa dal Tribunale di Palermo, Sezione III civile, del 12/01/2010, n. 81, con la quale, per la prima volta, è stata riconosciuta la responsabilità dell’istituto bancario (nello specifico Poste Italiane S.p.a.) per aver violato le disposizioni degli art. 15-31 del D.Lgs 196/2003, in quanto, al fine di evitare prelievi fraudolenti (cd. phishing), è necessaria l’adozione, da parte dell’Istituto di credito, di tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, non essendo sufficiente la non violazione di norme di legge. La diligenza richiesta deve infatti essere valutata con maggior rigore, atteso che la prestazione inerisce all’esercizio di un’attività professionale.
È di palmare evidenza che tale sentenza, qualora dovesse essere seguita da pronunce dello stesso orientamento, per di più se emesse dalla Suprema Corte, costituirebbe un importante principio di diritto, da far valere in sede giudiziale, da parte di tutti i correntisti vittime di prelievi fraudolenti, al fine di ottenere un risarcimento per il danno subito.