Sempre più spesso, navigando in rete o leggendo alcuni interventi di questo stesso blog, si incontra la parola Phishing, con invito al consumatore di trattare con attenzione i propri dati personali, al fine di evitare possibili spiacevoli esperienze.
La questione, già trattata da Consumatore Informato, non riguarda solo l'aspetto penale collegato all'appropriazione illecita di dati personali altrui in rete, ma coinvolge anche il rispetto delle norme in materia di tutela della privacy.
Cos'è il phshing?
Il termine Phishing è stato creato dalla crasi di Phreaking (Phone Hacking) e Fishing (pescare), conservando una voluta assonanza, appunto, con “fishing”, ovverosia “pescare”.
Detto reato informatico, ormai tra i più frequenti e in continua evoluzione, consiste nel furto di credenziali con l’obiettivo finale di farne un uso illegittimo.
La tecnica di phishing può essere utilizzata per l’attuazione di differenti attività illecite quali; il social engieeniring, il furto di account, la sottrazione di somme di denaro ecc.
Tuttavia, l’uso del phishing finalizzato alla sottrazione di somme di denaro da conti correnti o carte di credito è certamente uno dei più frequenti e insidiosi.
Il phisher “pesca”, mediante abusivo inserimento nel sistema informatico di un’istituzione finanziaria o mediante false e-mail dirette ai clienti di banche o post, i dati significativi dei rapporti di conto corrente (password, nickname e pin). Questi dati vengono successivamente utilizzati in modo fraudolento per clonare carte di credito e/o pagamento o per disporre operazioni di trasferimento di denaro.
Un’approfondita pronuncia del Tribunale di Milano, del 7 ottobre 2011, ha fornito un’efficace ricostruzione del fenomeno il quale si presenta composto di tre di tre fasi.
a. Contatto con la vittima - posta elettronica, sito web, social networks
Nella prima fase, il phisher acquisisce i dati personali tramite l’invio di false e.mail che riconnettono a falsi siti graficamente identici a quelli di istituti finanziari, postali, istituzionali ecc.
Dette mail, spesso sgrammaticate ( vista la frequente provenienza straniera dell’hacker che in questo tipo di reati è sovente dell’est Europa), invitano il correntista a reinserire le credenziali d’accesso al sito di home banking del proprio istituto di credito o i dati della propria carta di credito, inducendolo all’errore con i più svariati espedienti, come ad esempio un controllo sulla sicurezza della pagina o la vincita di un premio, di un rimborso ecc.
b. Appropriazione dei dati personali e utilizzo illecito
Nella seconda fase, il phisher, ottenute le credenziali d’accesso ai conti correnti o alle carte di credito non potendo eseguire bonifici esteri senza ulteriore e specifica autorizzazione bancaria, generalmente tenta lo spostamento del denaro mediante società di money transfert.
A questo punto, vengono inviate numerose mail contenenti un’allettante offerta di lavoro che si concretizza nel mero invio di denaro.
A quello che viene comunemente definito financial manager, verrà accreditata una somma di denaro che verrà da costui girata sul conto corrente messo a disposizione dal destinatario, una volta decurtata la quota a titolo di compenso, mediante una società di money transfert.
E’ appena il caso di far presente che prestarsi a questo genere di attività espone al rischio di accusa del reato di riciclaggio ex art.648 bis c.p. sul quale la giurisprudenza ha per altro già avuto modo di pronunciarsi.
c. Vantaggio dall'attività illecita- furto di somme di denaro o altre attività illegali
Terza e ultima fase consiste, dunque, nell’invio del denaro al phisher il quale lo monetizzerà il prima possibile.
Una particolare attenzione va prestata anche a e-mail sospette, inviate da propri contatti noti, contatti presenti nella propria rubrica che, a mezzo di worm installati inconsapevolmente nei computers, inviano automaticamente a tutti i contatti presenti in rubrica (e senza che il reale utilizzatore ne sia minimamente al corrente) mail dal proprio account di posta spesso contenenti un solo link.
In conclusione, la tecnica dei phisher è quella di carpire la fiducia del mal capitato che, una volta aperta la mail e attivando il link contenuto nella nella verrà reindirizzato ad un falso sito web.
Così facendo, gli hacker riescono, sfruttando la legge dei grandi numeri, attraverso l’invio massivo di mail, anche utilizzando computers di utenti ignari, ad assicurarsi un numero di “esche” che, seppur esiguo rispetto al numero di invii, porteranno all’illecito guadagno.
Ad ogni buon conto, a far stato dalla pronuncia milanese, detta condotta integra le fattispecie di reato di sostituzione di persona, accesso abusivo a un sistema informatico e truffa, per contro, i diversi regimi in cui è stata inquadrata la fattispecie in esame mettono tutti capo a un alleggerimento dell’onere probatorio gravante sul cliente.
Del resto, con riferimento a un furto d’identità telematico che si realizza con l’accesso ai conti correnti a nome di altro soggetto, e non mediante la presentazione di documento cartaceo o, per così dire “fisico” da quest’ultimo smarrito – la Suprema Corte, pur non considerando l'attività bancaria come attività pericolosa, ha ritenuto che fosse a carico della banca, e non del danneggiato, l'onere di fornire la prova della scusabilità del suo errore (Cass. civ., sez. III, 11 febbraio 2009, n. 3350).
In conclusione, quando navighiamo in rete, pensando di essere totalmente al sicuro da possibili furti di dati personali, dobbiamo prestare la massima attenzione e comprendere che il ladro digitale può trovarsi molto vicino a noi, pronto a carpire i dati personali per farne un uso illegale.
Nessun commento:
Posta un commento