Il Phishing

Ai sensi della definizione fornita dalla Suprema Corte54, il phishing è “quell'attività illecita in base alla quale, attraverso vari stratagemmi

(o attraverso fasulli messaggi di posta elettronica, o attraverso veri e proprio programmi informatici e malware) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (username e password)di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito nell'accedere a conti correnti bancari o postali che vengono rapidamente svuotati”. Nella relativa sentenza, la

Cassazione ha avuto modo di rigettare il ricorso di legittimità nei

52 Con riguardo alla primaria formulazione di cui alla l. 197/1991, Cass. Sez. V., 28.02.1996 Borelli.

53 Cass. Sez V, 26.03.1996 Aguiari 54 Cass., pen., Sez. II, n. 9891

confronti delle sentenze di condanna riguardo a un hacker che, acquisiti i codici di accesso del conto corrente di un cliente di Poste Italiane tramite il phishing, era riuscito ad introdursi nel sistema informatico delle Poste trasferendo una ingente somma di denaro da tale conto al proprio. La tecnica in questione è denominata “phishing”55 e ha una pluralità di declinazioni con le quali viene concretamente messa in atto. Generalmente si concreta nell'invio di email “confezionate” in modo da apparire verosimili presentando loghi di poste, banche e altri istituti.

Nei messaggi vengono rappresentati importanti motivi di urgenza (quali possono essere il trasferimento sospetto di somme di denaro o la possibile perdita delle proprie credenziali di accesso che hanno portato ad un precauzionale blocco del conto corrente), invitando il ricevente a cliccare su un link in modo da accedere alla propria area riservata. Molto spesso il phisher non ha modo di conoscere se sussiste o meno il rapporto di clientela tra la banca,l'istituto o le poste e il soggetto passivo. In pratica, difatti, procede per tentativi inviando un numero consistente di mail ad una pluralità di soggetti, aumentando le probabilità di “pescare il soggetto giusto”.

Il link contenuto nella mail porterà ad una pagina web contraffatta molto simile alla sua controparte originale e in essa l'utente effettuerà il log-in, svelando così le proprie credenziali ai phishers.

A tal punto, questi provvederanno a sottrarre la provvista dal conto e si aprirà una seconda fase dell'operazione criminosa avente lo scopo di far perdere le proprie tracce e, al contempo, preservare il denaro. Entrerà dunque in gioco anche la figura del c.d. financial manager ovvero colui attraverso il quale le somme prelevate dai phishers

55 Sulle origini di tale termine non vi sono varie teorie anche se elemento costante di esse è la derivazione dal termine “fishing” (pescare). Emblematica è l'immagine dell'hacker che si pone l'obbiettivo di far “abboccare all'amo” la vittima.

vengono accreditate sul proprio conto corrente per poi essere trasferite, in via definitiva, all'estero.

Non solo in giurisprudenza ma anche in dottrina appare idoneo, in mancanza di una fattispecie ad hoc, l'integrazione del reato di truffa informatica di cui all'art. 640 ter.

La Cassazione infatti ha affermato che il phishing integra la condotta di intervento abusivo (ovvero senza diritto) su un sistema informatico poiché “ l'abusivo utilizzo di codici informatici di terzi (“intervento

senza diritto”) – comunque ottenuti e dei quali si è entrati in possesso all'insaputa o contro la volontà del legittimo possessore (“con qualsiasi modalità”) - è idoneo ad integrare la fattispecie di cui all'art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sé o ad altri un ingiusto profitto”.

Inoltre ha ammesso la possibile configurabilità del concorso dei delitti di frode informatica e accesso abusivo ad un sistema informatico o telematico.

Di grande interesse è anche l'impostazione teorica56 secondo la quale la condotta del phishing consentirebbe di realizzare il concorso tra frode informatica e truffa. La ratio della teoria si basa sul fatto che l'agente da una parte integra la condotta, consistente negli “artifizi e raggiri”, inducendo in errore la vittima, tipica dell'art. 640 c.p., dall'altra vi sarebbe l'intervento senza diritto nel sistema informatico della banca o delle poste (una volta inserite le credenziali abusivamente carpite). Tramite queste condotte, il reo conseguirebbe proprio quell'ingiusto profitto e quell'altrui danno che sono elementi peculiari di entrambe le fattispecie.

