Le ultime notizie di cronaca confermano che ancora oggi il phishing rimane la truffa online più utilizzata e redditizia, ed è per questo motivo che su internet troviamo migliaia di guide e avvertenze per evitare di cadere in una trappola del genere.
La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.Clicca qui per leggere tutti i contributi.
Volendo descrivere i momenti chiave dell’illecito sopra richiamato, vediamo che lo stesso si divide in due momenti. Per prima cosa il truffatore manda nella casella di posta elettronica del malcapitato una mail che sembra provenire dalla sua banca, dicendogli che si è verificato un problema con il conto. Il piano prosegue chiedendo al malcapitato di cliccare il link presente nella mail, proprio per entrare nel proprio conto corrente e risolvere la suddetta problematica. Infine, il malcapitato digiterà le proprie credenziali del conto sulla nuova finestra che gli si aprirà cliccando sulla mail. A questo punto il gioco è fatto e il malcapitato vede svuotato il conto.
Solo per avere un’idea, il dipartimento del tesoro nel suo rapporto statistico sulle frodi con le carte di pagamento pubblicato dal ministero dell’economia e delle finanze, rileva che nel secondo semestre del 2013 le transazioni non riconosciute per un utilizzo fraudolento della carta in internet è aumentato dal 30 al 38%, diventando la modalità principe per le transazioni derivanti da frode. È proprio per questi motivi che anche Google ha pubblicato uno studio, osservando che i migliori siti di phishing, quindi le copie esatte ad esempio dei maggiori siti di internet banking, funzionano il 45% delle volte e che il 14% degli ignari utenti fornisce le proprie credenziali del conto.
Incredibile, poi, l’aspetto delle tempistiche con cui vengono attuate le condotte illecite. Una volta carpiti i codici, infatti, l’account dell’utente viene compromesso, nel 20% dei casi, entro i primi trenta minuti.
Se sono stati scritti fiumi di parole in merito all’illecito sopra descritto, che è bene ricordare nel nostro ordinamento è punito attraverso la combinazione di svariate fattispecie, in pochi, invece, hanno approfondito il momento successivo alla commissione dell’illecito. In altre parole ci si chiede: di cosa può rispondere penalmente colui che riceve le somme di denaro provento di phishing?
A riguardo, possibili risposte possono essere tratte da due recenti pronunce di merito del Tribunale di Milano, n. 2507 del 10 aprile 2013 (gup Ferraro) e la n. 6753 del 28 maggio 2013 (giudice Bernazzani), le quali confermano che in questi casi gli scenari aperti sono molteplici.
Se da un lato, infatti, si potrebbe optare per un concorso di reati, quali la sostituzione di persona (594 c.p.), l’accesso abusivo ad un sistema informatico e telematico (615 ter c.p.), la truffa (640 c.p.), e in con qualche criticità la frode informatica (640 ter c.p.), dall’altro occorre vedere quando può essere attribuita al soggetto una responsabilità per il reato di ricettazione (art. 648 c.p.).
Il quid che permette di scegliere l’una o l’altra soluzione è rappresentato principalmente dall’accertamento in sede dibattimentale della consapevolezza in capo al soggetto ricevente il denaro “sporco” della natura di provento da illecito. Più semplicemente alle parti del processo toccherà l’arduo compito di verificare se il soggetto che riceve il denaro era a conoscenza e abbia contribuito alla realizzazione del complesso piano di truffa telematica.
Certo, tale livello di accertamento è alquanto arduo, considerato che di solito si parte dalla querela della vittima e le indagini sono più indirizzate all’identificazione dell’autore del phishing. Possono però verificarsi dei casi in cui, all’interno di procedimenti più articolati come ad es. quelli in tema di criminalità organizzata, a seguito di attività di intercettazione, vengano acquisiti elementi probatori che permettono di provare l’esistenza di un disegno criminoso unitario.
Nel caso deciso dal gup di Milano si è dedotta la conoscenza dell’intero progetto criminoso dal fatto che il soggetto ha ricevuto tramite ricarica (priva di causale) su una sua carta prepagata le somme sottratte illecitamente e la stessa carta è stata attivata poco tempo prima della realizzazione del più ampio progetto di phishing.
Viceversa, si concluderà per l’ipotesi della ricettazione ogniqualvolta non sussistano elementi probatori che permettano di avvalorare un concorso nel reato presupposto o che il soggetto fosse a conoscenza del modus operandi dei phishers. In questo senso ha optato la seconda pronuncia del Tribunale di Milano sopra richiamata, la quale ha deciso in merito alla condotta di un soggetto che riceve da terzi solo la richiesta di farsi accreditare, dietro compenso, delle somme sulla propria carta ricaricabile, per poi ritrasferirle agli autori del reato presupposto, rimanendo totalmente estraneo alla condotta di phishing.
Perché è importante inquadrare la condotta in una fattispecie esatta?
La risposta è semplice perché tra l’una e l’altra ipotesi vi sono numerose differenze, sostanziali e processuali.
Primariamente, la pena che può essere inflitta. Il nostro codice penale, infatti, punisce i reati di frode informatica, truffa e accesso abusivo ad un sistema informatico, escluse le aggravanti, con la reclusione da sei mesi a tre anni per i primi due e con la reclusione fino a tre anni il terzo. La ricettazione, invece, è punita con la reclusione da due a otto anni. Senza dimenticare che la differente pena comporta anche differenze sul calcolo dei termini di prescrizione.
Continuando, se il gruppo di reati contestati in caso di phishing sono punibili a querela della persona offesa, questo non vale anche per la ricettazione, che è sempre procedibile d’ufficio.
Occorre, poi, approfondire la problematica della competenza territoriale. Si ricorda, invero, che alla luce delle Sezioni Unite in tema di accesso abusivo ad un sistema informatico o telematico, oggi è competente il giudice del luogo in cui si trova il soggetto che effettua l’accesso e non più quello del luogo in cui è situato il server del sistema. Viceversa, il delitto di ricettazione si consuma nel luogo in cui il soggetto riceve il denaro provento di phishing, quindi nel caso di carte ricaricabili lo sportello o l’ufficio postale/bancario.
