| |
Phishing
come illecito penale: phishing come illecito trattamento di
dati
Analizzando il phishing come un comportamento antigiuridico
di natura penale, vengono immediatamente in rilievo i reati
descritti dal codice privacy e dal codice penale.
Il comportamento del phisher può dirsi senza dubbio
integrativo degli elementi descritti dal coma 2 dell’art.
167 del D.Lgs. n. 196/2003, il quale punisce con la
reclusione da uno a 3 anni chiunque proceda al trattamento
di dati personali in violazione del disposto –tra gli altri-
dell’art. 11, al fine di recare per sé o per altri profitto
o di produrre danno. Il reato si configura se dal fatto
derivi un nocumento per l’interessato.
Ebbene nel phishing possiamo vedere realizzati tutti questi
elementi richiesti dalla norma incriminatrice.
In particolare il momento della raccolta dei dati
dell’utente, dopo che questi abbia fornito i propri dati
personali relativi al proprio account, fa sì che il phisher
ponga in essere un trattamento di dati in aperta violazione
con il disposto dell’art. 11 lett. a), in base al quale i
dati vanno trattati in modo lecito e secondo correttezza.
Pertanto, accompagnandosi alla violazione dell’art. 11 il
fine di trarre profitto (il quale c’è sempre nel phishing,
che è una tecnica finalizzata, generalmente, proprio ad
estorcere denaro), nel momento in cui il danaro viene
sottratto (dunque si verifica il «documento»
richiesto dalla norma) si realizza l’illecito penale
descritto dall’art. 167 del D.Lgs. n. 196/2003.
Tuttavia occorre puntualizzare alcune considerazioni
ulteriori intorno a questa figura di reato ed alle sue
implicazioni di natura processuale.
Innanzitutto il reato descritto è un delitto, procedibile
anche d’ufficio, con le relative conseguenze in ordine al
termine massimo di prescrizione del reato stesso (sette anni
e mezzo).
Il limite edittale della sanzione prevista per il delitto di
cui all’art. 167, comma 2, (reclusione da uno a tre anni),
combinandosi con il disposto dell’art. 280 c.p.p., ci induce
a dover escludere la possibilità che possano essere
richieste dagli inquirenti, prima dell’eventuale udienza di
convalida, l’applicazione delle misure coercitive od
interdittive indicate nei capi II e III del titolo I («misure
cautelari personali») del Libro IV («misure
cautelari») del codice di procedura penale, come ad
esempio la custodia cautelare in carcere, gli arresti
domiciliari, o il divieto temporaneo di esercitare
determinate attività professionali o imprenditoriali.
Inoltre, in virtù del disposto dell’art. 266 c.p.p., non
sarà possibile per gli inquirenti procedere ad
intercettazioni telefoniche od ambientali con riferimento al
reato di cui all’art. 167, poiché tali intercettazioni sono
consentite qualora si proceda per delitti non colposi puniti
con una pena che superi 5 anni (otre in altre ipotesi
residuali indicate nella norma, nella quali non rientrano
condotte assimilabili al phishing). Tuttavia, grazie alle
modifiche all’art. 132 del codice privacy avutesi con la
recente legge n. 155/2005, sarà possibile per gli inquirenti
richiedere l’acquisizione dei dati di traffico telematico
relativi ai soggetti che hanno messo in opera le attività di
phishing, nel rispetto della nuova procedura dettata dalla
legge.
Un grosso limite alla descrizione del phishing come reato di
illecito trattamento di dati personali di cui all’art. 167
del codice privacy, sta nella natura residuale di tale
figura delittuosa. Infatti, intanto può configurasi tale
ipotesi incriminatrice, in quanto, come recita lo stesso
art. 167, il fatto non «costituisca più grave reato».
Avv. Luca Bovino -
legal@anti-phishing.it |
