Il phishing (termine che deriva dalla fusione dei termini inglesi phreaking, che indica una tecnica utilizzata negli anni ’70 per effettuare telefonate senza pagare e fishing, pescare) è una truffa informatica che sfrutta una tecnica di ingegneria sociale effettuata mediante l’invio di e-mail che imitano, nell’aspetto e nel contenuto, messaggi legittimi per lo più di fornitori di servizi, o di mittenti ricorrenti. Mediante l’invio di tali e-mail, il criminale invia il destinatario a fornire dati riservati, o rispondendo all’e-mail stessa, o, più frequentemente, cliccando su un link che riporta ad un sito web con un form da compilare.
Il fenomeno del phishing comprende una pluralità di tecniche di sottrazione dei dati informatici, ma quella maggiormente usata dal criminale consiste nello sviluppo e contestuale creazione di testi idonei a generare piena fiducia nei confronti del contenuto medesimo da parte del destinatario del messaggio.
Una volta aperto il link, la vittima si potrebbe trovare in una pagina pressoché identica a quella originale del proprio fornitore di servizi (ad esempio la propria compagnia elettrica, il proprio gestore telefonico, o la propria banca). A quel punto il criminale potrà o direttamente ottenere le credenziali dalla vittima o potrà scaricare sul dispositivo di essa un malware ed infettarlo (il malware è un virus che si annida in modo silenzioso nel dispositivo, senza creare alcun apparente malfunzionamento del sistema, per poi sottrarre informazioni riservate ad esempio sui conti bancari o per dirottare gli utenti su veri e propri siti clone al momento della digitazione del sito della propria banca).
In ogni caso, una volta ottenuti i codici, il criminale accede abusivamente al sistema e usa le credenziali per scopi fraudolenti, quali l’acquisto di beni o la disposizione di uno o più bonifici on-line a favore suo o di un altri soggetti cointeressati.
Generalmente non vi è una vittima specifica, il phishing infatti di solito trae origine dall’invio indiscriminato di e-mail a un vasto numero di destinatari, apparentemente provenienti da istituti bancari. Tali comunicazioni possono informare gli utenti di presunti problemi tecnici verificatisi sui server dell’istituto di credito o della necessità di aggiornare il sistema stesso. Al fine di risolvere la questione segnalata, il messaggio di posta elettronica fraudolento induce i destinatari a inserire o modificare i propri codici di accesso personali relativi ai conti on-line.
Gli attacchi di phishing sono in continuo e costante aumento, e mirano solitamente:
- a convincere la vittima ad aprire un allegato contenente un malware;
- convincere la vittima a cliccare su un link che porta a un sito fraudolento;
- convincere la vittima a rivelare i suoi dati o le sue credenziali rispondendo all’e-mail o comunicandole in una chat.
Allo stato attuale, manca una disciplina giuridica ad hoc per il phishing il quale, comunque, assume una valenza plurioffensiva, entrando in rilievo diverse fattispecie di reato a seconda dei casi: art. 494 c.p. (sostituzione di persona), art. 615-ter c.p. (accesso abusivo ad un sistema informatico o telematico), art. 615-quater c.p. (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), art. 615-quinquies c.p. (diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico), art. 640-ter c.p. (frode informatica).
Con riferimento a tale ultima fattispecie di reato, la Corte di Cassazione si è pronunciata su un caso di false comunicazioni che richiedevano, mediante inganno, la divulgazione di dati personali da parte di un sito clone di Poste Italiane. In questa circostanza, la Corte ha enunciato il principio secondo cui «integra il reato di frode informatica, e non già soltanto quello di accesso abusivo ad un sistema informatico o telematico, la condotta di introduzione nel sistema informatico delle Poste italiane S.p.A. mediante l’abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro depositate sul conto corrente del predetto» (Cass. pen., Sez. II, 24/02/2011, n. 9891).
Già precedentemente era stato ritenuto che l’illecita acquisizione di codici di accesso a conti correnti bancari e postali ed il loro successivo utilizzo per effettuare prelievi e bonifici on-line non autorizzati fosse inquadrabile ai sensi degli artt. 640–ter, 615-quater e 615-quinquies (Trib. Milano 28 luglio 2006, in Dir. Internet, 2007, 1, 62 con nota di Vaciago–Giordano).
Sul piano civilistico invece, in tema di responsabilità l’attenzione va posta sulla condotta della vittima, la quale ben potrebbe porre in essere dei comportamenti che agevolerebbero colposamente la sottrazione delle credenziali.
