Phishing
Truffa per email, o phishing, è la definizione nuova della frode per email. Ma in che modo può essere pericolosa per l’utente e quali sono le diverse tipologie?
L’inganno, che ha come obiettivo quello di rubare del denaro, si muove attraverso una e-mail. I truffatori riescono ad impadronirsi dei dati privati delle vittime del furto “online”. Apparentemente la mail arriva da istituti bancari e finanziari. O da siti web come e-commerce.
Il contenuto della mail è fortemente ingannevole: si crea allarmismo nell’utente malcapitato, comunicandogli che ci sono problemi legati al conto o alla carta di credito. A quel punto, vengono richiesti dati e informazioni sensibili come password o pin di accesso al conto e alle carte di credito.
A pagare le spese di questa truffa, sono solitamente i più ingenui o meno informati che, colti dal panico, consegnano queste informazioni. Il tutto avviene sempre attraverso posta elettronica.
Secondo il report 2019 di Clusit, l’associazione italiana per la sicurezza informatica, il fenomeno delle truffe tramite email è in crescente evoluzione. Le mail fasulle, i siti web contraffatti, e i link malevoli diventano sempre più un pericolo dell’internet. Nell’arco del biennio 2017-2018, infatti, il numero di attacchi gravi è cresciuto in Italia del +37,7%.
Vediamo dunque cos’è il phishing, tipologie e significato, come funziona la truffa via email e come ottenere rimborso.
A parlarci di questo tema e delle soluzioni per difendersi, l’Avvocato Cecchino Cacciatore assieme a Diego Cacciatore, studente in Giurisprudenza.
Significato di phishing: cos’è, come funziona la truffa online e differenza con vishing e smishing
Qual è il significato di phishing, come funziona la truffa online tramite mail e in che modo ci si può difendere, considerando che esistono molteplici frodi online come smishing e vishing?
La vittima dell’ingannevole mail si ritrova davanti ad un messaggio che lo invita a fornire i propri dati riservati, funzionali all’accesso al servizio bancario. La scusa con cui viene adescato il malcapitato è legata a problematiche interne dell’istituto bancario che, ovviamente, sono false e inesistenti. Di solito, nel messaggio c’è anche un link: questo, per rendere più credibile la mail e le informazioni in essa contenute, rimanda al sito bancario “ufficiale”. In realtà si tratta di un ennesimo falso.
“La parola Phishing fu coniata nel 1966 dagli hacker che rubarono password e accounts connessi agli utenti del portale America Online. In analogia con lo sport della pesca con amo, gli attaccanti (o pescatori, a questo punto) utilizzavano delle e-mail esca contenenti ami per la “pesca” di password e dati finanziari dal “mare” degli utenti internet.”– Ci spiegano l’Avvocato Cecchino Cacciatore e Diego Cacciatore, studente in Giurisprudenza.-
“In questo senso, gli account pescati erano chiamati phish e scambiati tra gli hacker come forma di valuta. La sostituzione della lettera F con PH riprende il termine Phreaking, coniato dall’ideatore del dispositivo noto come Blue Box, quale strumento hardware di pirataggio telefonico (per poter telefonare gratuitamente). Questo fenomeno occupa da tempo le prime posizioni delle 15 top cyber minacce nella graduatoria pubblicata annualmente dall’agenzia ENISA (European Union Agency for Cybersecurity). E forse non è così sconvolgente! Dal momento che quel sistema complesso di hardware e software che compone la tecnologia digitale è il più utile (e quindi più pericoloso e vulnerabile!) mezzo di raccolta e trattamento dei dati.”
“Il tempo e la diffusione del fenomeno in questione ha messo in luce un’evoluzione dello stesso anche sul piano della esplicazione. Si parla oggi anche di vishing e smishing. Il primo (la v sta per voice) prevede la richiesta di dati bancari o credenziali attraverso vere e proprie telefonate da call center. Questi si fingono appartenenti ad aziende fornitrici di servizi. Il più delle volte (oltre al danno anche la beffa) gli interlocutori fingono di dover ricevere i dati in questione proprio per tutelare i clienti stessi. Lo smishing, poi, è un’operazione analoga a quella poc’anzi descritta ma che avviene per mezzo SMS.”
Come evitare di essere truffati e prevenire truffe phishing
Compreso cos’è e come funziona il phishing, come difendersi e se esistono rimborsi e soluzioni è il prossimo punto da chiarire.
