Phishing, l'illecito sguazza nella Rete. Natura penale e civile della truffa.
dr.ssa Simona Carmenati
Oggi il subdolo Lupo Cattivo non si traveste più da nonnina bisognosa, ma da ben noto istituto di credito, assumendone logo, sito web e ogni altro segno distintivo che induca l’ingenua e servizievole Cappucetto Rosso che naviga in Internet a fornire fiduciosa al malintenzionato i propri dati riservati per l’home banking (PIN, password, numero di carte di credito, informazioni su account personali).
Il Lupo Cattivo della Rete è il cosiddetto “phisher”, che con il semplice invio di un’e-mail del tutto credibile, per grafica e per il rimando a una url ingannevole che richiama quello della propria banca (un po’ meno credibile sarebbe invece questa stessa e-mail dal punto di vista di grammatica e sintassi italiana…) carpisce informazioni utili ad attingere ai conti correnti altrui.
Il fenomeno è sostanzioso: da marzo a settembre 2005 sono circolate ogni mese nuove e-mail truffaldine a nome di almeno 6 note realtà finanziare italiane. E sono già una quindicina, in questi primi giorni di settembre, i casi registrati a livello internazionale.
L’Avv. Luca Bovino ci guida in un percorso “anti-phishing” approfondendo il tema delle connotazioni e implicazioni legali del reato informatico.
Il “phishing” è espressamente definito e prescrivibile nell’ordinamento giuridico italiano?Non esiste una definizione del fenomeno “phishing” nel nostro ordinamento, ma non esiste neanche una definizione della parola “phishing” in alcun dizionario della lingua inglese, trattandosi di una storpiatura del verbo “to fish”, pescare. Una pesca alla quale abboccano, purtroppo, gli utenti più sprovveduti.
Ma il fatto che non vi sia una norma giuridica espressamente dedicata al phishing non significa che questa pratica sia lecita, tutt’altro.
A cosa attiene l’illiceità di questa pratica?
Per rispondere a questa domanda è opportuno ricordare che la finalità del phisher è quella di sottrarre agli utenti dati personali (come codici d’accesso, pin, password, userID, etc.) per poi sottrarre loro danaro depositato in conti correnti accessibili on-line.
Pertanto vi sono due momenti fondamentali da tener presente nel valutare l’illiceità del phisher: uno attiene ai raggiri informatici necessari per carpire i dati personali degli utenti; l’altro attiene alle manovre finanziarie e bancarie che il phisher deve porre in essere per trasferire il denaro sottratto agli utenti all’interno di posti sicuri.
Questa seconda fase è forse ancora più delicata della prima, perché una volta acquisita la disponibilità di un conto corrente on-line, il phisher dovrebbe cercare in ogni modo di nascondere le tracce, spesso in maniera illecita, delle movimentazioni che ha effettuato con il denaro altrui.
Possiamo correttamente parlare di truffa ai danni dell’utente, e di implicazioni di natura penale?
Credo proprio di sì. L’art. 640 c.p., al primo comma recita infatti «chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro». Credo che gli elementi descritti dalla norma incriminatrice siano tutti ampiamente ravvisabili nella condotta del phisher. Partendo dalle e-mail maliziose contenenti un collegamento ipertestuale ingannatorio (gli artifizi ed i raggiri) che conduce verso un sito in tutto e per tutto identico a quello del proprio istituto di credito (l’induzione in errore), fino ad arrivare alla sottrazione dei codici d’accesso ai propri conti on-line e quindi la materiale sottrazione del denaro ivi custodito (ingiusto profitto ed altrui danno). Credo proprio che gli estremi dell’art. 640 c.p., comma 1, vi siano tutti. Non solo. Spesso gli attacchi di phishing integrano anche l’ipotesi di truffa aggravata prevista al n. 2) del comma 2 dell’art. 640 c.p., ipotesi che si verifica allorquando il fatto sia stato commesso «ingenerando nella persona offesa il timore di un pericolo immaginario». Il più delle volte capita, infatti, che il phisher nel proprio messaggio inviato al suo destinatario, lo inviti a recarsi repentinamente presso il sito della propria banca, paventando proprio rischi di truffe o altri accessi non consentiti ai propri dati.
