Menu Chiudi

Le condotte di phishing ed il loro inquadramento nell’ambito del diritto penale italiano

Cosa si intende per phishing?

phishing
Autore della foto: Tumisu; fonte: Pixabay (pixabay.com); Tipo di licenza: Pixabay License.

Pare ormai essere divenuto a tutti noto il fatto che una delle condotte illecite in cui è più facile imbattersi, soprattutto in questo particolare momento storico (segnato infatti da una grave pandemia, la quale ci ha costretti a cambiare radicalmente le nostre abitudini di vita ed a trasferire buona parte della nostra quotidianità on-line), sia il cosiddetto phishing.

Invero, il termine “phishing” (neologismo utilizzato per indicare questa tipologia di frodi informatiche) trae origine dalla parola inglese “fishing”, che letteralmente significa “pescare”, rispetto alla quale sarebbe stata compiuta semplicemente la sostituzione della lettera iniziale “f” con la combinazione di caratteri “ph” (probabilmente, detta sostituzione è avvenuta in ossequio al cosiddetto “linguaggio leet“, forma espressiva molto utilizzata per comunicare all’interno dei canali chat che si trovano presenti su Internet, oltreché nell’ambito dell’hacking).

Il concetto della pesca che viene rievocato dalla parola “phishing” riesce peraltro a rendere molto bene l’idea di ciò che concretamente accade in questi casi: il malcapitato, per mezzo di tecniche di ingegneria sociale, viene indotto inconsapevolmente a rivelare, direttamente nei confronti del cybercriminale che porta avanti l’attacco informatico in questione, tutte le proprie informazioni più sensibili (dati bancari, codici personali di accesso a portali web, ecc.); il tutto, grazie all’invio di una e-mail che appare provenire da una fonte fidata dell’attaccato (ad esempio, una comunicazione e-mail che riporta un indirizzo di posta elettronica ed una intestazione simili a quelli dell’istituto di credito presso il quale chi subisce l’attacco in questione ha aperto il proprio conto corrente) e che richiede a quest’ultimo di rispondere alla mail comunicando nuovamente i propri dati sensibili, ovvero di cliccare su di un link che conduce direttamente presso uno spazio web appositamente allestito dal truffatore al fine di trarre in inganno l’ignara vittima (spazio web che, sovente, riproduce fedelmente proprio la homepage del sito Internet effettivo dell’istituto di credito utilizzato come esca).

A rendere maggiormente calzante il termine scelto per indicare questo tipo di condotta fraudolenta ci sta poi la circostanza che, nella stragrande maggioranza dei casi, l’operazione di phishing attack viene attuata per mezzo di un invio massivo e casuale di “messaggi-esca” (spamming), nella certezza che, prima o poi, avendo i criminali informatici gettato il proprio amo virtuale nell’oceano di Internet, qualcuno cadrà nell’inganno.

C’è da ammettere, però, che il phishing informatico può assumere davvero moltissime forme, a seconda della tipologia di destinatario che colui che compie l’attacco informatico si prefigge di raggiungere e del tipo di conoscenze e strumenti che il succitato cybercriminale riesce ad avere a disposizione.

Si può andare dal cosiddetto whaling, ossia un particolare tipo di phishing che si caratterizza per la specificità dell’obiettivo (essendo difatti rivolto a manager di importanti gruppi societari o, comunque, a dirigenti aziendali di alto profilo), al phishing basato sulla creazione pagine web fittizie (indicizzate sui più comuni motori di ricerca) che pubblicizzano ed offrono fintamente in vendita prodotti e/o servizi; da veri e propri attacchi “man-in-the-middle, dove colui che porta avanti l’azione criminosa riesce a frapporsi tra l’utente ed il sito legittimo con cui la vittima avrebbe voluto interagire (rimanendo invisibile agli occhi dell’attaccato e riuscendo così a carpire tutte le credenziali di accesso e le altre informazioni che la vittima invia alla pagina web visitata), a situazioni in cui l’azione di phishing si risolve nell’installazione, sul dispositivo della vittima, di un malware informatico in grado di prendere il controllo del device ed inviare poi al cybercrminale tutti i dati necessari a portare a termine il proprio intento delittuoso (malware-based phishing).

Le ipotesi di reato che possono configurarsi in caso di phishing

Stanti le differenti modalità con cui può essere attuata un’operazione di phishing, attacchi informatici di tale tipologia possono andare a configurare più di una fattispecie di reato (il contesto che qui si prende a riferimento è, ovviamente, il diritto penale italiano).

