Le problematiche di disciplina dei phishing attacks.
di Fabio Capone
A fronte della varietà delle tecniche realizzative descritte nell’articolo ”Le principali tipologie di phishing attack”, merita segnalare come in Italia manchi ancora una disciplina unitaria volta a sanzionare il phishing: nel nostro ordinamento non solo non è stata fornita una definizione del fenomeno[1], ma quest’ultimo neppure appare riconducibile, sotto l’aspetto punitivo, ad un’unica condotta illecita – seppur a matrice complessa – presentandosi così la necessità di individuare quelle fattispecie che, debitamente configurate, risultano suscettibili di applicazione alle diverse fasi in cui si articola il phishing attack.
Il delitto di sostituzione di persona.
Solitamente la condotta che si sostanzia nel “furto di dati identificativi” (identity theft) fraudolentemente raccolti e poi illecitamente utilizzati è stata riportata nell’ambito della disciplina dettata dall’art. 494 c.p., che la giurisprudenza di legittimità ha considerato applicabile anche qualora il reato venisse commesso in Internet[2].
Il delitto di sostituzione di persona ha perciò trovato adozione con riferimento a fattispecie quali la creazione ex novo di pagine web (puntualmente disconosciute dai legittimi proprietari) recanti dati personali, informazioni sensibili ed immagini di soggetti che non avevano dato alcun permesso alla loro pubblicazione, ovvero ai casi di acquisizione indebita dell’account personale e/o del profilo su piattaforme di social network (Facebook, Twitter, Instagram, etc.) rapportabili, tra l’altro, ad una condotta preliminare e qualificabile come accesso abusivo al sistema informatico dell’utente ai sensi dell’art. 615-ter c.p.
Nonostante la positività dei risultati raggiunti, la fattispecie in discorso ha acceso un vivace dibattito in dottrina, parte della quale ha mostrato di non condividerne l’applicazione al phishing a causa di alcuni ostacoli interpretativi ritenuti insormontabili, rilevati analizzandone la struttura:
- l’invio di una e-mail atta ad imitare loghi e siti di mittenti reali non significa necessariamente riferirsi alla sostituzione di una persona reale;
- l’utilizzo di credenziali di autenticazione per l’accesso a sistemi informatici o spazi virtuali esclusivi non corrisponde all’attribuzione di un «falso nome», un «falso stato» o una «qualità a cui la legge attribuisce effetti giuridici», in quanto non è il dato ad essere intrinsecamente falso, bensì è il soggetto che lo utilizza ad essere diverso da colui che ci si aspetta esserne il legittimato titolare;
- l’evento consumativo appare di difficile inquadramento giacché «l’induzione in errore» di taluno risulterebbe incompatibile od inapplicabile all’esecuzione automatizzata di richieste inoltrate a sistemi informatici. La circostanza per cui la condotta si rivolga in prima battuta all’elaboratore rimane, dunque, il punctum dolens, non essendo possibile sostenere che l’inserimento online di dati o di credenziali del soggetto passivo da parte dell’agente tragga in inganno il sistema informatico: quest’ultimo esegue unicamente le istruzioni impartitegli dalla persona fisica che lo utilizza, che per esso corrisponde a quella legittimata in quanto utilizzatore dell’«identità virtuale».
Altra dottrina ha invece sostenuto siffatte argomentazioni potenzialmente aggirabili, distogliendo l’attenzione dall’elaboratore elettronico e ripiegando sulla persona fisica effettivamente tratta in inganno. Invero, considerando il sistema informatico semplicemente come strumento dell’attività illecita e, in quanto tale, astrattamente assimilabile ad una missiva cartacea, una telefonata o ad un qualsiasi altro espediente, ne consegue che l’evento consumativo del reato di sostituzione di persona appare a tutti gli effetti sussistente: l’agente trae in inganno l’ignaro utente della rete, destinatario ad esempio di un messaggio inviato per posta elettronica, sostituendosi al legittimo mittente grazie all’utilizzo fraudolento dei suoi elementi distintivi quali il logo, il marchio, lo stile, i colori di scrittura e il nome. Pertanto delle due condotte che caratterizzano l’art. 494 c.p. la prima – l’induzione «di taluno in errore, sostituendo illegittimamente la propria all’altrui persona» – può considerarsi indipendente ed autonomamente rilevabile dalla seconda, in quanto non necessita di essere integrata anche dagli estremi dell’attribuzione «di un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici».
