Il phishing è una tipologia di truffa informatica che, sfruttando le tecniche di adescamento online, mira a ottenere informazioni e dati sensibili del malcapitato: è il caso di password, numeri della carta di credito, ma anche documenti di riconoscimento.
Il cybercriminale che si cela dietro l’email, l’sms oppure la telefonata, sfrutta l’immagine di uno pseudo-mittente che possa essere credibile agli occhi della vittima e che, per questa ragione “abbocchi all’amo” rispondendo alle istruzioni ricevute.
Vediamo nel dettaglio come funziona il phishing, quali sono i principali reati informatici connessi e come difendersi.
Cos’è il phishing
Parlare di phishing significa fare riferimento a una delle minacce informatiche maggiormente diffuse ma che, nonostante la sua notorietà, non smette di fare vittime.
Nonostante l’espressione "phishing" venga usata indistintamente, pur riferendosi a metodi differenti tra loro, è possibile distinguere tra:
- vishing (voice phishing), è il caso della truffa della chiamata proveniente da un numero straniero;
- smishing, si tratta di una trappola intenta sfruttando l’utilizzo di SMS fraudolenti e solitamente provenienti da istituti bancari, operatori telefonici, poste oppure corrieri;
- QRishing, ovvero l'adescamento della vittima passa per il collegamento ad un QR Code alterato che conduce l’utente a un successivo sito internet fraudolento;
- tecniche di social engineering, sfruttando il potere di persuadere la vittima suscitando empatia con un’esca, come attraverso l’invio di messaggi e email descriventi un problema familiare, così da indurla a disporre un pagamento, a collegarsi a siti internet, installare programmi o effettuare l’accesso su portale.
Come funziona il phishing
Il malintenzionato si serve della rete internet per sfruttare la credibilità di un dominio oppure del nome da cui intende inviare il messaggio di posta elettronica, la telefonata ecc. per far cadere nella sua trappola il malcapitato.
Sostanzialmente la vittima riceve una comunicazione (per esempio, un messaggio di testo) dal cybercriminale che finge di essere la Banca, la Polizia, l’Ufficio Postale, un’Istituzione Governativa o anche un collega.
Il messaggio o l’email spesso contengono informazioni che possono spaventare la vittima e la richiesta di cliccare su un link (visitando quindi un sito web) per rimediare alle conseguenze negative.
Il malcapitato però non sa che, una volta ceduto alla trappola e seguite le istruzioni, queste lo condurranno a inserire credenziali personali di vario tipo, come nome utente e password, oppure PIN e CVV della carta di credito/debito.
Come riconoscere il phishing e tutelarsi
E’ bene sapere come tutelarsi in caso di phishing.
In primo luogo, è consigliabile diffidare di email, messaggi di testo o telefonate che provengono da mittenti sconosciuti e che chiedono di seguire istruzioni (specie se approdano a richieste di denaro!).
Insomma, il buon senso deve essere la bussola e ciò perché i messaggi phishing hanno lo scopo di risultare assolutamente credibili (anche usando loghi, domini e font grafiche di pagine ufficiali), sebbene spesso lascino tracce di errori grammaticali grossolani o segni di punteggiatura casuali.
Successivamente, è sempre opportuno inviare una segnalazione alla Polizia Postale e denunciare il reato informatico.
A seconda delle conseguenze illecite conseguite dal cyber criminale è possibile che questi risponda di uno o più reati, come la frode informatica, la detenzione e diffusione abusiva di credenziali di accesso informatiche e altri.
Vediamo di seguito come è punito il reato di phishing e come difendersi.
Cosa si rischia per phishing
Il phishing può rientrare nel novero dei reati informatici, ovvero quella categoria di condotte illecite e penalmente rilevanti commesse avvalendosi dell’utilizzo di internet e apparecchi digitali in genere.
Ecco alcuni dei reati informatici che possono essere connessi al phishing.
Art. 494 c.p., Sostituzione di persona (online)
E’ il caso di chi si finga qualcun altro sui social, oppure crei indirizzo email sfruttando i dati altrui. Il reato è punito con la reclusione fino a 1 anno.
Art. 601 quater 1 c.p., Pornografia virtuale
Secondo la Corte di Cassazione, sez. II, 9 aprile 2018, sent. n. 15757: “Integra il reato di pornografia virtuale la produzione di materiale mediante la tecnica del fotomontaggio, con l'utilizzo del programma Photoshop, di un'immagine nella quale i volti reali dei minori sono sovrapposti a corpi di adulti intenti a pratiche sessuali”.
Art. 612 ter c.p., Diffusione illecita di immagini o video sessualmente espliciti
Si tratta del cd. revenge porn e intende punire chiunque invii video o altri contenuti erotici destinati a rimanere privati e senza il consenso della persona ritratta. Il reato è punito con il carcere da 1 a 6 anni e la multa da 5000 euro a 15.000 euro.
Art. 615 ter c.p., Accesso abusivo a un sistema informatico o telematico
Commette il reato chi, abusivamente, riesca a entrare in un sistema informatico o si introduca nello stesso contro la volontà del proprietario. La pena base è della reclusione fino a 3 anni, salvo circostanze aggravanti.
Art. 615 quater c.p., Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
Stiamo parlando del reato commesso da chi si procuri, detenga, diffonda, comunichi e non solo le credenziali o altri mezzi idonei all’accesso di un sistema informatico protetto. La pena è il carcere fino a 2 anni e la multa fino a 5.164 euro.
Art. 640 ter c.p., Frode informatica
Stiamo parlando del reato che intende punire chi alteri il funzionamento di un sistema informatico, attraverso programmi o altre metodologie, con lo scopo di arrecare un danno alla vittima e conseguire un ingiusto profitto personale. La pena è il carcere da 6 mesi a 3 anni e la multa da 51 a 1.032 euro, salvo circostanze aggravanti ulteriori.