Phishing nel diritto penale: cos’è e come difendersi dalla truffa più diffusa sul web

Con il termine Phishing si indica una particolare tipologia di truffa sulla rete Internet rilevante nel diritto penale, che si realizza principalmente attraverso l’invio di messaggi di posta elettronica ingannevoli ai danni dell’utente, al fine di carpire i suoi dati personali (dati di log-in, dati finanziari/bancari, etc.).

Generalmente il phishing consiste nell’invio di una e-mail, apparentemente proveniente da istituti finanziari (banche, emittenti carte di credito, etc.) o da siti web che riferiscono problemi di registrazione o di altra natura, contenenti l’invito a fornire i propri riservati dati di accesso al servizio. Molto spesso inoltre, per rassicurare falsamente l’utente, nel messaggio viene indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati, trattandosi – in realtà – di un sito artatamente allestito in modo identico all’originale. Sicché nel momento in cui l’utente, convinto della genuinità della richiesta, inserisce i propri dati riservati, questi vengono a cadere nella disponibilità del/dei truffatore/i.

Il Phishing nel diritto penale

La condotta del phisher integra, innanzitutto, il reato di trattamento illecito dei dati personali, di cui all’art. 167 del Codice della privacy, che punisce “chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali” con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, nonché l’illecito penale per violazione delle misure di sicurezza previsto per i titolari del trattamento dati ex art. 169 del Codice.

La medesima condotta configura, inoltre, la fattispecie tipica del delitto di truffa ex art. 640 c.p., semplice o aggravata ai sensi del comma 2, allorquando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l’erroneo convincimento di dover eseguire l’ordine di un’autorità, nonché del delitto di frode informatica previsto dall’art. 640-ter c.p.c., che presuppone “un’alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo”, o del reato di “Accesso abusivo ad un sistema informatico o telematico” ex art. 615-ter c.p., quando la captazione dei dati personali avvenga tramite un virus (altra modalità con cui sovente opera il phisher), le cui modalità di infezione possono essere di varia natura, anche se spesso collegate – anche in questo caso – all’invio di messaggi di posta elettronica “infetti”.

Ove la captazione illecita abbia a oggetto numeri di carte di credito o prepagate, viene a configurarsi altresì il delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell’art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass.Pen. n. 37115/2002).

Potrebbe, infine, venire a configurarsi il delitto di sostituzione della persona ex art. 494 c.p. , qualora avvenga anche il mero utilizzo degli estremi identificativi del soggetto, attraverso l’uso delle credenziali ottenute in maniera illecita, per accedere a sistemi informatici e porre in essere transazioni non autorizzate.

Come tutelarsi dal Phising

La forma principale di tutela è certamente il buon senso dell’utente. Allorché riceviamo una e-mail, è bene sempre analizzarla attentamente in tutti i suoi elementi (indirizzo mittente, testo, presenza di errori grammaticali, link e collegamenti). Soprattutto quando il mittente sia un istituto di credito o finanziario, se abbiamo sospetti, è consigliabile rivolgersi al servizio di assistenza che generalmente tutti gli istituti mettono a disposizione della propria clientela, e chiedere conferma della provenienza del messaggio ricevuto.

Per chi, invece, è già caduto nella trappola del phisher, attesa l’assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta frammentariamente dalla legge.

Pubblicato da Valeria Citraro

Laureata in Giurisprudenza con 108/110 presso l'Università degli Studi di Catania, con tesi in Diritto Processuale Penale dal titolo "La chiamata in correità. Struttura e Valutazione Probatoria". Abilitata all'esercizio della professione forense il 30/09/2016 con votazione 405/420.