Anche argomentando in questi termini, tuttavia, permangono alcune perplessità in ordine all’elemento soggettivo del reato, dato che nel caso del phishing – di regola – l’agente non pone in essere la condotta con il fine precipuo di ingannare la persona offesa: scopo primario che guida la sua azione è invece il vantaggio patrimoniale che può derivare dall’utilizzo in prima persona o dallo sfruttamento commerciale dei dati, mentre l’inganno della vittima è solo un effetto secondario – benché necessario – come nell’ipotesi di furto aggravato dall’impiego dei mezzi fraudolenti.
Dal canto suo la giurisprudenza più recente, attenta agli aspetti sostanzialistici dell’interpretazione e agli effetti concreti in termini di tutela da apprestare al caso sottopostole al vaglio, non ha avuto dubbi nell’applicare la fattispecie ex art. 494 c.p. ai casi di phishing, ritenendo integrati gli estremi del reato di sostituzione di persona in quella che possiamo considerare la prima fase dell’attacco (setup e attack), ovvero il momento d’invio di messaggi di posta elettronica in apparenza provenienti da un mittente legittimo, attraverso i quali viene realizzata la “raccolta” o la “pesca” di dati riservati dell’utente.
La configurabilità dell’accesso abusivo al sistema informatico e della truffa.
Per quanto attiene alla seconda fase (collection e fraud), ossia al momento in cui l’utilizzo dei dati fraudolentemente carpiti sono utilizzati per realizzare un illecito profitto a mezzo di operazioni online, il panorama giurisprudenziale è piuttosto variegato. Molti giudici di merito si sono orientati verso l’applicazione del concorso dei reati di accesso abusivo al sistema informatico (art. 615-ter c.p.) e truffa (art. 640 c.p.): se la sussistenza del primo delitto non desta alcun dubbio, essendo pacifico che «l’illecita introduzione nel sistema informatico delle banche attraverso i dati, illecitamente acquisiti, relativi al conto corrente delle vittime che cadono nella trappola, integra il delitto ex art. 615-ter c.p.», qualche perplessità suscita la concorrenza del secondo delitto nel caso di utilizzo dei dati altrui raccolti con l’inganno per realizzare operazioni nella rete Internet[3].
L’argomentazione in parola, sebbene risulti solida da un punto di vista tecnico, appare tuttavia a tratti alquanto confusa: spesso sono stati ravvisati gli «artifizi e raggiri» ex art. 640 c.p. in un elemento tipico fondamentale del reato di cui all’art. 494 c.p. (l’invio di e-mail false o la creazione di false pagine web) contestato in concorso per punire la condotta nella prima fase, derivandone una qualche frizione con il principio del ne bis in idem sostanziale – ovvero divieto di attribuire due volte ad un medesimo autore un accadimento unitariamente valutabile dal punto di vista normativo – in quanto il disvalore della condotta di adescamento è già pienamente assorbito dal delitto di sostituzione di persona.
In un altro caso meno recente si è tentato di evitare di incorrere in una duplice sanzione del medesimo comportamento materiale contestando solo il delitto di truffa: il giudice ha così ravvisato gli estremi dell’induzione in errore del soggetto passivo nella condotta di riproduzione di siti web che costituiscono interlocutori abituali dell’utente medio dei servizi online, mentre gli artifizi e raggiri sono stati individuati nell’utilizzo di e-mail intestate dove sono riprodotti colori, marchi ed altre caratteristiche che si rinvengono nelle normali modalità di interazione tra soggetto passivo ed interlocutore legittimo[4].
Tale soluzione, basata su un’interpretazione meramente letterale di quanto disposto dall’art. 640 c.p., si scontra però con la tesi (maggioritaria) di chi sostiene come sia necessario che l’atto di disposizione patrimoniale, prodromico alla realizzazione dell’evento dannoso, sia compiuto dalla stessa persona che è stata indotta in errore, non essendo possibile quindi che lo spostamento sia posto in essere dal frodatore. Tuttavia la norma sul punto non è chiara e, pertanto, è astrattamente ammissibile anche la soluzione prospettata di considerare il solo delitto di truffa, pur ponendosi in contrasto con il ritenuto assetto tradizionale.