Frode informatica (art. 640 ter c.p.)

Una delle ipotesi di reato “classiche” a cui vengono ricondotti i c.d. phishing attack è proprio la frode informatica, fattispecie prevista e punita dalla disposizione dell’art. 640 ter c.p.

Recita la norma appena citata:

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

(comma 1 dell’art. 640 ter c.p.)

L’ipotesi base del delitto di frode informatica contempla una condotta che potrebbe apparire in tutto e per tutto identica a quella della più tradizionale fattispecie della truffa (art. 640 c.p.), consistendo difatti nel procurare a sé o ad altri un ingiusto profitto con altrui danno. A ben vedere, però, il reato di frode informatica richiede che il raggiungimento del predetto illecito profitto avvenga per mezzo di una duplice modalità alternativa; ed in questo si apprezza una prima, importante differenza con l’ipotesi di truffa. L’altro elemento di difformità rispetto alla fattispecie di truffa si rinviene, poi, nell’obiettivo immediato su cui ricade la condotta illecita: mentre nel caso della truffa si colpisce, inducendola in errore, direttamente la persona nella cui sfera patrimoniale si produce il danno che è conseguenza dell’illecito, ovvero un soggetto terzo che comunque deve essere una persona fisica, nel reato di cui all’art. 640 ter c.p. l’azione criminosa è diretta nei confronti di un sistema informatico o telematico; si tratta, quindi, di una macchina, che pertanto non potrà mai essere “indotta in errore” nel senso fatto proprio dalla disposizione dell’art. 640 c.p.

Volendo però tornare alla fattispecie della frode informatica, non si può mancare di rilevare come la norma dell’art. 640 ter c.p. contempli, innanzitutto, quale prima tipologia di condotta materiale, l’ipotesi della alterazione, compiuta in qualsiasi modo, del funzionamento di un sistema informatico o telematico. La seconda modalità attuativa di questo delitto viene invece descritta, sempre dalla disposizione incriminatrice summenzionata, come un’azione di semplice intervento, senza diritto, su dati, informazioni ovvero programmi informatici contenuti all’interno di un sistema informatico o telematico, o comunque ad esso pertinenti. Si tratta, come accennato, di una duplice modalità alternativa di realizzazione della condotta criminosa presa in considerazione dall’art. 640 ter c.p.: il reato viene quindi ad integrarsi sia nei casi di vero e proprio hackeraggio di un sistema informatico o telematico, rimanendo peraltro del tutto indifferente – stante l’uso dell’espressione “in qualsiasi modo” – che l’alterazione nel funzionamento della macchina avvenga in seguito ad azioni ricadenti sulle componenti hardware della stessa (come nel caso di manomissioni dal punto di vista meccanico), ovvero ad iniziative aventi ad oggetto l’elemento software installato all’interno del dispositivo, sia nelle ipotesi in cui vengano abusivamente poste in essere, da parte del soggetto agente, operazioni (generiche) riguardanti dati, informazioni o programmi informatici presenti all’interno del sistema informatico o telematico oggetto della condotta illecita (intervento senza diritto su dati, informazioni o programmi informatici).

Ed è soprattutto a questa seconda modalità esecutiva dell’illecito in parola che possono essere ricondotte molte delle ipotesi più comuni di phishing: il criminale informatico invia una “mail-esca” all’indirizzo di posta elettronica della vittima; il messaggio in questione, apparentemente proveniente dall’istituto di credito presso il quale il soggetto passivo ha in essere un rapporto di conto corrente, riporta un contenuto tale da invitare la vittima a fare click su di un link riportato internamente alla e-mail in parola e ad operare, presso il portale di gestione dell’account che si aprirà all’interno del relativo web browser, il reinserimento delle proprie credenziali di accesso (con eventuale richiesta fittizia di modifica della password); l’attaccato cade nella trappola ed esegue le istruzioni presenti all’interno della mail di phishing; entrato in possesso delle credenziali della vittima, il phisher provvederà ad effettuare un accesso reale presso il sito (legittimo) dell’istituto di credito imitato durante il proprio attacco phishing, disponendo poi la movimentazione di somme di denaro a proprio vantaggio. In questi casi, l’azione di accesso al portale legittimo dell’istituto di credito presso il quale la vittima ha in essere il proprio rapporto di conto corrente e la richiesta di esecuzione dell’ordine di pagamento/movimentazione di somme di denaro che ne consegue (il tutto – ovviamente – reso possibile grazie alla originaria ed inconsapevole diffusione delle proprie credenziali d’accesso che il soggetto che subisce il phishing attack qui ipotizzato avrebbe effettuato ottemperando alle richieste riportate all’interno della succitata “mail-esca”) potrebbe infatti assumere rilevanza proprio quale condotta di intervento senza diritto su dati, informazioni o programmi informatici presenti all’interno dei sistemi dell’ente creditizio; verrebbe dunque realizzata un’ipotesi di locupletazione ingiusta, con altrui danno, integrante la fattispecie tipica prevista dall’art. 640 ter c.p. In proposito, si v. Cass. pen., Sez. II, 24 aprile 2011 (dep. 11/03/2011), n. 9891, in C.E.D. Cass., 2011, n. 249675.