“La strutturazione di un’esca informatica è semplice quanto astuta ed ingannevole: consiste in un testo idoneo nei contenuti, nella forma grafica e nel tema ad un qualsiasi portale si servizi web certificato (home banking, Poste, pubblicità ufficiali), tale da indurre l’avventore a compiere una specifica azione. Nella maggior parte dei casi ad aprire un link appositamente fornito. Link che ospita un server controllato dal “phisher”, dal pescatore. In pochi secondi quest’ultimo riesce ad appropriarsi dell’identità personale e dei dati del soggetto.”- Ci spiega l’Avv.-
“Come difendersi dal phishing? La risposta non è semplice, innanzitutto perché è possibile solo quando si ha consapevolezza di cosa sia. Il più efficace strumento di difesa è dunque l’autotutela (mediante consapevolezza). Forniamo pertanto alcuni consigli utili per anticipare il problema.
1. La prima regola da ricordare è la seguente: gli Istituti di credito o le società che emettono carte di credito non richiedono mai la conferma di dati personali tramite posta elettronica o SMS. Se non prima comunque di aver contattato i propri clienti direttamente per tutte le operazioni riservate.
2. Nel caso si dovesse ritenere che l’e-mail sospetta sia in realtà autentica, si consiglia comunque di diffidare del link presente nella stessa. È infatti più opportuno collegarsi al sito della banca digitando l’indirizzo desiderato direttamente nel browser.
3. È opportuno installare sul proprio computer un filtro anti-spam nonché un sistema antivirus.
4. Notare che in molti casi le e-mail non contengono mai il nome del destinatario, essendo anzi piuttosto generiche. Anche nell’oggetto.”
Rimborso per phishing: come chiederlo e quando è possibile
Dalle poste alla banca, le denunce crescono, è sempre più comune incappare in casi di phishing e, compreso cos’è, capiamo cosa prevede la legge, come difendersi e come chiedere rimborso.
“Questo fenomeno può dar vita a vere e proprie fattispecie di reato, intorno alle quali (come è ovvio) la giurisprudenza si arrovella.”- Ci conferma l’avvocato.– Le fattispecie incriminatrici sono anzitutto l’art.640 cp (reato di truffa, inteso in modo per così dire classico). E l’art. 640 ter cp (reato di frode informatica), nonché l’art.167 del Codice della privacy. Tutte norme da leggere in combinato disposto, all’occorrenza, con l’art.615 ter cp (“Accesso abusivo ad un sistema informatico o telematico”).”
“Il delitto di truffa prevede l’induzione in errore della vittima mediante artifizi e raggiri. Mentre la frode informatica richiede solo l’alterazione del funzionamento di un sistema informatico o telematico. O anche l’intervento senza diritto su dati, informazioni o programmi contenuti in tali sistemi. Gli arresti giurisprudenziali sono sempre più vicini a ritenere qualsiasi atto ascrivibile al fenomeno di phishing rientrante nella fattispecie di cui all’art.640 ter, quindi alla frode informatica. Questo, per ragioni di difficoltà di individuazione e di conseguente necessità di punibilità.”
La pena del reato da phishing, truffa e frode informatica
“Sia la truffa che la frode informatica sono reati punibili a querela della persona offesa. Nelle ipotesi aggravate, sia di truffa che di frode informatica è sufficiente la denuncia. Nell’attesa, per molti non necessaria, che il legislatore si impegni alla codificazione di una nuova figura criminosa tipizzata con le condotte in questione, la Corte di Cassazione, con la pronuncia n°9891 del 2011, contribuisce al fervore della querelle giurisprudenziale. Sulla fattispecie penale inerente al delitto di frode informatica, individuando la punibilità anche di colui che commette phishing.”- Ci spiegano puntualmente Diego e Cecchino Cacciatore.-
“I Giudici di legittimità innanzitutto chiariscono i rapporti intercorrenti fra l’art. 615 ter c.p. e l’art. 640 ter c.p.. Affermando che possono formalmente concorrere i reati di accesso abusivo a un sistema informatico e di frode informatica, dal momento che, come si legge nel testo della pronuncia “i suddetti reati hanno diversi presupposti giuridici. E, quindi, ben possono concorrere”.”
“Si sottolinea che anche l’abusivo utilizzo di codici informatici di terzi (riferimento all’ “intervento senza diritto”) è idoneo ad integrare la fattispecie di cui all’art. 640 ter c.p. Ove quei codici siano utilizzati per gli scopi descritti dalla norma stessa. Pertanto è onere dell’interprete, in assenza di una norma penale tipizzata, di considerare la complessiva esplicazione del fenomeno in questione, svalutando automatismi sanzionatori di sorta.”- Concludono i professionisti.
