IL FENOMENO “PHISHING” NEL PERIODO DI QUARANTENA PER CORONAVIRUS (COVID-19): RISCHI E FATTISPECIE PENALI
La Polizia di Stato e il Governo Italiano, tramite i rispettivi siti istituzionali, lanciano un’allerta in relazione al maggiore utilizzo degli strumenti informatici, da parte di privati e aziende, in questo particolare momento di permanenza nelle abitazioni.
E’ stato registrato, infatti, un sensibile aumento delle c.d. “truffe informatiche”, mediante la nota condotta di phishing, poste in essere attraverso canali informatici quali e-mail, sms, WhastApp.
La tecnica operativa di base (c.d. Deceptive Phishing) consiste nella stesura di un testo idoneo, sul piano dei contenuti, della struttura e della composizione grafica di riferimento, a generare piena fiducia da parte di un soggetto ricevente ed indurre così il medesimo all’esecuzione di una specifica azione (ad esempio, attivare un link verso un sito web terzo).
In particolare, le Forze dell’Ordine evidenziano un aumento di messaggi inerenti alla peculiare situazione dettata dall’epidemia di Covid-19: sedicenti aggiornamenti sulla situazione medico-sanitaria, comunicazioni da parte delle autorità ovvero ancora indicazioni provenienti dagli istituti bancari su presunti cambiamenti di operatività.
Tra queste, si registrano le e-mail firmate da una certa dottoressa Penelope Marchetti, presunta “esperta” dell’Organizzazione mondiale della sanità in Italia, dal linguaggio professionale e credibile, che invitano le vittime ad aprire un allegato, infetto, che conterrebbe indicazioni per evitare il contagio da Coronavirus. Il virus informatico – o malware – veicolato, della famiglia “Ostap”, punta a prendere i nostri dati sensibili.
Un altro caso è quello scoperto dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia postale, che ha portato alla luce una campagna di false e-mail in giapponese, provenienti apparentemente da un centro medico che invitano ad aprire un allegato con presunte informazioni sul diffondersi dell’epidemia. Anche qui si tratta di un virus malevolo che punta a credenziali bancarie e dati personali della vittima.
Altra frode intercettata è quella delle email che invitano ad aprire un file zippato contente documenti Excel, veicolo di un virus informatico di tipo RAT chiamato “Pallax”. Con un click il virus consentiva agli hacker di assumere totale controllo del dispositivo attaccato, in maniera invisibile.
Sempre della “famiglia” RAT è il virus nascosto in un file denominato CoronaVirusSafetyMeasures.pdf, con la capacità di impossessarsi del dispositivo e trasformarlo in un computer “zombie”, usato da remoto per compiere altri attacchi informatici.
I messaggi possono essere, sostanzialmente, di due tipi: l’uno presuppone la risposta dell’utente con la comunicazione dei propri dati (soprattutto per quanto attiene l’ambito bancario), l’altro, invece, contiene un file allegato che nasconde al proprio interno un malware, vale a dire un virus informatico che consente al phisher di controllare integralmente il sistema informatico bersaglio, o almeno parti di esso.
In entrambi i casi, il soggetto agente avrà la facoltà di accedere non solo ad una serie di dati importanti (anche di tipo “particolare” ai sensi del GDPR), ma avrà altresì la possibilità di effettuare operazioni di vario genere (bancarie, gestione del risparmio, disposizioni patrimoniali aziendali, ecc.).
Tali condotte potrebbero essere sussunte in diverse norme penali, riconducibili all’area delle fattispecie “classiche” (truffa e sostituzione di persona), ai reati c.d. “informatici” (frode informatica, accesso abusivo al sistema informatico) ovvero ancora ai reati previsti in tema “privacy” (su tutti, il trattamento illecito di dati personali).
Con specifico riferimento alla ipotesi di truffa ex art. 640 c.p., qualora il phisher simulasse una comunicazione proveniente dalle pubbliche autorità in relazione alle direttive comportamentali inerenti all’emergenza epidemiologica (che in questi giorni si susseguono numerose) potrebbe sussistere anche l’aggravante di cui al secondo comma, vale a dire “se il fatto è commesso ingenerando nella persona offesa […] l’erroneo convincimento di dover eseguire l’ordine di un’autorità”.
La situazione straordinaria in cui ci troviamo consente di apprezzare maggiormente la radicale distinzione che intercorre tra le tre categorie di illeciti penali summenzionate, spesso oggetto di confusione, soprattutto a seguito dell’entrata in vigore del GDPR, in merito ai piani di operatività delle diverse norme.
Infatti, non è detto che il semplice utilizzo di computer o smartphone ovvero di dati in forma digitale determini di per sé la sussistenza di un reato “informatico” ovvero in tema “privacy” strettamente considerati.