L’art. 9, co. 1- lett. a), D.L. n. 93/2013, conv. in Legge n. 119/2013, ha peraltro introdotto, nella disposizione dell’art. 640 ter c.p., la circostanza aggravante indipendente di cui al comma terzo, che così recita:

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.

(comma 3 dell’art. 640 ter c.p.)

La norma, purtroppo, non descrive cosa deve intendersi per “identità digitale”. L’unica definizione normativa di “identità digitale” attualmente esistente la si ritrova riportata all’interno del c.d. Codice dell’Amministrazione Digitale (CAD; D.Lgs. n. 82/2005), all’art. 1 lett. u-quater), che si esprime nei termini che seguono: “identita’ digitale: la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalita’ fissate nel decreto attuativo dell’articolo 64”.

La definizione qui riportata è stata poi sostanzialmente ripresa anche dal relativo decreto attuativo emanato dal Presidente del Consiglio dei Ministri in data 24/10/2014 e pubblicato nella Gazzetta Ufficiale n. 285 del 9/12/2014.

Ora, poiché la nozione di “identità digitale” appena riportata richiama la norma dell’art. 64 CAD, la quale – a sua volta – si occupa esclusivamente di quello che viene definito come il Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (c.d. SPID), viene da chiedersi se, dato che quella di cui all’art. 1 lett. u-quater) D.Lgs. n. 82/2005 pare essere l’unica definizione esistente a livello normativo di questo peculiare concetto, il campo di applicazione della circostanza aggravante speciale di cui al comma 3 dell’art. 640 ter c.p. debba oggi ritenersi di fatto circoscritto a quei soli casi in cui l’attività di frode informatica abbia riguardato sistemi informatici o telematici (pubblici o privati) che, ai fini dell’erogazione dei propri servizi in rete, si avvalgono del sistema SPID (o, al più, della “carta d’identità elettronica” o della “carta nazionale dei servizi”, quali ulteriori sistemi di riconoscimento considerati espressamente dall’art. 64 CAD).

La risposta più giusta da dare al quesito sembra invero essere negativa; e ciò, non soltanto perché a limitare di fatto il campo di applicazione dell’aggravante de qua si finirebbe immancabilmente per frustrarne l’intento generalpreventivo (per quanto riguarda il settore privato, allo stato attuale non sembrano ancora esserci imprese che erogano i propri servizi on-line avvalendosi, per il riconoscimento dei propri utenti, del sistema SPID), ma anche perché lo stesso art. 64 CAD esclude che il concetto di “identità digitale” trovi completo esaurimento nell’ambito del sistema SPID (si v., difatti, il comma 2-quinquies della disposizione in parola, che stabilendo, con riferimento ai soggetti privati che erogano servizi on-line, la “facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti”, va implicitamente ad escludere che l’unica tipologia di identità digitale riconosciuta dal nostro ordinamento sia quella associata al sistema SPID).

Ciò chiarito, con il riferimento che viene fatto al concetto di identità digitale la norma dell’art. 640 ter co. 3 c.p. vuole dunque alludere a quell’insieme di informazioni e risorse digitali che uno specifico sistema informatico o telematico associa in maniera univoca ad una persona fisica e tali da permetterne il riconoscimento e l’attribuzione di valore alla relativa attività on-line. A rientrare nell’alveo applicativo della circostanza aggravante indipendente sono dunque tutte quelle condotte che si sono concretizzate nell’uso indebito di credenziali di autenticazione appartenenti a soggetti terzi ed il cui utilizzo risulti necessario affinché il sistema-bersaglio possa riconoscere l’utente come una persona fisica specifica e possa così attribuire valore ed efficacia alle relative operazioni ed atti di manifestazione della propria volontà.