Anche la dottrina, nel tentativo di rinvenire nell’ordinamento una fattispecie legale adatta a queste condotte, si è interrogata a lungo circa la possibilità di applicazione del reato di frode informatica o di truffa. In un primo momento ha prevalso la tesi di configurare quest’ultima fattispecie sulla scorta di un’isolata analisi della materialità delle condotte dei primi attacchi di phishing: tale orientamento ermeneutico, infatti, ha evidenziato come non si potessero ritenere sussistenti gli elementi tipici del delitto di frode informatica in quanto l’attacco si sostanziava nell’utilizzo di artifizi o raggiri verso una persona fisica, cui seguiva la deminutio patrimonii, non concretizzandosi né la condotta di «alterazione del funzionamento di un sistema informatico», né quella di «intervento senza diritto su dati, informazioni o programmi contenuti in tale sistema».
Più recentemente, invece, un opposto orientamento è giunto ad accogliere una diversa impostazione, più tecnica ed atta a valorizzare il momento dell’utilizzo delle credenziali indebitamente acquisite: si è compreso come in molti attacchi di phishing sussistano gli estremi del delitto di frode informatica allorquando, ad esempio, si ponga in essere una condotta di «alterazione in qualsiasi modo» del sistema informatico o telematico con l’installazione fraudolenta di un malware o di un trojan horse in grado di funzionare in background e carpire in tal modo i dati, ovvero, «intervenendo senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico» si effettui, successivamente alla captazione fraudolenta delle informazioni altrui, operazioni di home banking o acquisti online[5].
Per la contestazione del delitto in parola, peraltro, mentre è sufficiente che sussista la manipolazione dell’elaboratore o del sistema telematico che permetta all’agente di captare quei dati sensibili necessari ad ottenere il vantaggio patrimoniale indebito causando il danno ingiusto, nell’ipotesi invece di chi interviene in maniera abusiva su un sistema informatico o telematico sfruttando illegittimamente quei dati “pescati” attraverso l’invio di e-mail copia o la creazione di siti web spoofed (imitazioni), la contestazione avverrà tendenzialmente in concorso con il delitto di sostituzione di persona (art. 494 c.p.): l’azione, in apparenza del tutto regolare, risulta in realtà illecita perché è stata realizzata da colui il quale non è stato in alcun modo legittimato, né dall’amministratore del sistema violato, né dal titolare dei dati frodati, avvenendo perciò «senza diritto» id est senza alcuna facoltà legittima.
Non può escludersi altresì la possibilità che si realizzino gli estremi del delitto di truffa: vi sarà in questo caso una contestazione caratterizzata da uno spazio d’intervento residuale, essendo riscontrabile nelle ipotesi di deminutio patrimonii realizzate con artifizi e raggiri, ma senza manipolare o intervenire in maniera non autorizzata su un sistema informatico o telematico[6].
La configurazione – in termini giuridici – della fattispecie successiva all’indebita captazione di dati potrà assumere persino la forma dell’indebito utilizzo di carte di credito o pagamento se l’agente dovesse porre in essere una delle condotte tipizzate all’art. 55, co. 5, d.lgs. n. 231/2007: da un lato, utilizzando i dati inerenti agli strumenti di pagamento per acquistare senza alcuna legittima facoltà beni o servizi, ovvero indebitando la posizione dell’ignaro titolare della carta; dall’altro, sfruttando gli stessi dati per creare e/o cedere, possedere o acquisire carte di credito o debito falsificate.
L’aggravante ad effetto speciale del delitto di frode informatica.
Con l’entrata in vigore del d.lgs. n. 93 del 14/08/2013, il panorama normativo si è successivamente arricchito dell’aggravante “ad effetto speciale” collocata al terzo comma dell’art. 640-ter c.p. che sanziona più gravemente – con la pena «della reclusione da due a sei anni e della multa da euro 600 a euro 3.000» – rispetto alle ipotesi indicate nei primi due commi[7], la frode informatica commessa con «furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti».
Si tratta di un’integrazione voluta dal legislatore per dimostrare una maggiore attenzione e protezione in favore delle sempre più numerose vittime di furti di dati sensibili online: la novella previsione sembra, infatti, essere stata creata “a misura di phishing”, almeno nei casi in cui ciò avvenga attraverso una manipolazione dei dati nell’elaboratore, mantenendo il focus della repressione penale sulla condotta cui è finalizzata la stessa sottrazione delle informazioni.
