| |
Il phishing
come truffa
La natura “ontologica” del phishing, al di fuori dei profili
legati alle violazioni del codice privacy, è senz’altro
connessa alla truffa, figura di reato descritta dall’art.
640 del codice penale.
Recita la norma penale relativamente alla truffa
«chiunque, con artifizi o raggiri, inducendo taluno in
errore, procura a sé o ad altri un ingiusto profitto con
altrui danno è punito con la reclusione da sei mesi a tre
anni e con la multa da cinquantuno euro a milletrentadue
euro» (art. 640, comma 1).
Indubbiamente la tecnica del phishing costituisce un raggiro
artificioso del destinatario dell’e-mail-phishing, dal
momento che lo induce a credere che essa provenga
effettivamente dal proprio istituto di credito e lo porta a
collegarsi, tramite un link, ad un sito in tutto e per tutto
identico a quello col quale il destinatario si aspetterebbe
di essere collegato.
Alcuni dubbi potrebbero essere sollevati in considerazione
delle seguenti circostanze: ovvero che spesso le e-mail
inviate dai phisher non sono scritte in un italiano
impeccabile, e che il nome al dominio relativo al sito
“clone” dell’istituto di credito non ha in realtà nulla a
che vedere con la propria banca e spesso ha un’estensione
riconducibile a paesi extra UE.
Tuttavia queste obiezioni, pur valide, non tolgono nulla al
carattere truffaldino del phishing, né inficiano la sua
natura antigiuridica dal momento che spesso gli utenti
leggono le proprie e-mail frettolosamente, sono ormai
abituati alle traduzioni in un italiano stentato effettuate
in automatico dai software forniti dai motori di ricerca e
non prestano attenzione agli indirizzi dei nomi a dominio
dei siti che visitano. Inoltre la cronaca giudiziaria ci
descrive fenomeni di phishing sempre più raffinati ed
“evoluti”, spesso i nomi a dominio dei supposti istituti
bancari differiscono dagli originali soltanto relativamente
ad alcune, od una sola lettera.
Resta da chiedersi se il reato di truffa, previsto dal comma
1 dell’art. 640 sia effettivamente «più grave»
rispetto a quello di trattamento illecito di dati personali
di cui all’art. 167 del D.Lgs. n. 167/2003, al fine di
valutare quale delle due ipotesi delittuose possa dirsi
operante nei casi di phishing, e la risposta non può che
essere positiva.
La truffa “semplice”, ovvero quella descritta dal primo
comma dell’art. 640 c.p. prevede, oltre alla pena detentiva
identica nel massimo alla sanzione prevista per l’art. 167
del codice privacy, anche la pena pecuniaria della multa
fino a 1032 euro. Di conseguenza, in caso di phishing, si
dovrebbe ritenere applicabile il reato di truffa, e si
dovrebbe escludere il concorso di reati con il delitto di
illecito trattamento di dati personali, previsto dalla legge
speciale.
Per quanto riguarda la truffa “semplice” possiamo richiamare
le considerazioni di natura processuale già espresse per
l’illecito trattamento, circa i termini di prescrizione, i
limiti alle intercettazioni, e l’impossibilità di richiedere
ed applicare misure cautelari coercitive od interdittive.
Tuttavia una differenza rilevante attiene alla condizione di
procedibilità per l’accertamento e la repressione dei due
reati: mentre il reato previsto dal codice privacy è
procedibile d’ufficio, la truffa “semplice” è procedibile su
querela della persona offesa.
Il problema diventa allora individuare nel phishing chi
possa considerarsi come persona offesa: in particolare può
essere considerata persona offesa soltanto il soggetto che
ha subito il phishing o anche l’istituto di credito? In caso
di inerzia dell’utente, può la banca validamente esercitare
poteri di impulso di natura processuale? Per rispondere
positivamente al quesito è opportuno verificare se la truffa
perpetrata dal phisher sia o meno suscettibile di arrecare
un danno di natura patrimoniale anche alla banca, e la
risposta non può che essere positiva. L’istituto di credito,
nella maggior parte dei casi, non appena è al corrente del
fatto che alcuni suoi clienti sono stati vittime di phishing
è costretta ad adottare delle procedure straordinarie per
informare la propria clientela e per invitarla a non
divulgare i propri codici riservati. Inoltre tale tipo di
informativa viene generalmente rilasciata in via riservata e
non tramite pubblici annunci, per ovvi motivi legati alla
pubblicità negativa che subirebbe la banca, ma con
l’inevitabile aggravio di spesa che la comunicazione
riservata comporta. Molte banche hanno attivato, inoltre,
degli appositi call-center ove i clienti possano rivolgersi
in caso ricevano e-mail di dubbia provenienza. Difficile non
vedere come tutte queste attività comportino un costo in
termini di tempo e danaro per la banca e che costituiscano
un indubbio danno che essa subisce a causa della truffa del
phisher, e che pertanto la legittimerebbe alla proposizione
della querela.
Oltre alla truffa “semplice”, procedibile a querela, l’art.
640 c.p. prevede anche delle ipotesi di truffa “aggravata”,
procedibile d’ufficio.
Particolarmente interessante, ai nostri fini, appare
l’ipotesi di truffa aggravata prevista al n. 2) del comma 2
dell’art. 640 c.p., che si verifica allorquando il fatto sia
stato commesso «ingenerando nella persona offesa il
timore di un pericolo immaginario». Molto spesso capita
che il phisher nel proprio messaggio inviato al suo
destinatario, lo inviti a recarsi repentinamente presso il
sito della propria banca, paventando proprio rischi di
truffe o altri accessi non consentiti ai propri dati.
Pertanto così facendo, il phisher ingenera nella persona
offesa un rischio che in realtà non potrebbe sussistere
senza la fattiva collaborazione di quest’ultimo, un rischio
che non esisterebbe se la persona offesa decidesse di
restare inerte.
Ad ogni modo, quando il messaggio inviato dal phisher non si
limita sic et simpliciter a collegarsi verso il sito linkato
dallo stesso messaggio, ma sollecita tale attività
adombrando eventuali rischi collegati alla sicurezza della
rete, allora il phishing effettuato ricadrà nell’ambito
della truffa aggravata piuttosto che in quello della truffa
semplice.
La sanzione edittale prevista per la truffa aggravata è
decisamente più grave: reclusione da uno a cinque ani e
multa da trecentonove euro a millecinquecentoquarantanove
euro. Nel caso della truffa aggravata pertanto, gli
inquirenti potranno, come detto, procedere anche d’ufficio
alla repressione dell’illecito, chiedere l’applicazione di
misure cautelari coercitive od interdittive ed effettuare
intercettazioni ambientali, telefoniche o telematiche.
Avv. Luca Bovino -
legal@anti-phishing.it |
