Phishing: un nuovo fenomeno di truffa

Scarica PDF Stampa
Nell’ambito dei cyber crimes, definiti dalla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23.11.2001 (ratificata dall’Italia con l. n. 48/08) come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”, si colloca il c.d. phishing, ovvero un tentativo di truffa che: “attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito,
nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati” (Cass. Sez. Pen. n. 9891/2011.)

Un illecito civile

Dal punto di vista dell’illecito civile, il comportamento del phisher configura una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non cagionati alle vittime. Infatti, l’art. 15 del d.lg. n. 196/2003, c.d. “Codice Privacy”, al 1° co., sancisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, prevedendo al successivo 2° comma la risarcibilità del danno non patrimoniale “anche in caso di violazione” del precedente art. 11.
Secondo parte della dottrina-tesi accolta anche dalla più recente giurisprudenza, sia di merito che di legittimità- nella formulazione di cui all’art. 15 del Codice della privacy, si possono individuare, tra i soggetti responsabili del danno anche gli stessi istituti di credito, gli enti e le società, a loro volta vittime del phisher, sulla base del combinato disposto dell’ art. 31, che sancisce per i medesimi soggetti, quali titolari del trattamento dei dati dei propri clienti, l’obbligo di custodire e controllare “in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della raccolta”. La responsabilità sul piano civile, in capo al phisher, viene accentuata, inoltre, dalle molteplici violazioni sanzionate dal Codice della privacy: come quelle di cui all’art. 23 per il mancato consenso della vittima al trattamento dei dati e di cui all’art. 122 che al 1° comma sancisce il divieto di utilizzare una rete di comunicazione elettronica al fine di “accedere ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.

Un illecito penale

La condotta del phisher integra, innanzitutto, il reato di trattamento illecito dei dati personali, di cui all’art. 167 del Codice della privacy, che punisce “chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali” con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, nonché l’illecito penale per violazione delle misure di sicurezza previsto per i titolari del trattamento dati ex art. 169 del Codice, nonché il più grave reato di truffa ex art. 640 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 euro per “chiunque, con
artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno” , ovvero quello di truffa aggravata, di cui al 2° co. dell’art. 640 c.p., allorquando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l’erroneo convincimento di dover eseguire l’ordine di un’autorità.
Il phishing integra, inoltre, gli estremi del delitto di “frode informatica” per come definita dall’art. 640-ter c.p.c., che presuppone “un’alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo” nonché possono ravvisarsi gli estremi del reato di cui all’art. 615-ter, 1° co., c.p., rubricato “Accesso abusivo ad un sistema informatico o telematico” ovvero del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell’art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass.
Pen. n. 37115/2002). Può altresì profilarsi, infine, l’applicazione del delitto di sostituzione della persona ex art. 494 c.p. sebbene non si tratti di materiale sostituzione della stessa, perché il c.d. “identity theft” si sostanzia anche qualora avvenga il mero utilizzo degli estremi identificativi del soggetto, attraverso l’uso delle credenziali ottenute in maniera illecita per accedere a sistemi informatici e porre in essere transazioni non consentite.

Difendersi dal phishing

Il rischio di phishing è ancora maggiore nei social media come Facebook, Twitter e Google+ ma non esistono ad oggi strumenti o segreti infallibili anti-phishing, le uniche forme di tutela contro questo cyber crime si basano tutte (o quasi) sul buon senso.
Per chi, invece, è già caduto nell’esca gettata dal phisher e dai suoi collaboratori, stante l’assenza di una disciplina organica della materia, non resta che affidarsi alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali. In alternativa, inoltre, l’utente può rivolgersi all’Arbitro Bancario Finanziario (ABF), organismo introdotto dall’art. 128-bis della l. n. 262/2005 (“T.U. Bancario”), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari. Il ricorso all’ABF, ovviamente, non preclude l’accesso all’ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.

Avv. Fornaro Pasquale

Scrivi un commento

Accedi per poter inserire un commento