La disciplina del phishing
| Autore | Vincenzo di Lembo |
| Pagine | 892-898 |
892
dott
9/2013 Rivista penale
DOTTRINA
LA DISCIPLINA DEL PHISHING
di Vincenzo di Lembo
La truffa posta in essere avvalendosi di mezzi informa-
tici-telematici (ex art. 640 c.p.) è un reato informatico
“improprio”, in cui i servizi informatici e telematici sono
solo strumentali a raggiungere, raggirare, manipolare il
soggetto passivo del reato, il quale, raggirato o indotto in
errore, compie l’atto di disposizione patrimoniale che de-
paupera il proprio patrimonio (o il patrimonio di un terzo,
di cui legittimamente dispone), avvantaggiando il patri-
monio del truffatore, o di un sodale del truffatore (1).
La possibilità di raggiungere un elevato numero di
soggetti-bersaglio, la possibilità di sfruttare la diffusa
imperizia tecnologica, la possibilità di manipolare i desti-
natari attraverso nuove e sempre più fantasiose condotte
artificiose o di raggiro (che si accompagnano alla sorpren-
dente velocità con la quale vengono sviluppati sempre
nuovi prodotti e servizi tecnologici), rendono lo strumento
informatico/telematico un terreno di coltura fertile per le
iniziative di cui all’art. 640 c.p.
Le principali truffe telematiche (ex art. 640 c.p.) rea-
lizzate attraverso annunci oppure offerte pubblicate all’in-
terno di siti web, sui social networks (es. un messaggio
postato da un proprio contatto su Facebook (2)), oppure
inviate via email (3) sono: finte vendite all’asta sul web,
con merci offerte ma mai inviate ai clienti, oppure inviate
con prezzi gonfiati; offerta di servizi gratis su internet che
poi si rivelano a pagamento, oppure mancata fornitura di
servizi pagati, o fornitura di servizi diversi da quelli pub-
blicizzati; multilevel marketing (4) e vendite piramidali;
pseudo-opportunità di affari e franchising che si rivelano
solo truffe; pseudo-offerte di lavoro a casa, con acquisto
anticipato del materiale necessario all’esecuzione del
lavoro; prestiti di denaro (mai concessi) con richiesta
anticipata di commissione; false promesse di rimuovere
informazioni negative per l’ottenimento di crediti (es.
rimozione di nominativi da black-list); false promesse di
concessione (con richiesta di commissione) di carte di
credito a soggetti con precedenti negativi; numeri a paga-
mento (tipo 899) da chiamare per scoprire un ammiratore
segreto o una fantomatica vincita (di vacanze, di oggetti);
la truffa “nigerian” (5) o di “Valentin” (6), con numerose
varianti; il blocco del computer attraverso un virus, con
richiesta di pagamento di somme on line per favorire lo
sblocco (7); il phishing.
ll phishing (fusione delle parole “fishing” e “password”),
è essenzialmente una truffa on-line, e coloro che la attua-
no, indicati come phishers, non sono altro che ladri di in-
formazioni personali, con più o meno alte competenze di
ingegneria sociale, e generalmente, modeste competenze
informatiche.
Essi, utilizzando spamming, siti web ingannevoli, e-
mails, messaggi istantanei, inducono le persone a rivelare
informazioni riservate, in particolare pin e password di
conti, codici di carte di credito, o di debito, prepagate.
Questi dati vengono utilizzati in modo fraudolento per
acquis
ire la disponibilità di denaro (realizzando pagamenti
on line, o presso pos, o prelievi presso gli atm), oppure, in
maniera più sofisticata, per “clonare” carte di credito e/o
di pagamento.
La predetta attività criminosa integra la fattispecie di
truffa, ex art. 640 c.p., e non il delitto di frode informatica,
ex art. 640 ter c.p.
In tal senso: Tribunale Monza, 7 maggio 2009, in questa
Rivista 2010, 12, 1301.
Il procedimento standard di attacco può riassumersi
nelle seguenti fasi:
- il phisher spedisce all’utente una email che simula,
nella grafica e nel contenuto, quella di una istituzione cui
il destinatario è collegato (es. la sua banca);
- l’e-mail contiene quasi sempre avvisi di situazioni
particolari o problemi (es. avviso di un addebito di spesa
elevato che si chiede di verificare);
- l’e-mail invita il destinatario a seguire un link, pre-
sente nel messaggio, per regolarizzare la sua posizione;
- il link fornito, tuttavia, non porta al sito web ufficiale,
ma a una copia fittizia, situata su un server controllato dal
phisher, allo scopo di carpire i dati personali del destina-
tario (es. pin; password);
- queste informazioni, memorizzate dal server gestito
dal phisher, finiscono nelle mani del malintenzionato, e
vengono utilizzate per acquistare beni, trasferire somme
di denaro, o per ulteriori attacchi.
Altri processi e tecniche per l’acquisizione di informa-
zioni riservate, in maniera similare al phishing, sono: the
sniffing (l’attività di intercettazione passiva dei dati che
transitano in una rete telematica. Tale attività può essere
svolta per intercettare fraudolentemente password o altre
informazioni sensibili. I prodotti software utilizzati per
eseguire queste attività vengono detti sniffer, ed oltre ad
intercettare e memorizzare il traffico, offrono funzionalità
di analisi del traffico stesso); the keylogging (un keylogger
è uno strumento di sniffing, hardware o software in grado
di intercettare tutto ciò che un utente digita sulla tastiera
del proprio, o di un altro computer); the social engineering
(nel campo della sicurezza delle informazioni per social
engineering si intende una serie di tecniche, basate sulla
persuasione, l’inganno, la pressione psicologica, la ricerca
minuziosa e maniacale di dati - come nel bin raiding -, po-
ste in essere al fine di carpire informazioni utili, spesso
password o altre informazioni sensibili, da utilizzare in
attività truffaldine); the smishing (un’attività di phishing
realizzata attraverso un sms inviato attraverso il cellula-
re); the vishing (differentemente dal phishing classico
- via posta elettronica - il vishing fa leva sulla maggiore
Per continuare a leggere
RICHIEDI UNA PROVA