56 L.BOVINO, www.antiphishing.it/phishing_/il phishing-come-reato-informatico- la-frode-informatica

Ultimo punto meritevole di analisi è quello concernente il financial manager. La domanda è se siano contestabili nei suoi confronti i reati di cui all'artt. 648 e 648 bis c.p.. Il phisher, acquisiti i codici di accesso, ha necessità di ripulire le proprie tracce e la via prescelta è quella di una serie di trasferimenti bancari per mezzo di, molto spesso, ignari soggetti. Questi vengono convinti poiché si prospettano opportunità di guadagni facili (di solito, tramite corrispondenza, il phisher fa ricorso a loghi e nomi di imprese affidabili). Viene chiesto loro di ricevere un bonifico sul conto corrente di cui sono titolari e di trasferire in seguito la somma su altri conti.

La problematica assume particolare rilievo nei casi in cui sia da escludere la sussistenza del dolo intenzionale o diretto. E' pacifico in giurisprudenza che, se il financial manager era invece consapevole dell'attività criminosa del phisher, risponderà a titolo concorsuale degli stessi reati realizzati da quest'ultimo (artt. 494, 615 ter, 640 ter c.p.).Se la ignora, ma ha la consapevolezza della loro illecita provenienza, potrà rispondere di ricettazione ,se si è limitato a ricevere le somme di denaro; o di riciclaggio se le ha trasferite all'estero con modalità idonee ad ostacolare l'identificazione della loro provenienza57 delittuosa . In questi casi il dolo potrà dirsi sussistente se il financial manager si è rappresentato l'eventualità della provenienza criminosa del denaro e, malgrado ciò, lo abbia ricevuto e trasferito secondo i dettami del phisher. Va ricordato che è possibile configurare, in tale ipotesi, anche il dolo eventuale purchè esso sia desumibile dalla presenza di “dati di fatto inequivoci” e non semplici motivi di sospetto58.

57 S. BATTAGLIA , Criminalità informatica al tempo di internet: rapporti tra

pshing e riciclaggio, Altalex 18 settembre 2013

Sezione seconda

(reati contro la fede pubblica)

2.2 Il falso informatico

2.2.1 Il falso informatico: dalla prassi giurisprudenziale alla modifica del 2008

L'art 491 bis c.p., avente ad oggetto il reato di falso informatico, è stato introdotto dalla legge n. 547 23 dicembre 1993 per poi essere modificato dall'art. 3 della legge di ratifica della Convenzione del Consiglio d'Europa sul Cybercrime del 18 marzo 2008. La norma ha lo scopo di prevedere una risposta sanzionatoria di natura penale per le falsità concernenti i documenti informatici, sia pubblici che privati, tutelando il bene giuridico della fede pubblica da intendersi come affidamento della collettività sulla genuinità di determinati documenti e nei fatti in essi rappresentati59. E' interessante notare come in ambito giurisprudenziale non si sia riscontrato un vero carattere innovativo nella disposizione in esame. Infatti già prima della legge 547, veniva sostenuto sia dalla giurisprudenza di legittimità che da quella di merito che le falsità relative ai documenti informatici dovevano ricevere tutela sulla base delle norme in materia di falsità di atti60.

L'art. 491 bis c.p. presentava una definizione di documento informatico: “qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati ad elaborarli”. Una descrizione che poneva non pochi

59 C.SANTORIELLO E AA.VV., op.cit., , pag 28

60 v. Cass., Sez V 24 novembre 2003, Russello ed altro ; Cass.,Sez.V 18 giugno 2001 Balbo

problemi: la scelta poco felice del termine “supporto” tendente a richiamare l'idea del supporto fisico in cui era contenuto il documento più che il documento stesso, l'inserimento dei programmi difficilmente assimilabili a dei veri documenti.

