La frode informatica tramite phishing

Spinti da numerose richieste, approfondiamo quelli che sono i rischi che corrono, dal punto di vista legale, coloro che utilizzano queste tecniche per “carpire” i dati sensibili agli utenti.

Cos’è il phishing

Il phishing è una frode (solitamente on-line) ideata allo scopo di sottrarre con l’inganno numeri di carte di credito, password, informazioni su account personali.

E’ attuato generalmente tramite e-mail si basa sull’invio da parte di un malintenzionato di e-mail che sembrano provenire da siti web autentici o noti i quali richiedono all’utente bersaglio l’inserimento di informazioni personali.

Su Facebook si assiste anche a un altro fenomeno: tramite l’inganno (solitamente una bugia definita “plausibile”, come ad esempio “Registrati per evitare di pagare Facebook da una certa data”) si inseriscono link collegati a pagine esterne, dove l’utente è invitato a digitare, in campi predisposti, la propria email, la password, nome, cognome o numero di telefono (solitamente del cellulare).

Chi mette in atto questa tecnica “ingannatoria” può incorrere in due tipi di reato:
Violazione della Legge sulla Privacy
Frode informatica
Abbiamo scritto “può” incorrere, perchè il phisher incorre nella violazione del decreto legislativo n. 196 del 30 giugno 2003, denominato “Codice in materia di protezione dei dati personali” (entrato in vigore il 1 gennaio 2004) se utilizza tali dati sensibili raccolti con l’inganno, e rischia anche il secondo reato solo se, grazie alla sua attività, provoca un danno economico all’utente raggirato.

La Legge sulla Privacy

Molti sono i diritti e i doveri legati a questa normativa (per il testo completo, vi rimandiamo al sito del garante per la privacy).

Cerchiamo di sintetizzarli, almeno per ciò che riguarda quanto può accadere in un social network.

L’utente ha il diritto di sapere CHI (e DOVE) gestisce i propri dati e lo SCOPO della raccolta
Deve ricevere una richiesta di consenso informato e sottoscriverla
Può procedere alla modificazione o cancellazione dei propri dati in qualsiasi momento

D’altro canto, il gestore dei dati DEVE:

Trattare in modo lecito e corretto i dati a sua disposizione
Raccoglierli per scopi legittimi e solo quelli precedentementi indicati
Aggiornarli, dove necessario
Conservarli in una forma idonea, per un periodo di tempo non eccedente al richiesto

e soprattutto…

I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Qualunque violazione a tale normativa comporta sanzioni amministrative e/o penali.

La frode informatica

Secondo il Codice Penale, oltre all’ipotesi delittuosa della truffa, il phishing presenta gli estremi di un altro reato: la frode informatica (art. 640 ter C.P.).

Il reato di frode informatica, (varie sentenze della Cassazione, e in particolare Cass. sez. IV, 4-10-1999, n. 3056) ha la medesima struttura, e quindi i medesimi elementi costitutivi, della truffa, distinguendosi solamente perché l’attività fraudolenta del malintenzionato investe non una persona, bensì un sistema informatico.

In poche parole, diventa truffa nel momento in cui i dati carpiti vengono utilizzati per un ritorno economico ai danni dell’interessato e a favore del phisher.

La norma relativa al reato di frode informatica, (art. 640 C.P.), punisce chiunque «intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a sé o ad atri un ingiusto profitto con altrui danno».

Quindi il phisher, carpendo ad esempio i dati di utenti di istituti di credito ed accedendo ai rispettivi account, agisce all’interno del sistema informatico dell’istituto di credito senza averne alcun titolo, e, nel caso in cui sottragga, o comunque manometta, i valori rinvenuti all’interno dell’archivio incorre negli estremi del reato previsto dall’art. 640 ter C.P.

Il reato di frode informatica presenta numerose analogie con quello di truffa: identico trattamento sanzionatorio (da 6 mesi a 3 anni insieme a una multa da 51 a 1032 euro), e analoga differenziazione tra un’ipotesi delittuosa semplice ed una aggravata dagli stessi elementi previsti dal secondo comma dell’art. 640, e con lo stesso richiamo alla procedibilità a querela in caso di ipotesi semplice legato o procedibilità d’ufficio nell’ipotesi aggravata.
Anche il trattamento sanzionatorio previsto per l’ipotesi aggravata della frode informatica è identico rispetto a quello previsto dall’art. 640 C.P. per la truffa aggravata, cioè prevede una reclusione da 1 a 5 anni e una multa da 309 a 1.500 euro.

Come difendersi

1- Non fornite dati personali tramite e-mail o in siti sconosciuti
Se avete cliccato su link esterni consigliati in pagine o gruppi, e vi vengono richiesti dati personali senza le modalità previste dalla Legge, segnalate la situazione a Facebook

2- Aggiornate antivirus, antispyware e sistema operativo del vostro pc
Cliccare su link proposti comporta dei rischi, da cui dovete tutelarvi. Molti software dedicati alla sicurezza vi permettono una maggiore tranquillità SOLO se attivi e costantemente aggiornati.

3- Siate sempre sospettosi e cauti
Se ritenete di aver ricevuto un e-mail sospetta, provate a controllare il nostro archivio dove abbiamo raccolto diverse tipologie di messaggi utilizzati dai malintenzionati; il passo successivo è quello di denunciare immediatamente la frode all’azienda contraffatta stando attenti a NON utilizzare i collegamenti presenti all’interno dell’e-mail ricevuta.

Nel caso in cui vi accorgiate di essere vittime di una truffa, contattate il sito della Polizia di Stato: dopo una semplice procedura di registrazione sarete in grado di segnalare quanto vi è successo, e consigliati circa le procedure da adottare.

SeeYouSoon
—————–
(Licenza Creative Commons) Alcune frasi liberamente tratte da:
www.anti-phishing.it

Altre info:
LEGGE SULLA PRIVACY: come vi convincono a farne a meno
ATTENZIONE: dilaga il PHISHING su Facebook
PHISHING: Attenzione ai link che vi portano a questa pagina
Il Phishing: conoscerlo per combatterlo (ed evitare truffe)

P.S. Se gradite le nostre note, cliccate cortesemente su MiPiace: capita infatti che alcuni individui le segnalino come offensive e le facciano sparire. Questa brutta abitudine è contrastabile SOLO manifestando il proprio gradimento tramite il MiPiace e la condivisione (se il gradimento è reale, naturalmente).

Nota a cura di Claudio Cerroni (Hunch – Assistenza e Consulenza Informatica).

Iscriviti alla nostra PaginaAggiornamenti per essere sempre aggiornato sui problemi di Facebook. Se vuoi ricevere le nostre note anche nella posta (per non fartele sfuggire), iscriviti anche al gruppo CheckOnLine.

CheckBlackList | PaginaAggiornamenti | News | Facebook | Toolbar | WorkingOn