Articoli recenti

Privacy & Elenco Clienti/Fornitori

Codice Privacy & CAD

Il controllo della mailbox aziendale

Distributori automatici: quello che pochi sanno...

Mercati finanziari e tecnologie dell'informatica

Segnalazioni

La valutazione della proprietà intellettuale

Oilproject: be free to learn

Il Phishing


di Felicia Bonanno


L’enorme espansione di Internet, e l’uso crescente che dello stesso si fa come strumento - ormai – indispensabile di comunicazione, hanno inevitabilmente comportato un aumento esponenziale anche di condotte lesive poste in essere a mezzo di un computer. Vale a dire che, oltre a giovarci dei vantaggi delle nuove tecnologie telematiche, dobbiamo purtroppo fare i conti anche con una nuova forma di criminalità che delle stesse si serve.
Un reato telematico probabilmente noto soprattutto a chi, avendo attivato servizi di home banking, si avvale della possibilità di disporre pagamenti, bonifici o versamenti, o semplicemente di controllare il proprio conto comodamente da casa, evitando file e perdite di tempo in banca o negli uffici postali, è il cosiddetto PHISHING.

Secondo molti il termine altro non sarebbe, se non il “to fish” (pescare) scritto in stile “hacker”. “Phisher” starebbe così ad indicare il “truffatore pescatore” e, per rimanere in tema…di metafora, nel mare di internet gli utenti sarebbero i “poveri pesciolini” presi di mira da esperti imbroglioni che, attraverso lo spamming, gettano in rete enormi quantità di esche, in attesa che qualcuno abbocchi e cada all’interno delle trappole da loro tese.

Ma in cosa consiste questa…pesca?
Innanzitutto, scopo del phisher sono i soldi, e vittima delle sue azioni l’home banking, cioè carte di credito, conti correnti on line, codici relativi a depositi effettuati in istituti di credito.
Il phishing è, in sostanza, una frode, il cui fine è impossessarsi dei dati personali di un utente (ad esempio, numero della carta di credito, o chiavi di accesso al servizio di home banking).
Viene posto in essere inviando false e-mail, in apparenza provenienti da una società emittente carte di credito o da un istituto di credito, in cui sono utilizzati logo, nome, e layout della società o dell’istituto imitati. Tali e-mail invitano il destinatario a collegarsi, tramite un link, ad un sito internet simile a quello dell’ente imitato, e ad inserirvi, tramite una finestra pop up che si apre dallo stesso link, le informazioni riservate. Ad esempio: “Gentile utente, durante i regolari controlli sugli account non siamo stati in grado di verificare le sue informazioni. In accordo con le regole di XXXXX abbiamo bisogno di confermare le sue reali informazioni. E’ sufficiente che completi il modulo che le forniremo. Se ciò non dovesse avvenire saremo costretti a sospendere il suo account”.

I truffatori sfruttano la ingenuità delle vittime, inviando e-mail in cui l’indirizzo del mittente è falsificato, e facendo loro credere che, per ragioni di sicurezza, o di trasferimento del sito, o per motivi tecnici non meglio precisati, è necessario modificare e reinserire password e nome utente, servendosi del link contenuto nella mail che però, guarda caso, indirizza non sulla pagina della banca imitata, ma su una pagina web allestita ad hoc. I truffatori, in tal modo, attraverso i dati carpiti con l’inganno, potranno effettuare transazioni bancarie a nome della vittima, o comunque servirsi nei modi più svariati delle informazioni ottenute.

Aspetto interessante è quello della qualificazione giuridica del phishing.
In effetti, sono diverse le norme incriminatici nel cui alveo sembra potersi ricondurre la condotta in esame.
E così c’è chi, considerando che il phishing prende avvio solitamente da una mail falsa, inviata al destinatario per fargli credere che il mittente sia la sua banca, ravvisa nella fattispecie il reato di cui all’art. 617 sexies c.p. – posto tra i delitti contro l’inviolabilità dei segreti - che punisce “Chiunque, al fine di procurare a sé o ad altri un danno, forma falsamente…., in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico…qualora ne faccia uso o lasci che altri ne facciano uso…”. In effetti, scrivere una e-mail dal contenuto mendace, per trarre in inganno il destinatario, non è altro che una falsificazione di comunicazione telematica.

