Breve disamina aspetti giuridici del c.d. fishing


1.          Introduzione.

2.          La definizione dell’attività.

3.          Riflessi penalistici sui c.d. “reati informatici”

4.          Riflessi penalistici con riferimento al trattamento di dati personali

5.          Riflessi civilistici

6.          Conclusioni

1.      Introduzione

Cercherò di chiarire alcuni degli aspetti giuridici dell’attività conosciuta come “fishing”, anche al fine di evidenziare quali siano le risposte “legali” e legate ai reati c.d. “informatici”, che possano essere messe in atto da chi subisca un “attacco” di tal genere. Al termine di questa breve disamina cercherò anche di evidenziare le eventuali corresponsabilità dei soggetti che eroghino un servizio soggetto a tali “attacchi” nei confronti della propria clientela.

2.      La definizione dell’attività

Quella che segue è la definizione di http://www.webopedia.org:

fish´ing) (n.)

The act of sending an e-mail to a user falsely claiming to be an established legitimate enterprise in an attempt to scam the user into surrendering private information that will be used for identity theft. The e-mail directs the user to visit a Web site where they are asked to update personal information, such as passwords and credit card, social security, and bank account numbers, that the legitimate organization already has. The Web site, however, is bogus and set up only to steal the user’s information. For example, 2003 saw the proliferation of a phishing scam in which users received e-mails supposedly from eBay claiming that the user’s account was about to be suspended unless he clicked on the provided link and updated the credit card information that the genuine eBay already had. Because it is relatively simple to make a Web site look like a legitimate organizations site by mimicking the HTML code, the scam counted on people being tricked into thinking they were actually being contacted by eBay and were subsequently going to eBay’s site to update their account information. By spamming large groups of people, the “phisher” counted on the e-mail being read by a percentage of people who actually had listed credit card numbers with eBay legitimately.

Phishing, also referred to as brand spoofing or carding, is a variation on “fishing,” the idea being that bait is thrown out with the hopes that while most will ignore the bait, some will be tempted into biting.

3.      Riflessi penalistici sui c.d. “reati informatici”

Vediamo come viene definito il reato tentato nel codice penale:

Art. 56         Delitto tentato.

[I]. Chi compie atti idonei, diretti in modo non equivoco a commettere un delitto, risponde di delitto tentato, se l’azione non si compie o l’evento non si verifica.

[II]. Il colpevole del delitto tentato è punito: con la reclusione non inferiore a dodici anni, se la pena stabilita è l’ergastolo; e, negli altri casi, con la pena stabilita per il delitto, diminuita da un terzo a due terzi.

[III]. Se il colpevole volontariamente desiste dall’azione, soggiace soltanto alla pena per gli atti compiuti, qualora questi costituiscano per sè un reato diverso.

[IV]. Se volontariamente impedisce l’evento, soggiace alla pena stabilita per il delitto tentato, diminuita da un terzo alla metà.

Per il diritto italiano, in particolare per il diritto penale, sono pertanto ipotizzabili (quanto meno a livello di tentativo che, ricordo, è punito in maniera più blanda rispetto al reato consumato, ma costituisce pur sempre attività criminale in senso stretto) attività che potrebbero essere ricondotte ai seguenti reati:

  • Se l’acquisizione di informazioni è finalizzata solamente ad un successivo accesso abusivo a sistema informatico, il riferimento sarà l’art.615-ter C.P.
  • Se l’acquisizione di informazioni è finalizzata ad una successiva truffa nei confronti del soggetto che incautamente fornisca le informazioni richieste, il riferimento sarà l’art.640 c.p. (Truffa)

[I]. Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro

  • Se l’acquisizione di informazioni è finalizzata ad un successivo trattamento illecito di dati personali, il riferimento sarà l’art.167 del D.Lgs.n.196/2003

Con ogni probabilità non potrebbe essere contestata né l’art.617-quater c.p. (intercettazione)

“Art. 617-quater. – (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche). –

Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo d’informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d’ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri e con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di un investigatore privato.

in quanto non si tratta propriamente di “conoscenza fraudolenta del contenuto di comunicazioni tra sistemi informatici” ma piuttosto di “induzione alla comunicazione di informazioni in maniera fraudolenta”.

Nello stesso senso non dovrebbe poter essere applicabile l’art.617-sexies c.p. (che generalmente sanziona le varie attività riconducibili al c.d. “spoofing”:

Art. 617 sexies. – (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche). –

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro armi.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma del l’art. 617-quater”.

in quanto non viene formato falsamente, né alterato, né soppresso, alcun contenuto di comunicazione.

Come si vedrà nell’esempio che segue, il condizionale è obbligatorio anche in questo caso, in quanto si potrebbe sempre argomentare che, nell’attività successiva alla “induzione a false comunicazioni”, il soggetto che effettui il fishing sopprime il contenuto di una comunicazione, sempre tenendo presente quale era il destinatario, per così dire “istituzionale”, della comunicazione medesima (ovvero il sito che il cliente “crede” di raggiungere).

Anche nell’ipotesi del 617-quater c.p. il condizionale è d’obbligo, in quanto si potrebbe anche sostenere che, rispetto alla comunicazione che il soggetto passivo del reato (ovvero il soggetto che artatamente sia indotto a fornire informazioni al potenziale criminale [perché di questo si tratta da un punto di vista legale]) “crede” di operare, il terzo si porrebbe come “intercettatore” o, quanto meno, come “soggetto che interrompe la comunicazione”, qualora si consideri che la comunicazione sarebbe dovuta avvenire tra l’utente ed il sito web che – legalmente e correttamente – avrebbe formulato la richiesta di acquisizione di dati, di qualunque genere essi siano.

