|
Diritto e processo.it
Stefano Logroscino Avvocato-
Cultore della materia di Diritto dell’informatica
“Il phishing è quell’attività
illecita in base alla quale, attraverso vari stratagemmi
(o attraverso fasulli messaggi di posta elettronica, o
attraverso veri e propri programmi informatici ed
malwere) un soggetto riesce ad impossessarsi
fraudolentemente dei codici elettronici (user e
password) di un utente, codici che, poi, utilizza per
frodi informatiche consistenti, di solito, nell’accedere
a conti correnti bancali o postali che vengono
rapidamente svuotati (omissis)”
“ anche l’abusivo utilizzo di
codici informatici di terzi (“intervento senza diritto”)
– comunque ottenuti e dei quali si è entrati in possesso
all’insaputa o contro la volontà del legittimo
possessore (“con qualsiasi modalità”) – è idoneo ad
integrare la fattispecie di cui all’art. 640 ter c.p.
ove quei codici siano utilizzati per intervenire senza
diritto su dati, informazioni o programmi contenuti in
un sistema informatico o telematico, al fine di
procurare a sè od altri un ingiusto profitto” [1]
Con la sentenza n. 9891, dell’11
marzo 2011 la II Sezione della Corte di Cassazione ha
rigettato il ricorso di legittimità avverso le sentenze
di condanna dei giudici del merito nei confronti di un
hacker il quale, una volta carpiti i codici di accesso
al conto corrente on- line di un cliente di Poste
Italiane, con il metodo del c.d. phishing, si è
introdotto nel sistema informatico di Poste Italiane e,
utilizzando i codici di accesso personali del
correntista ingannato, ha trasferito una cospicua somma
di denaro da tale conto al proprio.
Con riferimento al fenomeno del
phishing (‘pesca con l’amo’), tale termine è il
risultato della fusione di un vocabolo, fishing, con un
epressione, phone phreaking. Il phisher,
sostanzialmente, invia una serie di e-mails alle proprie
vittime, la maggior parte delle volte individuate a caso
adottando la stessa tecnica che viene utilizzata per lo
Spamming internet. Dette e-mails presentano
rappresentazioni il più possibile fedele delle pagine
web dei siti delle principali banche che offrono i loro
servizi on-line, contenenti messaggi di vario genere,
che invitano il cliente a inserire i propri dati
d’accesso (user-name e password) al conto on-line. In
particolare, sopra si è fatto riferimento
all’individuazione della vittima a ‘caso’ in quanto,
solitamente, il phisher non è a conoscenza
dell'eventuale rapporto di clientela tra l'impresa
fornitrice del servizio on-line e il soggetto passivo.
E, infatti, egli procede per tentativi, inviando
centinaia di e-mails truffa dello stesso tenore nella
speranza che, tra i destinatari, vi sia un cliente della
banca di cui si è simulata 'l'immagine' on-line. Tale
tecnica, dunque, è finalizzata a indurre in errore il
soggetto passivo circa l’identità del mittente del
messaggio di posta elettronica (la banca anziché il
phisher) in modo tale che il correntista adescato si
persuada a fornire inconsapevolmente all’hacher le
proprie credenziali bancarie, credendo di inserirle sul
sito della propria banca. Se poi tutto ciò si realizza,
il gioco è fatto: la vittima avrà ‘abboccato all’amo'
del phisher. Quest’ultimo, infatti, potrà utilizzare le
informazioni fraudolentemente carpite per accedere ai
conti delle proprie vittime ed effettuare operazioni.
Con la sentenza del’11 marzo
scorso, la II Sezione penale della Cassazione, dopo aver
offerto una definizione del fenomeno del phishing[2], e
ribadito che anche in riferimento a tele fenomeno è
configurabile il concorso tra i delitti di Accesso
abusivo a un sistema informatico e telematico [3] e la
Frode informatica[4], con riferimento specifico alla
fattispecie criminosa di cui all’art. 640 ter c.p.[5],
ha stabilito che il phishing integra la condotta di
intervento abusivo[6] a un sistema informatico o
telematico in quanto “anche l’abusivo utilizzo di codici
informatici di terzi (“intervento senza diritto”) –
comunque ottenuti e dei quali si è entrati in possesso
all’insaputa o contro la volontà del legittimo
possessore (“con qualsiasi modalità”) – è idoneo ad
integrare la fattispecie di cui all’art. 640 ter c.p.
ove quei codici siano utilizzati per intervenire senza
diritto su dati, informazioni o programmi contenuti in
un sistema informatico o telematico, al fine di
procurare a sè od altri un ingiusto profitto”.