Tuttavia, oltre alla truffa, credo che possano essere ravvisabili gli estremi di altri reati informatici e contro la privacy come ad esempio la frode informatica (art. 640 ter c.p.), l’accesso abusivo ad un sistema informatico (art. 615 ter c.p.) o l’illecito trattamento di dati personali (art. 167 D.Lgs. n. 196/2003).
Anche l’Istituto di credito può essere considerato parte offesa?
Anche in questo caso risponderei affermativamente. La persona offesa è il soggetto titolare del bene giuridico protetto dalla norma penale che viene leso dall’azione del reo. In questo caso il bene della vita tutelato dalla norma incriminatrice, (prendiamo ad esempio sempre l’art. 640 c.p., tralasciando le altre ipotesi) è l’integrità del patrimonio durante le relazioni negoziali. Pertanto, per ritenere la banca una potenziale persona offesa, è opportuno verificare se tale truffa perpetrata dal phisher sia o meno suscettibile di arrecare un danno di natura patrimoniale anche alla banca. E la risposta non può che essere positiva. L’istituto di credito, infatti, nella maggior parte dei casi, non appena viene a conoscenza del fatto che alcuni suoi correntisti sono stati vittime di phishing è costretto ad adottare delle procedure straordinarie per informare la propria clientela e per invitarla a non divulgare i propri codici riservati. Tale tipo di informativa viene generalmente rilasciata in via riservata e non tramite pubblici annunci (per ovvi motivi legati alla pubblicità negativa che subirebbe la banca) con l’inevitabile aggravio di spesa che la comunicazione riservata comporta. Molte banche hanno attivato, inoltre, degli appositi call-center ove i clienti possano rivolgersi in caso ricevano e-mail di dubbia provenienza. Difficile non vedere come tutte queste attività comportino un costo in termini di tempo e danaro per la banca e che costituiscano un indubbio danno che essa subisce a causa dell’azione del phisher, e che pertanto la legittimerebbe alla proposizione della querela. Ma non sarebbe del tutto sbagliato nemmeno ipotizzare un illecito civile…
L’intera attività del phisher si configura come un illecito trattamento di dati personali dei soggetti colpiti. I dati vengono carpiti, infatti, senza che vi sia un effettivo consenso informato dell’interessato, anzi quest’ultimo non può sapere che in realtà le informazioni che riceve dal phisher per convincerlo a recarsi presso il proprio account sono assolutamente false. In base al disposto dell’art. 15 del codice privacy, «chiunque cagioni un danno per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile».Tuttavia non sarebbe da escludere la possibilità di leggere il phishing come un’attività lesiva lesivo del principio del neminem laedere, criterio posto alla base della responsabilità extracontrattuale descritta dall’art. 2043 c.c. Il condizionale è d’obbligo data la novità della materia e data la ritrosia di molti operatori giuridici a considerare i bit come dei dati personali.Per quanto riguarda l’utente raggirato mi viene da pensare “oltre al danno, la beffa” di essere stata parte attiva, nel fornire ingenuamente di propria mano i dati che verranno usati contro di sé. Per l’Istituto di credito, custode delle informazioni sensibili, si può riscontrare una sorta di responsabilità in questa “falla”?Certamente, nell’articolo che abbiamo pubblicato sul sito ho sostenuto proprio questa eventualità che, per quanto apparentemente paradossale, non credo sia da sottovalutare.Le norme di riferimento per comprendere meglio questa tesi sono gli artt. 15 e 31 del codice privacy, D.Lgs. n. 196/2003, e l’art. 2050 del codice civile.Alla luce di a tale combinato disposto emerge la seguente disciplina: chiunque tratti dati personali altrui, e non adoperi tutti gli accorgimenti previsti dal progresso tecnico per evitare i rischi che incombono sui dati medesimi, risponderà nelle forme previste dall’art. 2050 c.c. (quindi subendo l’inversione dell’onere della prova in giudizio) nel caso si verifichino dei danni