Il phishing continua ad occupare saldamente le prime posizioni nella speciale graduatoria delle “top 15” cyber minacce che sintetizza i risultati del Threat Landscape Report che l’agenzia ENISA pubblica annualmente per contribuire allo sviluppo di una maggiore sicurezza delle reti e delle informazioni nell’ambito dell’Unione Europea.
E non potrebbe essere altrimenti: i temi di maggiore interesse al centro del dibattito odierno appartengono ormai al mondo dell’informazione ed in particolare delle informazioni conservate e trasmesse su supporti digitali. Proprio la tecnologia digitale, ovvero quel sistema complesso di hardware e software, che converte il contenuto delle informazioni in forma numerica, attraverso il sistema di numerazione binario, rappresenta il mezzo principale mediante il quale sono trattati dati ed informazioni.
Indice degli argomenti
La sicurezza delle informazioni
La centralità dell’ambiente digitale, assume rilievo in rapporto alla nostra epoca, ma questo non esclude altri sistemi impiegati per raccogliere, modificare, trasmettere e cancellare le informazioni. Riscopriamo così, il mondo antico dei supporti non digitali, o analogici, come la carta e le pellicole, o come le persone, ovvero gli esseri umani, che con il loro cervello conservano informazioni e dati rilevanti e li trasmettono per via orale.
Quest’ultimo aspetto per certi versi può far sorridere, ma nella logica delle minacce (o fonti di rischio) che possono interessare i dati e le informazioni le persone assumono un ruolo cruciale, sia in qualità di agente di minaccia, che di soggetto passivo della minaccia stessa.
Da qui discende l’esigenza di mettere al sicuro le informazioni, in particolare quelle che hanno valore per un’organizzazione o per una persona fisica, preservandone la riservatezza (o confidenzialità), l’integrità e la disponibilità in un tempo dato.
Queste tre proprietà dell’informazione, definiscono congiuntamente la cosiddetta sicurezza delle informazioni, la quale collocandosi in via principale nel contesto digitale e delle relative infrastrutture e sistemi, prende il nome di sicurezza informatica (o cyber security[1]).
Proprio nell’ambito della sicurezza informatica, finalizzata alla tutela delle informazioni rilevanti, possono essere individuate numerose cause (o scenari di rischio) che potenzialmente possono determinare un incidente (ovvero, un evento identificato) relativo alla sicurezza delle informazioni. La corretta individuazione ed identificazione di tutte le minacce potenziali rappresenta quindi una fase molto importante del più generale processo di valutazione del rischio (o risk assessment).
L’identificazione dei rischi è dunque un processo caratterizzato da una spiccata mutevolezza degli scenari di minaccia, in chiave evolutiva delle tecnologie informatiche ed in particolare delle tecniche di ingegnerizzazione dei processi di security by design e delle relative misure di protezione applicate.
Il phishing, una definizione
Il Report di ENISA, nell’ambito dell’analisi dello scenario di rischio indicato, fornisce una prima descrizione della minaccia (vedi, par. 3.4 del Report), dalla quale poter desumere gli elementi di base per una sua utile definizione sul piano tecnico.
In questo senso, il phishing è definito come, “… the mechanism of crafting messages that use social engineering techniques…”. Laddove con il termine mechanism parrebbe qui intendersi anzitutto un artifizio che si concretizza nella capacità di comporre, attraverso l’impiego delle proprie capacità e della propria “perizia” (to Craft), dei testi mediante i quali si fa uso delle tecniche di ingegneria sociale.
Ma a quale scopo? ENISA lo precisa nel suo glossario, per cui gli attacchi di phishing avrebbero lo scopo, “…to persuade potential victims into divulging sensitive information such as credentials, or bank and credit card details”.
Pertanto il phishing[2], nella sua costruzione di base che valorizza la fase di inganno della persona, potrebbe essere inteso in linea generale, come un artifizio posto in essere da un soggetto esterno o interno rispetto ad un’organizzazione (cosiddetto phisher e/o attaccante), che si concretizza nella creazione di testi, che facendo uso di tecniche di ingegneria sociale, mira a persuadere in modo fraudolento le persone oggetto di attacco, a divulgare informazioni sensibili proprie, o delle quali ne hanno la disponibilità, allo scopo di procurare un danno economico al soggetto passivo della condotta.
Tecnica operativa di base del phishing
La tecnica operativa di base (cosiddetto Deceptive Phishing), consiste nello sviluppo e creazione di un testo idoneo sul piano dei contenuti, della struttura e della composizione grafica di riferimento, al fine di generare piena fiducia nei confronti del contenuto stesso da parte di un soggetto ricevente ed indurre così il medesimo all’esecuzione di una specifica azione (ad esempio, attivare un link in ipertesto verso un sito web terzo).