Se, dunque, la contestazione del delitto di cui all’art. 494 c.p. – diretta a sanzionare la prima fase del fenomeno in argomento – ha avuto il pregio di sfruttare le norme a disposizione per punire una condotta considerata pacificamente offensiva che altrimenti avrebbe corso il rischio di rimanere priva di presidio penalistico, tuttavia qualche incertezza aveva destato soprattutto per la difficoltà di rinvenire l’evento intermedio dell’«induzione in errore»: l’alternativa era la contestazione del solo delitto di truffa, snaturandolo però rispetto alla configurazione fattuale tradizionale e non rispondendo pienamente alla pericolosità della condotta informatica.
L’invio massivo di e-mail (spamming), il confezionamento di malware o trojan horse atti al recupero surrettizio di dati dall’elaboratore della vittima, la creazione di siti web spoofed quali server per il phishing, sono tutte condotte che permettono al phisher il «furto o indebito utilizzo di identità digitale in danno di uno o più soggetti»[8] e, dunque, strumentali alla realizzazione del profitto derivante dal depauperamento del patrimonio altrui. È evidente come ciò permetta una contestazione più aderente alla fenomenologia dell’offesa e una risposta sanzionatoria più rispondente al disvalore della condotta: non si tratta più di due fattispecie indipendenti commesse in concorso, né di una semplice ipotesi di truffa, bensì di un’offesa concernente un unico bene giuridico, un unico reato posto in essere attraverso una modalità particolarmente insidiosa che richiede un maggior rigore punitivo.
La contestazione ai sensi del 3° comma dell’art. 640-ter c.p. comporta quindi evidenti vantaggi, sia di natura procedimentale che sostanziale, quali:
- la possibilità di concentrare le indagini e la ricerca delle prove su un’unica fattispecie delittuosa e, quindi, un unico evento di reato;
- la procedibilità ex officio ed i limiti edittali più elevati rispetto al delitto di truffa, che rispondono maggiormente alla intrinseca gravità dello strumento d’offesa.
Il delitto di sostituzione di persona potrà allora trovare applicazione residuale in tutti quei casi nei quali la sottrazione o l’utilizzo fraudolento di informazioni altrui avvenga al fine di procurare a sé o ad altri un vantaggio di qualsiasi altra natura[9], recando contemporaneamente offesa alla fede pubblica, connotata da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi speciali. Poiché si tratta di artifizi che possono superare la ristretta cerchia di un determinato destinatario, il legislatore ha ravvisato in essi una costante minaccia alla fede pubblica e non soltanto alla fede privata o alla tutela civilistica del diritto al nome[10].
La Corte di Cassazione ha ritenuto, così, configurarsi il delitto di sostituzione di persona nella condotta di colui che crea ed utilizza un account ed una casella di posta elettronica servendosi dei dati anagrafici di un diverso soggetto inconsapevole, con il fine di far ricadere su quest’ultimo l’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete[11]. Come pure nel caso di colui che crea o utilizza un determinato profilo su un social network riproducente l’immagine della persona offesa, con una descrizione tutt’altro che lusinghiera e che, grazie alla stessa, usufruisce dei servizi del sito, consistenti essenzialmente nella possibilità di comunicare in rete con gli altri iscritti e di condividerne i contenuti[12]: l’evento di induzione in errore e il dolo specifico di ottenere un qualsiasi tipo di vantaggio, causando danno ad altri, sono pienamente configurati. Non sussistono, al contempo, gli elementi tipici essenziali della frode informatica perché manca l’indebito spostamento patrimoniale derivante da una manipolazione informatica cui consegua – per l’agente – una locupletatio iniusta a danno della persona offesa.
[1] I contributi più importanti al riguardo vengono forniti dalla giurisprudenza, sia di merito che di legittimità, che hanno definito il phishing come «quell’attività in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici e malware) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancari o postali che vengono rapidamente svuotati» (Cass. pen., sez. II, 11 marzo 2011, n. 9861).
