Il phishing ed il suo inquadramento nel diritto penale italiano
Può esservi capitato di ricevere messaggi di posta elettronica, spesso scritti in un italiano sgrammaticato e con errori grossolani, emulanti comunicazioni provenienti da presunti istituti di credito bancari o postali, società come Paypal o altri enti eroganti servizi di consulenza, credito e mediazione. Si tratta di email che, per risultare ancora più credibili agli occhi del lettore, in alcuni casi riportano addirittura una riproduzione più o meno fedele del logo della società emittente.
La vittima del phishing viene invitata a fornire dati personali che consentano l’accesso ad informazioni riservate (ad esempio conti correnti bancari, password di accesso e codici di identificazione in genere) utilizzando come motivazione alla base di tali richieste perdita di dati, scadenza di parole di accesso, necessaria autenticazione allo svolgimento di operazioni particolari. A volte anche facendo riferimento a potenziali vincite nell’ordine di migliaia o addirittura di milioni di euro che comportino però il preventivo accesso al conto corrente d’appoggio del malcapitato.
Dal punto di vista normativo il nostro sistema penale non prevede una norma specifica che contempli il phishing. Per questo motivo tale condotta criminosa non costituisce ancora ipotesi punibile singolarmente ma deve essere “frazionata” per essere poi ricondotta ad altre norme già esistenti, sulla base dei principi della tipicità e della personalità del diritto penale. Queste norme possono essere, ad esempio, la falsificazione di comunicazione telematica, la truffa, il trattamento illecito di dati, l’accesso abusivo in un sistema informatico o telematico, la frode informatica.
In questo momento di “vuoto” normativo, la Cassazione, vedendosi sottoposta un caso rientrante in suddetta fattispecie, ha uniformato la giurisprudenza sul punto inquadrando la condotta tenuta da chi commette phishing nel delitto di frode informatica, individuando precisamente un elemento comune ad entrambe le fattispecie: si tratterebbe della modalità in cui vengono carpite le informazioni, dati in ogni caso contenuti in un “sistema informatico”. L’utilizzo abusivo di codici informatici di terzi, comunque ottenuti, contro la volontà dei relativi possessori, è infatti idoneo ad integrare la fattispecie di cui all’art. 640 c.p. ove le parole d’ordine d’accesso siano usate al fine di intervenire sui dati protetti “per procurare a sé o ad altri un ingiusto profitto”.
Per il momento resta a carico dell’interprete l’onere di considerare l’evento storico nel suo complesso, risalendo all’animus agendi del responsabile, considerandolo unitamente al comportamento tenuto dalla vittima. Tutto questo in attesa che il sistema penale italiano si adegui a quei comportamenti illeciti scaturenti dall’introduzione sempre incalzante di sistemi di comunicazione tecnologicamente avanzati.