Questo testo è nella maggior parte dei casi integrato in un messaggio e-mail, che mediante un invio massivo ed indiscriminato (cosiddetto spamming) da parte del soggetto attaccante, raggiunge un numero indeterminato e casuale di persone.
In questa fase, il mittente delle e-mail è in linea generale individuato in enti pubblici, istituzioni e organizzazioni private la cui operatività e presenza in un ambito territoriale locale, nazionale o internazionale, è consolidata nel tempo, anche rispetto al numero di persone ad essi fidelizzate.
Sempre in linea generale, l’esecuzione dell’azione proposta nella e-mail di primo invio conduce successivamente il soggetto passivo presso un sito web terzo, creato ad hoc dal phisher secondo i contenuti e gli schemi comunicativi tipici dell’ente, istituzione od organizzazione privata, della quale ne viene simulata la genuinità.
Anche in questo caso, la pagina web creata ad arte, richiederà l’esecuzione di una specifica ed ulteriore azione da parte del soggetto passivo. In questo senso, le richieste più comuni riguardano l’inserimento di credenziali di accesso, dati personali o informazioni bancarie idonee a consentire al soggetto attivo della minaccia il conseguimento di un vantaggio economico effettivo, derivante dalla disponibilità e potenziale impiego delle informazioni illegittimamente acquisite.
L’insieme di questi artifizi e la loro evoluzione e perfezionamento[3] ricade nell’alveo delle più generali tecniche di social engineering.
Parzialmente diversa la dinamica alla base del phishing basato su software contenente codice maligno (cosiddetto malware). In questo senso, ferma la tecnica di base fondata su strategie di social engineering per l’adescamento della vittima, l’acquisizione delle informazioni/dati personali del soggetto passivo avviene mediante l’installazione di un software operante in background presso il sistema informatico dell’utente, così da acquisire i dati ed informazioni ritenuti rilevanti dal phisher, ad insaputa del soggetto passivo.
Inquadramento giuridico del reato di phishing
Come visto, il phishing nella logica della valutazione e gestione del rischio rappresenta uno degli scenari di minaccia di security possibili, rispetto alla tutela dell’integrità delle informazioni e dei dati personali riferibili ad un’organizzazione o ad una persona fisica.
Questo scenario, come visto, trova nella condotta umana e nell’uso dello strumento informatico i mezzi principali di esecuzione dell’attività fraudolenta. In questo senso, il nostro ordinamento penale non prevede uno specifico precetto penale rubricato come phishing e la condotta dell’attaccante della minaccia viene fatta rientrare dalla giurisprudenza in fattispecie penali già disciplinate, ad esempio sotto le ipotesi di falsificazione di comunicazione telematica (art. 617 sexies c.p.), truffa (art. 640 c.p.), accesso abusivo in un sistema informatico o telematico (art. 615 ter c.p.) e frode informatica (art. 640 ter c.p.)[4].
Le norme indicate rappresentano una parte dei reati introdotti dal legislatore nazionale con la Legge n 547/1993, recante modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale, in tema di criminalità informatica.
Successivamente, con la Legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 novembre 2001, si integra la definizione di cyber crimes, ai quali certamente appartiene la fattispecie di phishing, come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”.
Per completezza, ai reati di cui alla Legge 547, devono aggiungersi inoltre i nuovi articoli 167, 167bis e 167ter del D.lgs. n. 196/2003, così come novellato dal D.lgs. 10 agosto 2018, n. 101, e relativi al trattamento illecito di dati, comunicazione e diffusione illecita di dati personali ed acquisizione fraudolenta di dati personali trattati su larga scala.
Fattispecie di reato applicabili
Comprendere in quali fattispecie penali il phishing trovi il suo riferimento principale non è facile e questo per via delle variegate modalità operative attraverso le quali la condotta del phisher (soggetto attivo del reato) si estrinseca, non consentendo di inquadrare stabilmente il fatto tipico in una disposizione normativa ad hoc.
In questo senso, mantenendo come riferimento la tecnica operativa di base già richiamata, il panorama delle fattispecie criminose oggi ricorrenti per qualificare le condotte di cui sopra, sono state volta per volta identificate nelle seguenti fattispecie:
- Art. 494 c.p. Sostituzione di persona. La norma in oggetto ha lo scopo di tutelare la fede pubblica e punisce quei comportamenti posti in essere al fine di sostituire illegittimamente la propria all’altrui persona o attribuire a sé o ad altri un falso nome, un falso stato o una qualità a cui la legge ricollega effetti giuridici. Il momento consumativo del reato si ha quando il soggetto passivo viene indotto in errore, ed in questo senso anche il tentativo è ammissibile. Questa fattispecie consente di valorizzare il primo aspetto che rileva nelle condotte di phishing, ovvero l’inganno del soggetto indotto in errore, il quale ritiene di relazionarsi con un soggetto o entità specifica, che è in realtà il phisher, il quale sostituisce sé stesso in modo fraudolento a qualcun altro. Questa lettura trova il suo limite nello scopo della condotta del phisher, il quale vede nell’inganno un mero strumento per ottenere un vantaggio patrimoniale ingiusto (scopo finale), non esaurendosi la condotta del phisher nella mera induzione in errore del terzo[5].
