/

Aprile 23, 2020

Cybercrime, gli attacchi phishing e i profili penali

phishing studio legale iafolla

Il phishing è un fenomeno diffuso ormai da molti anni (risale al 2007 la prima sentenza in materia nell’ordinamento italiano: Trib. Milano, Sez. G.I.P., 10 dicembre 2007, n. 888), ma ciononostante ancora estremamente rischioso per la sicurezza dei dati e delle informazioni. A maggior ragione, il rischio è elevato per le imprese, i professionisti e i lavoratori che, a causa dell’emergenza coronavirus, si siano trovati da un giorno all’altro ad operare in modalità “smart working” senza una adeguata preparazione e formazione.

Cos’è il phishing

Il phishing è un tipo di attacco volto ad ottenere informazioni confidenziali attraverso l’uso combinato di strumenti tecnologici e metodi di ingegneria sociale. Ha, nella pratica, l’obiettivo di convincere un soggetto a installare un malware su un dispositivo o a condividere informazioni e dati di natura riservata, personale o finanziaria.

L’attacco avviene nella maggior parte dei casi via email o SMS (prendendo in questo caso il nome di smishing), attraverso massaggi fraudolenti che paiono provenire da una fonte legittima e attendibile, come ad esempio un istituto di credito, un ente istituzionale, un’azienda effettivamente esistente.

Il fine può essere quello di portare la vittima a comunicare le credenziali di accesso al servizio di home banking, i dati della carta di credito, pin o password dei social network utilizzati o, come sempre più spesso accade, informazioni aziendali o credenziali di accesso alla rete informatica aziendale. A tal fine, una tecnica molto efficace consiste nell’intimorire o spaventare l’utente, affinché quest’ultimo fornisca senza alcuna esitazione i propri dati personali: i messaggi in questo caso contengono esplicite minacce, relative, ad esempio, al blocco di un account nel caso in cui l’utente non esegua quanto richiesto o comunicano l’urgenza di un’attività di aggiornamento o manutenzione.

È facile, dunque, comprendere come la digitalizzazione di tante attività quotidiane, che negli ultimi mesi ha avuto un’impennata a causa dell’emergenza sanitaria da Covid-19, abbia causato anche un aumento degli attacchi, proprio perché sono aumentate le fonti di rischio: si pensi, ad esempio, alla crescita nell’ultimo periodo dello smart working, degli acquisti e-commerce o dei pagamenti online.

Gli attacchi phishing

Nonostante, come si diceva, il phishing sia un fenomeno conosciuto da molto tempo, è ancora estremamente efficace, poiché i metodi utilizzati sono sempre nuovi e sempre più sofisticati.

Affinché il messaggio risulti credibile, infatti, sono essenziali la sua qualità e la cura della contraffazione, con la perfetta riproduzione, ad esempio, del logo o del sito del soggetto (azienda, ente pubblico, istituto di credito, società di spedizioni) che il phisher simula di essere. L’ignara vittima clicca, così, senza sospetti sul link inserito nel messaggio, giungendo tuttavia non sul sito web ufficiale, ma sul sito di phishing.

Un altro metodo efficace è rappresentato dall’utilizzo di link molto simili agli URL dei siti Internet originali, che possono facilmente trarre in inganno un utente poco accorto e dunque poco attento a notare le differenze. I link possono perciò divergere da quelli originali soltanto per una lettera o anche includere la denominazione dell’URL originale, integrandola con una parola o un segno aggiuntivi (es. “www.login-nomedominio.com”, invece di “www.nomedominio.com”) o sostituendo la barra, il cosiddetto slash, con un punto o un trattino (es. se il sito legittimo fosse “www.nomedominio.com/personal/login”, il phisher potrebbe utilizzare “www.nomedominio.com.personal.login” o “www.nomedominio.com-personal.login”).

Un metodo ancor più raffinato consiste nell’inserire nel corpo del messaggio l’esatto link che condurrebbe al sito web legittimo, riferendolo, tuttavia, ad un URL diverso, che porta l’utente sul sito di phishing.

Il massimo livello di attacco è, infine, costituito da un messaggio perfettamente personalizzato per un individuo specifico e prende il nome di spear phishing.

Seppur meno frequente, è ancora utilizzata una tecnica denominata vishing, con la quale l’attaccante cerca di ottenere informazioni personali o riservate al telefono, ad esempio con la scusa di offrire un servizio o prestare un intervento tecnico.

Il phishing nel diritto penale

Viste le diverse modalità operative con cui può perpetrarsi un attacco phishing, non è sempre immediata la sua collocazione all’interno di una unica astratta fattispecie di reato.

Possono venire in rilievo, come evidenziato soprattutto dai primi giudici e commentatori (cfr. Trib. Milano, 7 ottobre 2011, Sez. XI) i reati di sostituzione di personaex art. 494 del codice penale, e truffaex art. 640 c.p..

Il primo, infatti, punisce chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona o attribuendo a sé o ad altri un falso nome, un falso stato o una qualità cui la legge ricollega effetti giuridici. In questa fattispecie astratta possono essere ricondotte quelle fasi dell’attacco volte a trarre in inganno la vittima, inducendola a ritenere di relazionarsi con il soggetto simulato o anche le tecniche di vishing.

Il secondo, invece, punisce chiunque, con artifizi e raggiri, inducendo taluno in errore, procuri a sé o ad altri un ingiusto profitto con altrui danno. Le false email e i falsi siti web possono essere considerati quali artifici e raggiri, così come è possibile individuare anche l’induzione in errore – che porta l’utente a comunicare le informazioni richieste – e l’ingiusto profitto con l’altrui danno. 

Le pronunce più recenti, tuttavia, senz’altro più sensibili alle modalità tecniche con cui gli attacchi phishing vengono perpetrati, vi rinvengono più spesso gli elementi propri della frode informatica. L’art. 640 ter del codice penale, infatti, punisce con la reclusione da sei mesi a tre anni e con la multa da 51 a 1032 euro chiunque, alterando il funzionamento di un sistema informatico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico, procura a sé o ad altri un ingiusto profitto con altrui danno.

Tale fattispecie pare, dunque, la più adeguata per tutti i casi in cui l’attacco porti il soggetto passivo ad inoculare malware sul dispositivo in uso o a consentire l’intervento sui propri dati o programmi o account, attraverso la cessione di informazioni riservate.

Con l’entrata in vigore del d.lgs. n. 93 del 14/08/2013, è stata infine prevista la circostanza aggravante di cui al terzo comma dell’art. 640 ter c.p., che sanziona più gravemente – con la pena della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 – la frode informatica commessa con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti, interpretando il concetto di identità digitale in senso lato come qualsiasi insieme di informazioni, credenziali o dati reperibili in un sistema informativo o telematico, utili ad individuare nello stesso un’unica persona fisica, quale titolare legittimo degli stessi.