[2] Cass. pen., sez. IV, 11 luglio 2014, n. 25774; Cass. pen., 9 novembre 2007, n. 46674, in cui aveva già mostrato di non considerare d’ostacolo all’applicazione della fattispecie di cui all’art. 494 c.p. lo strumento informatico, ritenendo sussistere invece la lesione alla pubblica fede in quanto le informazioni diffuse in Internet possono raggiungere una platea vastissima di soggetti: «oggetto della tutela penale è l’interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali. E siccome si tratta di inganni che possono superare la stretta cerchia di un determinato destinatario, così il legislatore ha ravvisato in essi una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome. […] nel caso in esame il soggetto indotto in errore non è tanto l’ente fornitore del servizio di posta elettronica, quanto piuttosto gli utenti della rete i quali, ritenendo di interloquire con una determinata persona (la T.), in realtà inconsapevolmente si sono trovati ad avere a che fare con una persona diversa».
[3] «Chi avvalendosi delle tecniche del c.d. phishing, mediante artifici e raggiri realizzati attraverso l’invio di false e-mail e la creazione di false pagine web in tutto simili a quelle di primari istituti di credito, dopo aver indotto in errore l’utente ed essersi fatto rivelare le credenziali di accesso, si introduca nel servizio di home banking della vittima per effettuare operazioni di prelievo o bonifico online non autorizzate risponde dei delitti di sostituzione di persona (art. 494 c.p.), accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.), truffa (art. 640 c.p.)» (Trib. Milano, 7 ottobre 2011, Pres. Pellegrino, Est. Corbetta).
[4] «Integra il delitto di truffa, e non quello di frode informatica, il conseguimento di un ingiusto profitto ottenuto attraverso l’invio di e-mail contraffatte nel mittente e tramite siti civetta (c.d. phishing) finalizzato al conseguimento di credenziali per il dirottamento dei fondi degli utenti di siti di home banking su carte prepagate o conti nella disponibilità di un’organizzazione criminale» (Trib. Milano, 10 dicembre 2007).
[5] Cass. pen., sez. II, 24 febbraio 2011, n. 9891.
[6] In Trib. Milano, 7 ottobre 2011, dopo aver argomentato la contestazione dei delitti di cui all’art. 494 c.p. e art. 615-ter c.p., i giudici così proseguono: «il phisher si rende responsabile anche del delitto di truffa, di cui ricorrono tutti gli elementi costitutivi: l’artificio o il raggiro, consistente, appunto, nell’invio di false e-mail e nella creazione di false pagine web; l’errore in cui cade il destinatario della mail, il quale ritiene provengano dalla banca di cui è cliente, così fornendo inconsapevolmente i dati di accesso del proprio conto corrente; l’ingiusto profitto con correlativo altrui danno, rappresentato dalle somme di denaro illecitamente sottratte dal conto corrente della vittima».
[7] Al 1° comma è prevista la punibilità «[…] con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032»; al 2° comma «la pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 […]».
[8] Interpretando il concetto di identità digitale in senso lato come qualsiasi insieme di informazioni, credenziali o dati reperibili in un sistema informativo o telematico utili ad individuare nello stesso un’unica persona fisica, quale titolare legittimo degli stessi.
[9] Nell’art. 494 c.p. il legislatore sceglie di utilizzare la dicitura «procurare a sé o ad altri un vantaggio», non un profitto, a testimonianza della differenza concettuale sottesa alle due espressioni. L’utilizzo del termine «vantaggio», infatti, amplia notevolmente i confini della fattispecie, rendendola applicabile a tutte quelle ipotesi in cui l’agente ottenga dalla propria condotta illecita un beneficio di qualsiasi natura, non necessariamente patrimoniale. L’utilizzo del termine «profitto», nella fattispecie di cui all’art. 640-ter c.p., conferisce alla stessa una connotazione prettamente patrimoniale.
[10] Cass. pen., sez. IV, 16 giugno 2014, n. 25774.
[11] Cass. pen., sez. III, 15 dicembre 2011, n. 12479.
[12] Cass. pen., sez. IV, 16 giugno 2014, n. 25774; Cass. pen., V, 28 novembre 2012, n. 18826; Cass. pen., sez. V, 8 novembre 2007, n. 46674.
Bibliografia
Roberto Flor, Phishing, identity theft e identity abuse: le prospettive applicative del diritto penale vigente, in Riv. It. Dir. Proc. Pen., 2007.
Fiandaca, E. Musco, Diritto penale, Parte generale, VI ed., Bologna, Zanichelli Editore, 2009.
Autore