01 mag 2008

La rilevanza penale del "phishing"

InItalia non esiste attualmente una disciplina giuridica specifica che consideri il c.d. phishing reato (per maggiori informazioni sul piano fenomenologico vedi il sito di APWG nonchè i riferimenti bibliografici a fondo pagina). Potrebbero essere astrattamente applicabili diverse fattispecie penali. Ma, al fine di individuare la rilevanza penale del fenomeno è necessaria una distinzione sistematica delle diverse fasi in cui si sviluppa, ossia: fase 1: invio di un messaggio di posta elettronica, contenente il link di indirizzamento alla pagina web non autentica, diretto ad indurre un soggetto utente o fruitore di un servizio on line a rivelare informazioni personali di carattere riservato; fase 2: “raccolta” o “pesca” dei dati riservati del soggetto utente o fruitore del servizio on line tramite tale sito, ovvero attraverso un form da compilare contenente le stringhe corrispondenti alle informazioni personali richieste; fase 3: utilizzo delle informazioni raccolte per accedere abusivamente ai servizi on line o ad aree riservate, o per utilizzare indebitamente carte di credito o di pagamento, realizzando un profitto.
Non vi è dubbio che, almeno con riferimento alla prima fase, potrebbe trovare applicazione l'art. 494 c.p. (sostituzione di persona). Vi sono però dei limiti applicativi. Anzitutto, l’invio di un’ e-mail che imiti il look and feel di loghi e siti di mittenti reali, non significa che il riferimento sia indicativo o distintivo di un mittente “persona fisica”. In secondo luogo, l’ uso on line degli estremi identificativi di una persona reale non corrisponde tout court all’ attribuzione tipizzata di un “falso nome”, un “falso stato” o una “qualità a cui la legge attribuisce effetti giuridici”.
Altre fattispecie applicabili potrebbero essere quelle previste dall'art. 640 ter c.p. (frode informatica) e dall'art. 640 c.p. (truffa). Con riferimento a quest'ultima si devono rilevare evidenti limiti applicativi, in specie legati all'elemento implicito della fattispecie costituito dalla "disposizione patrimoniale".
Ulteriori norme applicabili sono quelle previste: dall'art. 615 ter c.p. (accesso abusivo a sistemi informatici o telematici) nell'ipotesi in cui il phisher si introduca senza autorizzazione in "spazi informatici" altrui; dall'art. 615 quater c.p. (detenzione di mezzi di accesso a sistemi informatici o telematici) quando il phisher si procura abusivamente (se non "fraudolentemente") gli estremi identificativi e le credenziali di autenticazione di un soggetto; dall'art. 167 Codice Privacy (trattamento illecito di dati).
Nel caso di utilizzo indebito di carte di credito e di pagamento non vi sono dubbi sulla configurazione del reato previsto dall'art. 12 della l. n. 197/91.
Nelle ipotesi di phishing c.d. "misto", ossia quando sono coinvolti terzi soggetti oltre al phisher, vi sono degli spazi applicativi per il delitto previsto dall'art. 648 bis c.p. (riciclaggio).
La recente legge n. 48/2008, di ratifica della Convenzione Cybercrime, non ha risolto la lacuna di tutela e nemmeno ha provveduto ad un'auspicata razionalizzazione del sistema del diritto penale dell'informatica.
Il c.d. phishing, de jure condito, non è ancora considerato quale fenomeno "unitario" ed allo stesso modo non lo è il c.d. "identity theft".
La tematica ha assunto ormai da alcuni anni rilevanza internazionale.
Peccato che il legislatore italiano non se ne sia ancora accorto, pur a fronte di un'esponenziale crescita del fenomeno.

DESIDERI APPROFONDIRE QUESTO TEMA?
Ecco alcuni riferimenti utili:

CAJANI, Profili penali del phishing, in Cass. pen., 2007, 2294

FLOR, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899


APWG - anti phishing working group

Counter eCrime Operation SummitII

Nessun commento:

Chi legge il mio blog - Blog Visitors