ai soggetti a cui facciano riferimento tali dati. Il danno deve in sostanza essersi verificato, per l’appunto, per effetto del mancato ottemperamento del titolare a tali obblighi di custodia e controllo.Non è superfluo ricordare che, a mente dell’art. 31 del codice privacy, ogni titolare di un trattamento di dati personali (qual è per l’appunto l’istituto di credito riguardo i dati dei propri clienti) deve custodire e controllare i dati personali trattati in modo da ridurre al minimo il rischio di accessi non autorizzati agli stessi.In particolare, prescrive il codice privacy, tale custodia e tale controllo devono essere commisurati alla conoscenze acquisite in base all’evoluzione del progresso tecnico, oltre che del tipo di trattamento effettuato. Ergo, la gestione di conti correnti on-line, piuttosto che off-line, prevede per il titolare l’obbligo di predisporre misure ulteriori ed “evolute” per cautelarsi dal rischio di accessi non consentiti o non autorizzati. Ciò con particolare riguardo ad un rischio “nuovo” per l’istituto di credito, legato all’evoluzione del progresso tecnico in materia di software per la realizzazione di pagine web, ovvero quello di subire il pharming (ovvero una illecita “clonazione”) del sito da cui vengono gestiti gli account dei propri clienti. Il sito a cui ti riferisci è il portale www.anti-phishing.it, presso il quale sei editorialista e che rappresenta il punto di riferimento on line contro le tecniche e i comportamenti fraudolenti a cui la Rete è soggetta, per esempio il citato pharming.
Quali altre tecniche fraudolente hai approfondito, dal punto di vista legale, sul sito?
Nel sito, per il momento, vi sono due approfondimenti di natura legale: uno dedicato, per l’appunto, al phishing, un altro invece relativo allo spamming.Come avrai potuto vedere nel sito c’è un’apposita sezione dedicata agli approfondimenti, di carattere però prevalentemente divulgativo, che comprende circa 7-8 minacce telematiche come i dialers, il keylogging, il pharming, gli spyware, il cybersquatting etc..Ecco l’obiettivo, forse un po’ ambizioso, è quello di approfondire anche da un punto di vista giuridico questi fenomeni con appositi contributi da aggiungere nel sito almeno quindicinalmente. Eppoi magari ampliare la lista delle insidie da approfondire sempre seguendo questo doppio binario:divulgativo-legale. Naturalmente non pretendo di fare tutto da solo, non ne sarei assolutamente in grado, e approfitto di questa intervista per invitare a chiunque fosse interessato a farsi avanti per collaborare con noi in questo percorso di studi e di ricerca. Ma la comunità dei cyber-giuristi è molto attiva, abbiamo già ricevuto alcune proposte di collaborazione, e sono convinto che molte ancora ne arriveranno.Il prossimo argomento che affronteremo nel sito sarà, con tutta probabilità, legato a un’altra perniciosa insidia che da diversi anni si fa viva: i dialers illegali.Tornando al phishing in particolare, stiamo parlando di qualcosa che tocca molto concretamente il nostro conto corrente, ma che viaggia “nell’etere” ed è reso strutturalmente possibile solo dalla realtà di Internet. Siamo nelle mani dei colossi informatici… Ti risultano contenziosi, in materia di phishing, che coinvolgano Microsoft, per esempio?Con riferimento a Microsoft vi sono oltre 400 casi di phishing nei confronti dei suoi servizi o prodotti segnalati da istituti di ricerca americani come il Froud Watch International o Anti-phishing.org. Anzi proprio nei confronti dell’azienda di Seattle è stata riscontrata una nuova forma di phishing che prescinde dall’invio di e-mail: la truffa consisterebbe nel realizzare dei siti apparentemente della Microsoft che invitano l’utente ad effettuare dei check sui propri sistemi operativi e sui propri software per evitare il rischio di eventuali vulnerabilità.A quel punto vengono riscontrate falsi malfunzionamenti e vengono paventati rischi di vulnerabilità altissimi, suggerendo l’installazione di potenti software anti