Infine, merita un accenno la
tesi[7] in base alla quale la condotta del phisher
realizzerebbe un’ipotesi di concorso anche tra i delitti
di Truffa e di Frode informatica. Invero, il phisher
pone in essere al contempo sia la condotta artificiosa-
propria del delitto di Truffa- dell’induzione in errore
di un soggetto (con l’invio di mail con la simulazione
della pagina web di una banca), mediante la quale entra
in possesso dei codici bancari della vittima, sia la
condotta dell’intervento abusivo sul sistema informatico
della banca (tipico del delitto di frode informatica),
inserendo i dati fraudolentemente carpiti per accedere
al conto corrente della vittima e disporre operazioni. E
proprio attraverso tali condotte il phisher realizza un
ingiusto profitto con altrui danno, ovvero gli eventi
comuni ad entrambe le fattispecie delittuose degli artt.
640 c.p. e 640 ter c.p.. Posto in questi termini, non si
può che condividere tale ragionamento.
[1] Cass. pen.,
Sez. II, n. 9891, 11.3.2011;
[2] Cfr. Cass. pen., Sez. II, n.
9891, 11.3.2011: “Il phishing è quell’attività illecita
in base alla quale, attraverso vari stratagemmi (o
attraverso fasulli messaggi di posta elettronica, o
attraverso veri e propri programmi informatici ed
malwere) un soggetto riesce ad impossessarsi
fraudolentemente dei codici elettronici (user e
password) di un utente, codici che, poi, utilizza per
frodi informatiche consistenti, di solito, nell’accedere
a conti correnti bancali o postali che vengono
rapidamente svuotati”
[3] Art. 615 ter Accesso abusivo ad
un sistema informatico o telematico
Chiunque abusivamente si introduce
in un sistema informatico o telematico protetto da
misure di sicurezza ovvero vi si mantiene contro la
volonta’ espressa o tacita di chi ha il diritto di
escluderlo, e’ punito con la reclusione fino a tre anni.
La pena e’ della reclusione da uno a cinque anni: 1) se
il fatto e’ commesso da un pubblico ufficiale o da un
incaricato di un pubblico servizio, con abuso dei poteri
o con violazione dei doveri inerenti alla funzione o al
servizio, o da chi esercita anche abusivamente la
professione di investigatore privato, o con abuso della
qualita’ di operatore del sistema; 2) se il colpevole
per commettere il fatto usa violenza sulle cose o alle
persone, ovvero se e’ palesemente armato; 3) se dal
fatto deriva la distruzione o il danneggiamento del
sistema o l’interruzione totale o parziale del suo
funzionamento, ovvero la distruzione o il danneggiamento
dei dati, delle informazioni o dei programmi in esso
contenuti. Qualora i fatti di cui ai commi primo e
secondo riguardino sistemi informatici o telematici di
interesse militare o relativi all’ordine pubblico o alla
sicurezza pubblica o alla sanita’ o alla protezione
civile o comunque di interesse pubblico, la pena e’,
rispettivamente, della reclusione da uno a cinque anni e
da tre a otto anni. Nel caso previsto dal primo comma il
delitto e’ punibile a querela della persona offesa;
negli altri casi si procede d’ufficio (1);
[4] La stessa Corte di Cassazione
cita con la pronuncia in commento alcuni dei suoi
precedenti arresti sul punto, e segnatamente Cass.
2672/2003 riv 227816; Cass. 1727/2008 riv 242938;
[5] Art. 640 ter Frode informatica
Chiunque, alterando in qualsiasi
modo il funzionamento di un sistema informatico o
telematico o intervenendo senza diritto con qualsiasi
modalita’ su dati, informazioni o programmi contenuti in
un sistema informatico o telematico o ad esso
pertinenti, procura a se’ o ad altri un ingiusto
profitto con altrui danno, e’ punito con la reclusione
da sei mesi a tre anni e con la multa da lire centomila
a due milioni. La pena e’ della reclusione da uno a
cinque anni e della multa da lire seicentomila a tre
milioni se ricorre una delle circostanze previste dal
numero 1) del secondo comma dell’articolo 640, ovvero se
il fatto e’ commesso con abuso della qualita’ di
operatore del sistema. Il delitto e’ punibile a querela
della persona offesa, salvo che ricorra taluna delle
circostanze di cui al secondo comma o un’altra
circostanza aggravante (1);
[6] Che nella medesima pronuncia
viene definito come “intervento “senza diritto con
qualsiasi modalità su dati, informazioni o programmi
contenuti in un sistema informatico o telematico (…)”:
si tratta di un reato a forma libera che, finalizzato
pur sempre all’ottenimento di un ingiusto profitto con
altrui danno, si concretizza in una illecita condotta
intensiva ma non alterativa del sistema informatico o
telematico”;
[7] Cfr. Avv. Luca Bovino,
http://www.anti-phishing.it/phishing_/il-phishing-come-reato-informatico-la-frode-informati |