Nella stragrande maggioranza dei casi le condotte riscontrate dalla Polizia di Stato attengono alla fattispecie di truffa “classica”, solamente posta in essere con l’ausilio oppure per mezzo dello strumento informatico. Cioè la condotta tipica di “indurre in errore mediante artifici o raggiri” è perpetrata con la e-mail del phisher, anziché con modalità più tradizionali, tesa a carpire con l’inganno dati e credenziali del ricevente.
I reati c.d. “informatici” propriamente intesi, invece, prevedono all’interno della descrizione della condotta tipica del reato (quindi quali elementi costitutivi) una azione specifica che coinvolge lo strumento informatico. Ad esempio, la “Frode informatica” di cui all’art. 640-ter c.p. punisce chiunque “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti” procura a sé o ad altri un ingiusto profitto con altrui danno.
Risulta subito evidente l’assenza di qualsiasi forma di cooperazione artificiosa da parte della vittima, che ben potrebbe essere del tutto ignara dell’agire del reo (almeno sino a quando non abbia contezza del danno patito) e non aver avuto alcun contatto con esso. L’agente, nella frode informatica, accede al sistema forzandolo ed intervenendo su di esso, senza la necessità di carpire con l’inganno le credenziali.
Pe questo motivo, la giurisprudenza tende a distinguere l’inquadramento giuridico delle due tipologie di phishing identificate in apertura:
- qualora si tratti di una comunicazione che presuppone un comportamento attivo e complesso da parte della vittima (ad esempio, la disposizione patrimoniale diretta ovvero la comunicazione di dati e credenziali) si tratterà di una comune truffa ai sensi dell’art 640 c.p., solamente adottata attraverso canali informatici;
- nel caso in cui, invece, il contributo della vittima sia limitato all’apertura della semplice e-mail, oppure di un link o di un file allegato, mentre la disposizione patrimoniale sia eseguita direttamente dal reo, solo dopo l’accesso forzato al sistema mediante il virus immesso, allora sarà integrata la frode informatica ex art. 640-ter c.p.
Su un piano distinto e parallelo restano le fattispecie penali in materia “privacy”: infatti, il trattamento illecito di dati personali (art. 167 D.Lgs. 196/2003) costituisce autonoma figura di reato che tutela non il patrimonio, bensì la riservatezza dei dati riferibili alle singole persone.
Il perimetro di operatività, tuttavia, è delimitato a situazioni di fatto in cui il soggetto agente abbia già a disposizione il dato (ottenuto in precedenza in modo lecito o meno) e ne faccia però un uso contrario alla legge, al fine di trarne profitto ovvero di arrecare danno, cagionando in ogni caso un nocumento (di qualsiasi genere) alla persona offesa.
In particolare, le ipotesi previste dalla norma in questione attengono all’utilizzo di dati per piattaforme automatizzate (ad esempio, di vendita), oppure di dati c.d. “particolari” (sanitari, biometrici, genetici, ecc.) e quelli giudiziari, ovvero ancora al trasferimento presso Paesi terzi od organizzazioni internazionali.
E’ bene ricordare, inoltre, che tutte le fattispecie in parola trovano applicazione “salvo che il fatto non costituisca più grave reato”: la commissione di una truffa – in ognuna delle sue declinazioni – attraverso l’uso dei dati trattati illecitamente comporta certamente l’applicazione di siffatta clausola.
Chiara dunque la distinzione concettuale tra le disposizioni inerenti alle frodi (classiche o informatiche) ed i c.d. “reati in tema privacy”: i primi concernono una condotta che colpisce direttamente un singolo individuo nel proprio patrimonio; i secondi invece attengono all’utilizzo di dati per finalità di profitto più generalizzate, come la creazione di database, ovvero la profilazione per condurre operazioni di marketing in maniera illecita o ancora il c.d. “dossieraggio”.
Tutto ciò considerato, appare piuttosto remota l’ipotesi per cui il phisher proceda alla raccolta dei dati degli utenti colpiti (ad esempio, indotti a compilare un falso modulo on-line) per le finalità da ultime menzionate: esse, infatti, sono maggiormente riconducibili a soggetti come aziende o enti che acquisiscono ingenti quantità di dati e, con finalità di profitto, potrebbero farne siffatti usi illeciti.
Nella gran parte dei casi di phishing l’autore intende ottenere immediato accesso alle sole informazioni “patrimonialmente sensibili” (come i dati bancari, che non sono “dati sensibili” ai sensi del GDPR), in modo da procedere ad operazioni su conti correnti oppure di commettere altri illeciti utilizzando l’identità digitale della vittima.
Pertanto, in conclusione, il fenomeno del phishing – soggetto a recrudescenza in questo periodo di forzato isolamento domestico – attiene senz’altro in via prioritaria alla sfera dei reati contro il patrimonio (truffe e frodi informatiche), avendo invece una incidenza decisamente inferiore, contrariamente alle apparenze, rispetto agli illeciti penali in materia di privacy.
Polizia di Stato: https://www.poliziadistato.it/articolo/155e6e0b219e178303074293
Governo Italiano: https://www.interno.gov.it/it/notizie/attenzione-frodi-informatiche-sul-coronavirus