Altri, per il caso in cui il phisher agisca facendo apparire sul monitor dell’utente che si connette al sito “vero” della banca una finestra pop up attraverso cui l’utente stesso viene poi portato al sito “fasullo” per inserire i suoi dati, individuano nella condotta un accesso abusivo ad un sistema informatico o telematico, incriminato dall’art. 615 ter c.p., nella sezione dedicata ai delitti contro l’inviolabilità del domicilio.

Stessa serie di delitti sembra attagliarsi al phishing secondo coloro che, invece, facendo leva sul fatto che il phisher si impossessa di password o codici di accesso per operare sui conti correnti on line dell’utente, ravvisano nella sua condotta la detenzione abusiva di codici di accesso a sistemi informatici o telematici, sanzionata dall’art. 615 quater c.p.
Ad ogni modo, indipendentemente dalla prevalenza dell’una o dell’altra delle norme incriminatici sopra individuate, è opinione largamente condivisa che il phishing si sostanzi in una vera e propria truffa ex art. 640 c.p., della quale integra in effetti tutti gli estremi: attraverso il raggiro/artificio della mail falsa, il phisher induce in errore il destinatario che, credendo che la comunicazione proviene dalla sua banca, si collega tramite il link in essa contenuto ad un sito identico a quello a cui egli pensa di collegarsi, fornendo così i suoi codici di accesso al truffatore; questi, servendosene, potrà effettuare operazioni bancarie, conseguendo un ingiusto profitto a danno del malcapitato utente.
La truffa (semplice) è un reato punibile a querela della persona offesa. Nel phishing, chi è da considerarsi tale? Ovviamente l’utente destinatario della mail che subisce un danno patrimoniale per il depauperamento del suo conto in banca ad opera del phisher.
Ma anche la banca: questa, qualora ponesse in essere procedure straordinarie per allertare i clienti a guardarsi bene da mail che li invitassero ad indicare i loro codici di accesso, subirebbe un aggravio di spese impreviste, specie se si considera che tali comunicazioni vanno fatte singolarmente e non tramite pubblici annunci; il conseguente danno, deve ritenersi, legittimerebbe la banca a proporre querela.

Per quanto il descritto fenomeno possa sembrare infallibile, basta un po’ di attenzione per non cadere nella trappola: occorre assolutamente diffidare delle e-mail che richiedono l’inserimento di dati relativi a conti correnti o carte di credito, e non cliccare sui link in esse contenuti, che potrebbero portare a siti contraffatti.
Tali e-mail, d’altronde, non sono poi così difficilmente riconoscibili: sono scritte in un italiano spesso “improbabile”, in quanto ricco di errori; contengono messaggi generici, anziché richieste e comunicazioni personalizzate; usano toni intimidatori, paventando la sospensione dei servizi telematici lì dove non si dovesse provvedere ad inserire, tramite gli appositi link ingannatori, quanto richiesto.
Insomma, bando a paranoie che possano far smettere di usare i servizi bancari on line!
Internet e il computer non sono cosi “trascendentali” come sembra, e forse più spesso di quanto si immagini soggiacciono alle regole del mondo “reale”…Una tra tutte, il buon senso: così come sarebbe assurdo dare ad uno sconosciuto il codice del proprio bancomat, allo stesso modo occorre guardarsi dallo svelare via internet dati riservati, se non si è sicuri dell’identità di chi li chiede!

Inserito il 07/06/2006 | Cybercrimes

Approfondimenti

Biodiritto (3)
Cybercrimes (12)
E-Commerce (8)
E-Copyright (11)
E-Privacy (26)
Firme elettroniche (5)
Informatica e P.A. (8)
Legal Informatics (4)
Legimatica (1)
Nomi a dominio (2)

Vai in archivio »



2005 Copyright Computer Law. Some rights reserved.