intrusione proponendoli a prezzi irrisori. Una volta che l’utente paga tali software tramite carta prepagata, carpiscono i suoi codici.Reputi che si possano riscontrare altri illeciti di natura penale a carico del phisher?Come detto in precedenza, il phishing descrive una condotta idonea ad integrare gli estremi di ulteriori reati oltre alla truffa.Ad esempio il reato di frode informatica (art. 640 ter c.p.) che, come ha ricordato più volte la giurisprudenza della Cassazione (v., in particolare Cass. sez. IV, 4 ottobre 1999, n. 3056), ha la medesima struttura, e quindi i medesimi elementi costitutivi, della truffa, dalla quale si distingue solamente perché l'attività fraudolenta dell'agente investe non la persona, bensì il sistema informatico. Inoltre nel reato di frode informatica non rileva l’eventuale “induzione in errore” che, invece, è un elemento costitutivo dell’ipotesi prevista dall’art. 640 c.p. Di talché il phishing da un lato, induce in errore la persona che fornisce inconsapevolmente i propri dati al phisher, dall’altro lato la sua azione investe il sistema informatico dell’istituto creditizio poiché interviene sine titulo all’interno dello stesso.Il comportamento del phisher è idoneo, astrattamente, ad integrare gli elementi di un ulteriore reato: l’accesso abusivo ad un sistema informatico, previsto dall’art. 615 ter c.p. ed anch’esso introdotto, come il reato di frode informatica, dalla legge n. 547/93. L’art. 615 ter c.p. punisce chiunque «abusivamente si introduce all’interno di un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo». ,Inoltre vi sarebbe, astrattamente, la possibilità di configurare il reato previsto dalla legge privacy ma l’”illecito trattamento di dati personali”, questa la rubrica dell’art. 167 del D.Lgs. 196/2003, si configura soltanto ove il fatto commesso non sia idoneo a configurare reati più gravi (quali sono appunto la truffa, la frode informatica e l’accesso abusivo.Preferirei descrivere l’intera gamma degli illeciti compiuti dal phisher nell’ambito del reato continuato, poiché il phisher commette una molteplicità di reati collegati fra loro (truffa, illecito trattamento dei dati personali, accesso abusivo, frode informatica ed eventualmente ulteriori reati fiscali) nell’esecuzione di un medesimo disegno criminoso, qual è appunto, quello di raggirare il malcapitato utente di servizi di home banking.Cosa ti ha spinto a sviluppare competenze mirate alla trattazione delle frodi on line? E quali, secondo la tua esperienza, le più complesse come comportamenti antigiuridici di natura penale?L’interesse verso il phishing è scaturito in parte da una mia personale passione per l’informatica e la telematica che mi ha portato ad approfondire molti argomenti in Master e corsi post universitari, apprendendo utilissime informazioni funzionali alla mia professione.Ma credo sia stato soprattutto un senso di spirito civico ad avermi spinto a collaborare alla realizzazione di Anti-Phishing Italia. Lo stesso spirito che anima tutti coloro che si battono contro le frodi on-line, le quali, spesse volte, sarebbero facilmente evitabili se vi fosse maggiore informazione intorno a questi argomenti. Per quanto riguarda le frodi più complesse… bè sicuramente quelle legate ai dialers. Lì è oggettivamente molto difficile non vedere una compartecipazione causale della persona offesa alla realizzazione del reato, la quale molto spesso porta a far sì che la condotta del reo possa vedersi scriminata dal consenso dell’avente diritto. Nel caso dei dialers, peraltro, a differenza del phishing, molto spesso non c’è nessun intento immediatamente ingannatorio o fraudolento. Si tratta di software utilizzati per navigare all’interno di siti che offrono determinati servizi a pagamento. L’illiceità attiene generalmente, (per non dire esclusivamente) alla poca trasparenza dei messaggi inseriti dai webmaster e dall’ambiguo atteggiamento degli operatori telefonici. Ma questo forse è un discorso che ci porterebbe troppo lontano…