La responsabilità causale del cliente, quando l’operazione fraudolenta è avvenuta attraverso l’uso dei codici in suo possesso, è stata riconosciuta con frequenza nelle decisioni dell’Arbitro Bancario Finanziario. Ad esempio, il Collegio di Milano (A.B.F. Milano, 6/12/2011, n. 2662) ha affermato il concorso di colpa del danneggiato per non aver adottato un servizio di sicurezza più avanzato offertogli dalla banca; oppure lo stesso Collegio (A.B.F. Milano, 15/2/2010, n. 46) ha riconosciuto la colpa concorrente del cliente poiché l’operazione fraudolenta è avvenuta mentre il servizio di avviso tramite SMS era disattivato.
Gli obblighi di comportamento dei correntisti sono oggi delineati all’art. 7 D. Lgs. 27/1/2010, n. 11, il quale stabilisce, da un lato, che questi debbano utilizzare lo strumento di pagamento conformemente al contratto quadro, mantenendo un comportamento idoneo a garantire la sicurezza dei codici di accesso. E, da altro lato, che gli utenti dovranno comunicare senza indugio al fornitore lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato degli strumenti di pagamento.
Nel caso in cui l’uso non autorizzato dello strumento di pagamento derivi dalla mancata osservanza da parte dell’utilizzatore dei suddetti obblighi, la normativa prevede una suddivisione della responsabilità tra il fornitore del servizio e l’utente. Quest’ultimo è tenuto a sopportare il danno entro i limiti di € 150,00, a meno che non abbia agito con dolo o colpa grave (art. 12, Co. 3, D.Lgs. 11/2010). L’istituto bancario, al fine di escludere la propria responsabilità (art. 12, Co. 4, D.Lgs. 11/2010), ha l’onere di dimostrare che il cliente non ha adempiuto con dolo o colpa grave agli obblighi di custodia di cui all’articolo 7.
Su tale ultimo aspetto varie sono le decisioni dell’A.B.F. che si sono espresse in merito. Sostanzialmente l’Arbitro tende a considerare gravemente negligente il comportamento del cliente che si dimostri essere caduto vittima del cosiddetto phishing, ovvero che abbia divulgato i propri dati in risposta alla richiesta di credenziali contenuta in un messaggio falsamente attribuito all’intermediario (A.B.F. Napoli, 24/6/2014, n. 3968; A.B.F. Milano, 25/6/2014, n. 4011). D’altro canto, di fronte a sofisticate azioni criminali caratterizzate da elevati livelli di inganno e riconducibili a forme di software dannoso non sembra che sia oggettivamente riconducibile all’utente una colpa grave sufficiente ad escludere la responsabilità dell’intermediario. Non si può infatti pretendere che il fruitore del servizio abbia una particolare diligenza tecnica in tali circostanze (A.B.F. Milano, 3/5/2013, n. 2443 e 5/3/2014, n. 1304).
Tuttavia, l’orientamento dottrinale prevalente sottolinea come il chiaro favore verso il consumatore, emerso dalla normativa in questione, dovrebbe portare a un’interpretazione generalmente restrittiva delle situazioni che possono essere considerate come colpa grave. In questo contesto interpretativo, sorge il dubbio se cadere in una truffa, come nel caso del phishing, possa essere sempre indicativo di una grave ingenuità, specialmente quando si tratta di uno strumento di pagamento rivolto alla massa dei consumatori.
In ogni caso, sarà necessario considerare le circostanze specifiche della truffa, tra cui in particolare la maggior o minore credibilità del messaggio ingannevole. È evidente, tuttavia, che questo argomento delicato riguardante l’importanza della capacità della condotta fraudolenta di ingannare il consumatore potrà essere chiarito solo attraverso gli orientamenti giurisprudenziali che si svilupperanno in merito.
Da segnalare, infine, le interessanti pubblicazioni sul tema ad opera del il Garante per la protezione dei dati personali sul suo sito istituzionale contenente, tra le altre cose, le linee guida e un’infografica che illustrano come proteggersi dal phishing (premere qui per leggere).
Per approfondire:
- FINOCCHIARO, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012; - FLOR, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in RIDPP, 2007; - FEROLA, Il riciclaggio da phishing tra vecchie e nuove questioni, in GM, 2009; - CAJANI, CONTESTABILE, MAZZARACO, Phishing e furto d’identità digitale. Indagini informatiche e sicurezza bancaria, Giuffrè, 2008; - FANTINI, Phishing: strategie operative dell’inganno, in Dir. Internet, 2008; - TROIANO, Gli ordini non autorizzati, in MANCINI(a cura di), La direttiva Psd, 2011; - VALORE, Phishing sul conto postale e trattamento dei dati personali, in Corr. merito, 2012.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024
