Truffe online: il phishing

É facile imbattersi in e-mail dalla grande vis attractiva che annunciano, ad esempio, la vincita di grossi premi, buoni sconto di centinaia di euro, viaggi, ovvero la risoluzione di annosi problemi finanziari. Dinanzi a tali allettanti eventualità fornire informazioni strettamente personali diviene quasi un automatismo anche per l’utente più avveduto.

Prima di farlo occorre però considerare che fornire i propri dati, o peggio le proprie password, è senza dubbio assimilabile alla consegna delle chiavi di casa propria a sconosciuti, con tutti i nocumenti che ne conseguono. Bisogna, dunque, fermarsi a riflettere perché i “pescatori di dati” sono sempre pronti a gettare la propria esca al fine di truffare i malcapitati internettiani.

Il phishing è una cyber minaccia che si attesta tra i reati informatici più pericolosi e diffusi del web. Si configura come illecito penale ma anche come illecito civile.

Come si manifesta? É presto detto.

Consideriamo a titolo esemplificativo il caso del signor X che decide di collegarsi alla propria casella di posta. Tra le e-mail non lette ne trova diverse che attirano artificiosamente la sua attenzione giacché paiono essere state inviate da un ente pubblico, una banca o una grande azienda, soggetti che godono tutti di estrema credibilità.

Il messaggio reca l’invito a fornire i propri dati personali (spesso con l’anomala motivazione che siano andati perduti) oppure a cliccare un link che rinvia ad una pagina web dove è presente un form da compilare che richiede anch’esso dati sensibili.

Il signor X manca di considerare che tale modus operandi non appartiene ai soggetti sopra indicati e che, pertanto, i marchi fraudolentemente utilizzati sono stati contraffatti.

Decide di fidarsi e di fornire le credenziali che permettono l’accesso al suo conto. I dati così carpiti saranno utilizzati per fare acquisti a sue spese, per prosciugare il suo conto e/o per compiere attività illecite.

La tecnica di base utilizzata per ingannare l’utente è il cosiddetto “Deceptive Phishing”, una tecnica di ingegneria sociale che si sostanzia nella creazione di un testo idoneo dal punto di vista strutturale e grafico a generare piena fiducia nei confronti del suo contenuto da parte del soggetto ricevente ed indurlo a realizzare un’azione per lui altamente pregiudizievole.

Orbene, oltre all’inganno ad arte creato nei confronti dell’utente è altrettanto grave l’utilizzazione di siti che godono di elevata credibilità.

Tanto detto è per evidenziare come il reato di phishing, pur non essendo rubricato come tale nel nostro ordinamento penale, comporta una minaccia che ben si annida, secondo la giurisprudenza, in fattispecie penali già disciplinate e di volta in volta differenti a seconda della condotta del phisher e delle variazioni della modalità operativa e tecnologica che caratterizzano il fatto criminoso.

Potrebbe configurarsi a titolo di mera elencazione ed a seconda dei casi: il reato di sostituzione di persona di cui all’art. 494 c.p., il reato di truffa ex art. 640 c.p., il reato di frode informatica ex art. 640 ter c.p., il reato di trattamento illecito di dati personali, di cui all’art. 167 del Codice della privacy.

Da un punto di vista eminentemente civilistico, il Phishing configura, invece, una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non, cagionati alle vittime.

La giurisprudenza ha accolto la tesi della dottrina di considerare responsabili del danno anche gli stessi istituti di credito, gli enti e le società a loro volta vittime del phisher condannandoli al risarcimento dei danni patiti dai correntisti.

La regola principe per difendersi dal phishing è solo una: il buon senso! Nessuno può proteggere e tutelare le nostre informazioni meglio di noi stessi.