Nel 2008 viene soppressa tale definizione ma ciò non comporta certo un depotenziamento sotto il profilo sanzionatorio dato che la nozione di documento informatico viene individuata dal d.lgs. 7 marzo 2005 n. 82, il c.d. Codice dell'amministrazione digitale all'art. 1 lett. p) e questo è descritto come “la rappresentazione informatica di atti,fatti o dati giuridicamente rilevanti”. E' da menzionare anche la eliminazione del riferimento ai programmi premesso che, anche senza tale elisione, sarebbe stato quanto meno azzardato considerarli dei documenti aventi efficacia probatoria. Questo non significa, come affermato in precedenza, che l'integrità dei programmi non trovi tutela nel nostro ordinamento in quanto sono presenti le fattispecie relative al danneggiamento informatico ex art. 635 bis e 635 ter c.p..

2. 2.3 La richiesta di efficacia probatoria del documento informatico e natura del documento: aspetti definitori

La norma in questione non fornisce nessuna definizione in merito alla efficacia probatoria richiesta e in dottrina è stato suggerito di analizzare, a tal proposito, le disposizioni previste dal Codice dell'amministrazione digitale, per la precisione dagli art 20 e segg. aventi oggetto proprio la rilevanza probatoria dei documenti informatici.

Oltre a ciò, è cruciale giungere a fornire i presupposti affinchè un documento possa dirsi pubblico o privato. In relazione a siffatta problematica, la Suprema Corte ha fornito delle utili indicazioni in

merito61. Preliminarmente, viene precisato che l'estensione del concetto di documento pubblico presenta senz'altro una ampiezza maggiore rispetto a quanto desumibile dall'art. 2699 c.c. perché devono essere ricompresi, oltre ai documenti stilati, secondo le formalità prescritte, da parte di un notaio o di un qualsiasi altro pubblico ufficiale autorizzato ad attribuirvi pubblica fede, quei documenti formati da pubblico ufficiale o dal pubblico impiegato incaricato di pubblico servizio nel corso nell'esercizio delle sue funzioni o del suo servizio, attestanti fatti da lui compiuti o avvenuti in sua presenza e aventi attitudine ad assumere rilevanza giuridica62. E' importante, al contempo, ricordare che non tutti gli atti compiuti da questi soggetti sono, in via automatica, da considerarsi atti pubblici: sarà sempre necessario un nesso tra l'attività falsificatrice e l'esercizio delle pubbliche funzioni o del pubblico servizio. Proprio basandosi su questo principio, la Cassazione ha escluso l'applicabilità degli artt. 479 e 491 bis c.p. nell'ipotesi di falsificazione del badge attestante la presenza di pubblici dipendenti sul luogo di lavoro poiché riferibili a circostanze (la presenza a lavoro) inerenti la disciplina privatistica e non dichiarazioni concernenti l'attività della pubblica amministrazione. Secondo questa lettura interpretativa, sarà documento pubblico solo nel caso in cui la sua redazione sia manifestazione dell'esercizio della pubblica funzione o di un pubblico servizio63.

Per quanto concerne l'aspetto relativo alla procedibilità, nell'ipotesi in cui la falsità abbia ad oggetto un documento non pubblico bensì privato, i reati (da intendersi frutto del combinato disposto dell'art. 485 e dell'art. 491 bis c.p.) saranno procedibili a querela della persona

61 Cass., s.u. 11 Aprile 2006 n.15983

62 C.SANTORIELLO E AA.VV., op.cit.,, pag 33

63 Sulla base di ciò è stata affermata la natura di atto pubblico, ai fini dell'applicabilità della norma in esame, al supporto informatico contenente il curriculum universitario dello studente, v. Cass., Sez V 6 marzo 2008 Abrami.

offesa. Giova sottolineare che in dottrina si tende ad includere in tale nozione non solo il titolare del documento falsificato ma in generale chiunque abbia ricevuto un danno dall'utilizzo di tale documento.