- Art. 640 c.p. Truffa. Questo precetto, in ordine alla tutela del patrimonio, punisce tutti quei comportamenti idonei ad alterare la libera formazione del consenso nei negozi giuridici patrimoniali. A questo scopo si arriva mediante artifizi o raggiri (che non siano manifestamente grossolani e non verosimili), indotti al fine di persuadere il soggetto passivo della bontà di una determinata scelta (così facendolo cadere in errore), anche con la minaccia di non incorrere in un danno maggiore. Lo scopo della condotta è l’ottenimento di un profitto ingiusto, con il relativo danno altrui; il danno è qui inteso come un vantaggio sostanzialmente economico. Il reato è istantaneo e si consuma con l’avvenuta diminuzione patrimoniale subita dalla persona offesa, a causa della condotta criminosa. Il tentativo è configurabile. Anche in questo caso, si colgono aspetti strutturali delle condotte di phishing, in alcuni casi anche in concorso con il reato di cui all’art. 494 c.p. (fatte salve ipotesi interpretative di applicazione del ne bis in idem in favore del reato di truffa). Vale la pena però segnalare che nella truffa, “l’elemento del danno deve avere necessariamente contenuto patrimoniale consistendo in una lesione concreta e non soltanto potenziale”[6], mentre il phisher una volta ottenuti i dati di accesso, non ha ancora conseguito una disposizione patrimoniale effettiva in danno della persona offesa. Nonostante questo aspetto, il fenomeno nella sua forma più semplice di Deceptive Phishing è percepito, valorizzando l’aspetto dell’adescamento del danneggiato[7].
- Art. 640ter c.p. Frode informatica. La migliore conoscenza delle tecniche di phishing ha reso poi evidente come gli attacchi spesso avvengano mediante una reale alterazione del sistema informatico della persona offesa. Ecco quindi rilevare le tecniche di phishing basato su software contenente codice maligno (ad esempio, malware o trojan) e idonee ad ampliare in chiave evolutiva la condotta del phisher, integrando le condotte di base che riprendono gli elementi costitutivi degli artt. 494 e 640 c.p. In questi termini, l’art. 640 ter c.p. si porrebbe come figura di reato idonea a ricondurre in sé i comportamenti complessivi del phishing, in quanto assumono rilievo i seguenti elementi costitutivi della fattispecie in esame: l’alterazione del funzionamento di un sistema informatico, ed in via alternativa o prodromica, l’intervento senza diritto sui dati, informazioni o programmi contenuti nel sistema informatico, con il conseguimento dell’ingiusto profitto, con l’altrui danno.
Queste condotte hanno trovato una specifica vocazione nel fenomeno criminoso del phishing, grazie al D.L. n. 93/2013, con l’introduzione dell’aggravante di cui al comma III dell’articolo in esame, per cui: “La pena è della reclusione…se il fatto è commesso con furto o indebito utilizzo dell’identità digitale[8] in danno di uno o più soggetti”. Ecco così definirsi un’ipotesi di reato plurioffensiva rispetto ai differenti beni giuridici colpiti dalle condotte del phisher ed inquadrabili nei precedenti reati di truffa e di sostituzione di persona.
Questa plurioffensività non consentirebbe però l’assunzione della condotta del phisher nel reato più grave, poiché non vi sarebbe medesimezza del bene giuridico leso, così escludendo un’ipotesi di assorbimento della condotta nella norma che punisce il fatto tipico più grave (cosiddetta consunzione)[9].
La diversità dei beni giuridici tutelati dalle norme indicate potrebbe inoltre far protendere verso un’ipotesi di concorso di reato, rispetto alla diversa ed ulteriore fattispecie di accesso abusivo al sistema informatico ex art. 615 ter c.p. (eventualmente con le chiavi di accesso ottenute in via fraudolenta). Fattispecie, questa, posta a tutela del domicilio informatico quale ulteriore e diverso bene giuridico potenzialmente leso dalla condotta del phisher.
La valorizzazione della condotta del phisher rispetto agli artt. 615 ter e 640 ter c.p., nell’alternatività o prodromicità delle due condotte rispetto al danno economico procurato, escluderebbe però la responsabilità penale dell’intera fase di adescamento della vittima, che bene era valorizzata nel reato di truffa o nell’art. 494 c.p.