In questo senso esiste una sentenza della Corte di Cassazione che potrebbe applicarsi anche al caso in esame, la cui massima così recita:

Nella condotta del titolare di esercizio commerciale il quale, d’intesa con il possessore di una carta di credito contraffatta, utilizza tale documento mediante il terminale Pos in dotazione, sono ravvisabili sia il reato di cui all’art. 615 ter (accesso abusivo ad un sistema informatico o telematico) sia quello di cui all’art. 617 quater c.p, (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche): il primo perché l’uso di una chiave contraffatta rende abusivo l’accesso al Pos; il secondo perché, con l’uso di una carta di credito contraffatta, si genera un flusso di informazioni relativo alla posizione del vero titolare di essa diretto all’addebito sul suo conto della spesa fittiziamente effettuata, per cui vi è fraudolenta intercettazione di comunicazioni.

Cassazione penale, sez. V, 14 ottobre 2003, n. 44362 in Riv. pen. 2004, 416

4.      Riflessi penalistici con riferimento al trattamento di dati personali

In relazione al reato di trattamento illecito di dati personali, per i quali recentemente la giurisprudenza della Cassazione ha ribadito come occorra necessariamente il c.d. “nocumento”, ovvero un danno quantificabile, perché possa configurarsi il reato, probabilmente non si è in presenza solamente di un tentativo, ma anche del reato compiuto.

Infatti l’articolo 167 recita:

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

Uno degli articoli citati concerne la mancanza del consenso e pare sufficientemente chiaro che nell’ipotesi in esame tale consenso non possa esistere, in quanto – per definizione – è stato “estorto”. Il problema rimane quello di individuare il c.d. “nocumento”, ma poiché il Codice sui dati personali definisce come risarcibile anche il danno morale, non dovrebbe essere troppo difficile individuare come esistente tale tipologia di danno e, conseguentemente, ritenere punibile il reo.

In ogni caso sarebbe possibile agire con un giudizio civile per il risarcimento del danno causato, ma sicuramente a questo potrebbe essere di ostacolo la “cittadinanza” del “pescatore”…

Se a questo punto cerchiamo di inquadrare brevemente l’eventuale corresponsabilità, soprattutto nel campo del diritto civile, del “fornitore di servizi” nei confronti del proprio Cliente, probabilmente – come si suole dire – ne potremmo “vedere delle belle”.

5.      Riflessi civilistici

Infatti, a prescindere da qualunque riferimento alle ipotesi penali sopra descritte, con ogni probabilità – qualora tale responsabilità non fosse stata preventivamente esclusa attraverso la sottoscrizione di apposite e chiare clausole contrattuali – si può individuare una responsabilità da parte del “fornitore di servizio” qualora questi non abbia adottato, anche ai sensi dell’art.2050 richiamato dall’art.15 del D.Lgs n.196/2003, tutte le cautele possibili affinché il danno non avvenisse.

In sostanza, di fatto esiste un obbligo nel fare in modo che siano utilizzati tutti gli strumenti messi a disposizione dalla tecnica (e quindi, nel caso specifico di erogazione di servizi a mezzo della rete internet) affinché l’utente – sia esso consumatore o utente professionale,  a questo punto la differenza non è sensibile – sia messo in grado di essere “sicuro” che il soggetto che eroghi un servizio sia veramente chi afferma di essere.

Infatti, come è sotto gli occhi di tutti, se adesso quando si paga con una carta di credito l’esercente esige un documento di riconoscimento (in realtà lo richiede perché il soggetto che eroga il servizio P.O.S. non si fa carico di “errori” dovuti alla sbadataggine dell’esercente), non si vede per quale motivo quando la medesima cosa accade per un servizio fornito attraverso internet non debba accadere la medesima cosa.

Conseguenza di ciò è la “necessità” di adottare sistemi di trasmissione cifrati (https), certificati digitali (rilasciati da soggetti che svolgano tale attività per legge, non certamente “fabbricati in casa”) che consentano di controllare che il titolare del sito al quale ci colleghiamo sia veramente chi afferma di essere, conferma incrociata delle informazioni visualizzate, e così via.

In caso contrario, stante anche l’inversione dell’onere della prova sancito dall’art.2050 c.c., vedo come ben difficile da sostenere la difesa di chi eroghi un servizio con modalità difformi da quelle appena individuate.

6.      Conclusioni

In conclusione, ancora una volta possiamo vedere come sia possibile tutelare la propria posizione attraverso il ricorso alla legge, in particolare anche a quella penale (il che vuol dire che si può far agire lo Stato invece che agire direttamente) ma è anche altrettanto vero che, mai come in questi casi, sarebbe molto meglio prevenire piuttosto che reprimere, per cui una sana prudenza nelle attività in rete, un preventivo controllo sulla effettiva identità di chi ci richiede delle informazioni (ovvero, certificato digitale del sito e quant’altro sia necessario per “confermare” che il sito sia quello che pretende di essere) potrebbe evitare tante inutili complicazioni.

Pubblicato su Penale. Leave a Comment »

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: