Phishing: profili civili e penali delle truffe online

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale una persona cerca di ingannare un utente della rete mediante una comunicazione digitale per convincerlo a fornire informazioni personali, dati finanziari o password, fingendosi una banca, un ente o più in generale un soggetto totalmente affidabile.

Nella maggior parte dei casi i tentativi di phishing avvengono tramite e-mail, ma il fenomeno è ben più articolato di quello che si può pensare. In effetti, ne esistono diverse tipologie.

Il phishing informatico è il più emblematico e frequente, ed avviene attraverso una e-mail o sotto forma di messaggio spam, ad esempio con il nome e il logo di brand famosi e rispettabili (come Nike o Apple), siti e-commerce (come Amazon o Ebay), servizi online, o perfino enti pubblici (come Poste Italiane o Agenzia delle Entrate). Lo scopo è ovviamente ottenere i dati del destinatario, il quale ingannato dalla apparente affidabilità, trasmette le proprie informazioni o clicca su un link che ne provoca la sottrazione.

Essendo però un tipo di frode che tende ad evolversi coi tempi, il phishing tramite i social network rappresenta proprio questa capacità di adattamento della criminalità sul web. Qui il phishing utilizza come tattica, ad esempio, finti buoni sconto per il supermercato, o in molti casi abbonamenti convenienti per continuare ad utilizzare WhatsApp o Facebook perché presto diventeranno a pagamento.

Infine, un altra tipologia - la meno tecnologica nonché una delle prime forme - è il phishing telefonico o via SMS, che è anche quello che colpisce maggiormente un bacino di utenza caratterizzato da un’età più avanzata: si tratta cioè delle ipotesi in cui si viene contattati tramite chiamata o messaggio di testo da numeri sconosciuti che richiedono di rilasciare determinati dati.

Il fenomeno - che ha fatto il suo esordio intorno alla metà degli anni '90 - si è talmente diffuso, con l'uso di tecniche e varianti sempre più sofisticate, da rappresentare un vero e proprio allarme sociale in tutto il mondo, e per tutte le età.

Quella del phishing è quindi una pratica globale, pericolosa e variegata, che dal un punto di vista della normativa italiana è caratterizzata tanto da profili di natura civilistica, quanto da profili di natura penalistica.

Sommario I profili civilistici Phishing e diritto penale: quali ipotesi di reato? Conclusioni

1. I profili civilistici

Da un punto di vista civilistico, gli elementi da affrontare sono piuttosto carenti, nella misura in cui il comportamento del phisher configura, dal punto di vista dell'illecito civile, una responsabilità extracontrattuale che obbliga al risarcimento dei danni - patrimoniali e non - cagionati alle vittime, ed è essenzialmente intorno a questa disciplina che si ha la tutela non penalistica delle vittime di truffe online.

Secondo parte della dottrina, tra i soggetti responsabili del danno si possono ravvisare anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher.

La tesi della dottrina è stata accolta dalla giurisprudenza, la quale ha ravvisato una responsabilità dell'istituto di credito, condannandolo al risarcimento dei danni patiti dai correntisti, sul presupposto di un'inadeguatezza delle "misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico" tese ad "evitare prelievi fraudolenti (c.d. phishing)" (Trib. Palermo n. 81/2010; Trib. Siracusa, 15.3.2012). Medesime conclusioni sono state adottate in merito alla responsabilità del gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, gravava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l'utente (Trib. Benevento, n. 1506/2009).

Tuttavia, occorre precisare che la responsabilità del phisher sul piano civile, viene arricchita dalle ulteriori e molteplici violazioni sanzionate dalla disciplina sulla privacy prevista dal Regolamento (UE) 2016/679 e dal Codice Privacy come novellato dal D.Lgs. n. 101/2018.

2. Phishing e diritto penale: quali ipotesi di reato?

I profili giuridici più rilevanti riferibili al phishing, sono circoscritti all'ambito penale. Infatti, se da un punto di vista civilistico la regolamentazione è limitata alla responsabilità extracontrattuale affiancata dalle norme in materia di privacy, da un punto di vista penalistico il phishing è riconducibile ad una pluralità di ipotesi di reato.

La condotta del phisher può integrare, in primo luogo, un trattamento illecito di dati personali ex art. 167 del Codice privacy, il quale punisce "chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato" violi le diverse prescrizioni della normativa a tutela dei dati personali. La pena prevista varia a seconda di quali siano le previsioni violate e nell'ipotesi meno grave è quella della reclusione da sei mesi a un anno e sei mesi.

Tuttavia, in alternativa, la condotta del phisher può rientrare anche negli estremi del più grave reato di truffa ex art. 640, comma 1, c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da euro 51 a euro 1032 per "chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”. Si tratta della c.d. truffa semplice. Si ha invece una truffa aggravata - di cui al comma 2 dell'art. 640 c.p. - quando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l'erroneo convincimento di dover eseguire l'ordine di un'autorità.

Il phishing può integrare, inoltre, una frode informatica per come prevista e disciplinata dall'art. 640-ter c.p., che sanziona "chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”. La pena prevista è la reclusione da sei mesi a tre anni e la multa da euro 51 a euro 1.032.

Nonostante la pluralità di fattispecie di reato citate, quello precedente non può essere considerato un numero chiuso di soluzioni. Infatti, nella condotta del phisher possono anche ravvisarsi gli estremi del reato di cui all'art. 615-ter, comma 1, c.p., rubricato "Accesso abusivo ad un sistema informatico o telematico", così come il delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell'art. 12 D.L. n. 143/1991 convertito in L. n. 197/1991. Inoltre, in virtù  della L. n. 146/2006 e dalla L. n. 48/2008 di ratifica della Convenzione di Budapest sulla criminalità informatica, sono astrattamente configurabili in capo al phisher anche gli illeciti previsti dagli artt. 635, bis, ter, quater e quinquies, c.p. relativi al danneggiamento di informazioni e sistemi informatici o telematici, così come è configurabile anche l’illecito previsto dall'art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull'identità o su qualità personali proprie o di altri.

Infine, se consideriamo l’ultima fase della condotta criminosa del phisher - si pensi all’ipotesi di acquisti compiuti utilizzando i dati personali della vittima - può profilarsi anche l'applicabilità del delitto di sostituzione di persona ex art. 494 c.p. In effetti, “pur non corrispondendo ad una materiale sostituzione della persona, il fenomeno del furto d’identità comporta, infatti, l'utilizzo degli estremi identificativi della stessa, attraverso l'uso delle credenziali abusivamente ottenute per accedere ai sistemi informatici e porre in essere transazioni economiche” (Cass. Pen. 46674/2007). 

3. Conclusioni

Durante il lockdown sono state attuate molteplici truffe da parte di soggetti che millantavano raccolte fondi per la lotta al Covid-19. Negli Stati Uniti lo stesso FBI, in un comunicato ufficiale del 20 marzo 2020, ha avvisato i cittadini americani di fare attenzione alle e-mail di phishing correlate a contributi di beneficenza, benefici finanziari, rimborsi da compagnie aeree, cure e vaccini falsi, kit di test falsi. In effetti, in un periodo che costringe a stare di più in casa - e quindi ad usare maggiormente la rete - e che tocca la sensibilità delle persone incoraggiandole a fare beneficienza, a voler beneficiare di determinati vantaggi economici e non, o a desiderare soluzioni di vario tipo alla situazione pandemica, le truffe online trovano terreno fertile.

Tuttavia, come abbiamo, visto il campo di azione è particolarmente ampio e può variare caso per caso. Ad esempio, la scelta tra il reato di frode informatica e l’accesso abusivo ad un sistema informatico può essere determinata da elementi specifici, e lo stesso si dica per le altre soluzioni.

Ad ogni modo, quale che sia l’ipotesi di reato considerata, la cosa migliore è sempre non dover ricorrere alle autorità e, in seguito, ad un procedimento penale, bensì difendersi a monte facendo scelte coscienti e sfruttando dei piccoli accorgimenti. Fare attenzione all’ortografia, ai caratteri di scrittura, all’indirizzo del mittente o al dominio del link inviato sono dei punti di partenza essenziali. Inoltre, occorre ricordare che un istituto di credito, la compagnia telefonica o il fornitore di energia elettrica dei quali si è clienti, possiedono già le informazioni personali e non hanno necessità di richiederle nuovamente. Allo stesso tempo, qualora ad esempio si venga tentati da e-mail che richiedono aggiornamenti di software o rinnovo di abbonamenti come Amazon Prime o Netflix, è buon uso andare a controllare sul sito ufficiale e verificare la veridicità delle informazioni.

Le forme di tutela previste dall’ordinamento sono quindi molteplici, ma posto come principio che la miglior cura è la prevenzione, il modo migliore per difendersi dai tentativi di truffa sul web rimane comunque la consapevolezza del pericolo, e la dovuta attenzione verso ogni dettaglio che possa destare sospetti.

IN COLLABORAZIONE CON

>> Scopri tutte le date dei corsi in materia di Privacy di Altalex!