Queste valutazioni, seppure in chiave di sintesi, mirano ad evidenziare la difficoltà di inquadramento della variegata condotta del phisher sul piano penale, stante la frammentarietà delle norme coinvolte ed in particolare dei diversi beni giuridici tutelati dalle stesse. Questa circostanza non consentirebbe pertanto una fisiologica identificazione dell’intero fatto concreto in un precetto penale ad hoc, costringendo l’interprete ad applicare volta per volta le disposizioni che meglio valorizzano la specifica condotta criminosa.
Tale condotta è variabile non solo rispetto all’effettivo danno causato dal phisher, ma anche rispetto a tutte quelle variazioni della modalità operativa e tecnologica che caratterizzano il fatto criminoso.
In questa consapevolezza, la giurisprudenza prevalente è comunque orientata a sussumere la condotta del phisher in via principale all’interno del reato di frode informatica (aggravata ex III comma dell’art. 640ter c.p.), in concorso formale di reato, con l’eventuale ipotesi di accesso abusivo ad un sistema informatico.
———-
In questo senso è interessante lo studio condotto da ENISA nel suo report dal titolo, “Definition of Cybersecurity – Gaps and overlaps in standardisation”, V.1.0. December 2015. In questo senso, sono indicate le divergenti nozioni di cybersecurity sviluppate da diversi enti ed organizzazioni private, nell’ambito dell’UE e raccolte da ENISA; ↑
La parola Phishing fu coniata nel 1966 dagli hacker che rubarono password e accounts connessi agli utenti del portale America Online. In analogia con lo sport della pesca con amo, gli attaccanti utilizzavano delle e-mail esca contenenti ami per la “pesca” di password e dati finanziari dal “mare” degli utenti internet. In questo senso, gli account pescati erano chiamati phish e scambiati tra gli hacker come forma di valuta. La sostituzione della lettera F con PH riprende il termine Phreaking, coniato dall’ideatore del dispositivo noto come Blue Box, quale strumento hardware di pirataggio telefonico (per poter telefonare gratuitamente). In questo senso, vedi qui; ↑
In questo senso, assume rilievo la fattispecie di c.d. Spear (lancia/arpione) Phishing, cioè una versione più sofisticata ed elaborata del phishing. Essa ha per obiettivo organizzazioni o individui specifici e mira ad ottenere l’accesso non autorizzato a dati ed informazioni riservate. Proprio come nel phishing standard, gli attacchi di spear phishing impersonano fonti attendibili. Inoltre, gli attacchi sono personalizzati. Gli aggressori possono utilizzare le informazioni pubbliche presenti sui siti di social media come LinkedIn o Facebook e personalizzare il loro messaggio o impersonare gli utenti in modo che l’e-mail di spear phishing sia quanto più possibile genuina e gli utenti interessati si sentano in dovere di agire come richiesto; ↑
Brevi riflessioni a margine della Cassazione sul fenomeno del “phishing”; ↑
Rispetto al rapporto tra art. 494 c.p. e contesto digitale della condotta, rileva la pronuncia della Sez. V, Cass. Penale, 8 novembre 2007, n. 238504, secondo la quale “…consumandosi il reato de quo con la produzione dell’evento conseguente all’uso dei mezzi indicati nella disposizione incriminatrice, vale a dire con l’induzione di taluno in errore, nel caso in esame il soggetto indotto in errore non è tanto l’ente fornitore del servizio di posta elettronica, quanto piuttosto gli utenti della rete, i quali ritenendo di interloquire con una persona determinata…in realtà inconsapevolmente si sono trovati ad avere a che fare con una persona diversa”; ↑
Vedi Cassazione penale, sez. I, 1998, rv. 212080 e nello stesso senso Cassazione penale, Sez. II, 04/02/2014 n. 5501; ↑
In questo senso si esprime un Tribunale di Monza del 07/05/2009, secondo il quale La condotta cosiddetta di “phishing”, consistente nel “pescare”, mediante abusivo inserimento nel sistema informatico di un’istituzione finanziaria o mediante false e-mail dirette ai clienti delle banche o delle poste, i dati significativi dei rapporti di conto corrente…integra la fattispecie di truffa punita ex art. 640 c.p. e non il delitto di frode informatica di cui all’art. 640 ter c.p. ↑
In questo senso, il Decreto SPID definisce ai propri fini l’identità digitale, come una rappresentazione informatica della corrispondenza biunivoca tra un utente ed i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale. Più ampio il concetto contenuto nell’art. 9 della Dichiarazione dei Diritti di Internet. Questo concetto nel caso di specie, rileva rispetto all’apprensione da parte del Phisher, degli account di accesso alle fonti patrimoniali e finanziarie del soggetto passivo; ↑
Enrico Di Paolo, Cyber crime. Il Phishing: prospettive di un delitto, in Archivio Penale 2017, n. 2; ↑