Si comprende come le condotte di phishing ben possano andare ad integrare proprio l’ipotesi aggravata di frode informatica qui presa in considerazione, comportando ciò, oltre ad un inasprimento della cornice sanzionatoria, anche la trasformazione del reato in fattispecie procedibile d’ufficio (l’ipotesi base è invece procedibile a querela di parte).

Accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.)

Oltreché come frode informatica, un attacco phishing può inoltre rilevare quale ipotesi di accesso abusivo a sistema informatico, ossia quale reato previsto e punito dall’art. 615 ter c.p.
I due delitti, quello di cui all’art. 640 ter c.p. e quello qui da ultimo preso in considerazione, possono difatti concorrere tra loro, come peraltro ha più volte chiarito anche la Suprema corte di Cassazione (in proposito, si v. Cass. pen., Sez. II, 29 maggio 2019, dep. 17 giugno 2019, n. 26604; Cass. pen., Sez. V, 30 settembre 2008, dep. 16 gennaio 2009, n. 1727). Ed infatti, nel caso di cui all’esempio surriferito, l’accesso che il phisher andrebbe a fare rispetto al portale (legittimo) dell’istituto di credito presso il quale ha attivo un rapporto di conto corrente la vittima finale dell’ipotizzato phishing attack, proprio perché effettuato sfruttando indebitamente le credenziali che l’ente aveva a suo tempo rilasciato a quest’ultima (quindi, aggirando la propria condizione personale di soggetto non legittimato ad accedere al sistema in questione), configurerebbe proprio quell’ipotesi di introduzione abusiva in un sistema informatico protetto da misure di sicurezza che risulta essere contemplata dalla norma incriminatrice dell’art. 615 ter c.p.
Recita infatti il primo comma della disposizione qui da ultimo citata:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

(comma 1 dell’art. 615 ter c.p.)

Le altre ipotesi di reato eventualmente interessate dalle condotte di phishing

A seconda delle modalità concrete con cui viene portato avanti l’attacco phishing, possono potenzialmente andare a configurarsi anche altre ipotesi di reato. Ad esempio, nel caso in cui la condotta di phishing sia diretta ad acquisire i dati di una carta di credito, di debito o di altro strumento di pagamento riconducibile alla vittima, con successivo indebito utilizzo degli stessi su piattaforme digitali terze, potrebbe ritenersi integrata l’ipotesi di reato di cui all’art. 493 ter c.p. (“Indebito utilizzo e falsificazione di carte di credito e di pagamento”); oppure, nei casi di attacchi del tipo man in the middle, con intercettazione del contenuto di una comunicazione telematica (legittima) proveniente da un istituto di credito e destinata alla vittima, seguita dall’inoltro verso la vittima di un messaggio falso proveniente dall’attaccante volto ad indurre quest’ultima a rivelare i propri dati finanziari direttamente al cybercriminale anziché al legittimo interlocutore, ben potrebbe ravvisarsi la fattispecie di cui all’art. 617 sexies c.p. (“Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”).

Il phishing rappresenta pertanto un comportamento illecito davvero insidioso e non semplice da inquadrare a priori.

Essendo tuttavia molto facile, al giorno d’oggi, imbattersi in attacchi informatici di questo tipo, interrogarsi su che cosa sia il phishing e quale tipo di risposta viene data al riguardo da parte del nostro ordinamento giuridico appare un esercizio quantomai utile ed opportuno.


Nel ringraziare i lettori per l’attenzione prestata a questo “flash giuridico”, si porge l’invito a coloro che fossero interessati ad approfondire la tematica dell’interazione tra tecnologia informatica e diritto penale (questa volta, di tipo procedurale) a prendere visione del libro intitolato La ricerca della prova penale nell’era delle nuove tecnologie informative, volume che chi redige questo articolo ha scritto per la casa editrice Key Editore (link alla scheda del libro presente sul sito dell’Editore).

Ovviamente, per chi fosse interessato ad entrare in contatto con lo Studio legale, l’invito è ad utilizzare i recapiti che si trovano riportati nella sezione Contatti del presente sito.

Post correlati