Phishing: da alcuni anni è uno dei nemici dei possessori di computer, gli inglesi lo definiscono “spillaggio di dati sensibili”. In termini più semplici, accade che vengano captati i dati sensibili di una persona a scopo di furto d’identità e sia i computer di aziende sia quelli dei privati sono esposti a questo tipo di rischi.

Ne abbiamo parlato con Luca Bovino, responsabile area legale del portale on- line ‘Antiphishing’ che da alcuni anni studia il fenomeno, consigliando anche come prendere le giuste misure per non cadere nella “morsa” della frode informatica.

Com’è nata l’idea di fondare il portale on- line ‘Antiphishing’?
L’idea è nata nel 2005, ed in particolare nell’estate di quell’anno quando per la prima volta si registrò anche nel nostro Paese l’esplosione di e-mail truffa apparentemente provenienti da istituti di credito che chiedevano di indicare password e codici di accesso a conti correnti bancari. Quelle prime comunicazioni truffaldine indicavano un link verso siti clone dei veri portali bancari, o invitavano direttamente i destinatari a fornire le credenziali via e-mail. Il phishing italiano si segnalava per la presenza di comunicazioni zeppe di errori grammaticali ed ortografici, decisamente anomale nel caso di carteggi bancari. Ma ci sembrava comunque opportuno parlarne, perché si trattava di un fenomeno criminale totalmente nuovo: per la prima volta gli attacchi venivano sferrati contro i singoli utenti e non contro i sistemi informatici delle grosse multinazionali, com’era accaduto nei decenni precedenti. E a quanto pare i cybercriminali hanno dimostrato una diabolica lungimiranza, visto che, stando ad un recente rapporto di Adiconsum presentato all’Università Roma Tre, le vittime delle frodi informatiche nel 2009 sono state circa il 22% dei consumatori italiani, per un danno medio di circa 500 euro.

Quali sono le ultime novità legislative in materia? Sono previste riforme future per una legislazione che sappia tutelare i consumatori dalle frodi informatiche?
Ci sono diversi progetti di legge depositati presso i due rami del Parlamento che tuttavia stentano a trovare una rapida approvazione. Nel corso degli ultimi anni un grosso impulso è stato fornito dall’ordinamento comunitario ed internazionale che ha portato lo Stato italiano a recepire nell’ordinamento interno nuove disposizioni normative, ma che spesso hanno affrontato principalmente il tema della repressione della criminalità informatica. E non la tutela del risparmiatore a fronte di frodi creditizie consumate per via telematica. Penso ad esempio alla legge 18 marzo 2008, n. 48 con cui è stata recepita la convenzione Cybercrime del Consiglio d’Europa, sottoscritta dal nostro Paese a Budapest in data 23 novembre 2001, introducendo anche nuove fattispecie delittuose in tema di danneggiamento informatico e tutela dell’integrità digitale.

Se dovesse spiegare ad un inesperto che cos’è il phishing, come lo definirebbe? Un vero è proprio reato punibile dal codice penale o un fenomeno che ancora necessita di una vera e dettagliata disciplina?
Il phishing è l’anima nera della rete, è il paradigma dei rischi che comporta approcciarsi alle tecnologie informatiche privi di minimi rudimenti in materia di sicurezza. Ogni operazione che avviene mediante computer comporta molteplici trattamenti di dati, in particolare di dati personali o riferibili a persone fisiche. E la legge considera, giustamente, il trattamento di dati un’attività pericolosa. Secondo l’art. 15 del Codice Privacy, infatti, “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, cioè alla stessa stregua di chi trasporti materiale esplosivo o chi commerci armi. Invece è accaduto che, con estrema leggerezza, specialmente in ambito bancario, siano stati iniziati al commercio elettronico e al compimento di operazioni finanziarie telematiche (il cosiddetto ‘home banking’) dei risparmiatori che erano degli autentici analfabeti informatici, che hanno imparato ad effettuare bonifici on line, prima ancora di saper installare un firewall, ignari dei rischi che correvano. L’utente nei confronti del phishing, da un punto di vista penale, è già abbastanza tutelato tramite le figure di reato che già esistono nel nostro ordinamento (truffa, accesso abusivo a sistema informatico, etc.). Forse sarebbe opportuna una rimodulazione delle sanzioni per consentire agli inquirenti di avere maggiori strumenti e poteri di indagine. Ma la vera lacuna, a mio avviso, è in ambito civile, dal momento che il nostro ordinamento non prevede delle specifiche sanzioni per le banche che abilitano il compimento di operazioni finanziarie telematiche mediante obsoleti protocolli di verifica dell’identità degli utenti.

Vi siete mossi, tramite iniziative personali o associative, per chiedere alle istituzioni maggiori interventi affinché ci siano sanzioni severe per chi commette il reato di phishing?
Confesso di ignorare se vi sia una specifica iniziativa nazionale ad opera dell’ordine professionale cui appartengo in tema di phishing. Sicuramente il tema della sicurezza e della criminalità informatica è quotidianamente affrontato da decine di associazioni forensi, all’interno di seminari, dibattiti, conferenze, e approfondimenti. Poca, pochissima attenzione invece è dedicata al tema da parte della politica e della grande informazione radio-televisiva: ha mai visto una puntata di “Porta a Porta” o de “L’Arena” occuparsi di frodi informatiche o di furti telematici? Ad ogni modo, per rispondere alla sua domanda, non credo che la tutela dell’utente nei confronti del phishing debba essere identificata unicamente con un inasprimento delle sanzioni penali. Affrontare il fenomeno da un punto di vista unicamente penale significa allontanare, purtroppo, l’utente della strada, per così dire, dalla risoluzione del problema. I processi penali richiedono complesse attività d’indagine che spesso coinvolgono più uffici investigativi, uffici giudiziari, talvolta più autorità nazionali, essendo internet un fenomeno transfrontaliero. Non sempre è possibile identificare gli autori degli illeciti informatici perché spesso le tracce dei loro “passaggi” si perdono in paesi off shore che non hanno stipulato alcun patto di collaborazione con la nostra Repubblica. Quando vengono individuati i responsabili, i processi hanno un costo enorme anche per le vittime visto che possono essere radicati presso autorità giudiziarie site a centinaia di chilometri dalla loro residenza. Il tutto senza contare che l’esito di un giudizio penale è per definizione incerto, gli effetti della sentenza di condanna diventano esecutivi dopo tre gradi di giudizio, e c’è sempre il rischio della prescrizione. Infine non è detto che dopo una vicenda processuale lunga e defatigante il reo abbia ancora risorse disponibili per risarcire le vittime. Se si tratta di poche centinaia di euro, come accade mediamente in questi casi stando alla ricerca di Adiconsum, ha senso invocare la tutela penale per recuperare il danno subito? A mio avviso conviene intervenire in ambito civile: prevedere strumenti di maggiore controllo per la verifica dell’identità delle transazioni finanziarie, e sanzionare gli istituti di credito che non siano al passo con l’evoluzione del progresso tecnico in tema di misure di sicurezza informatica in tema di credenziali fornite per l’accesso ai conti correnti dei risparmiatori. Prevedendo così l’obbligo di risarcire le vittime dei casi di phishing. Peraltro sarebbe opportuno prevedere anche specifici obblighi informativi a carico degli intermediari finanziari in termini di previa verifica del grado di alfabetizzazione informatica dei soggetti che utilizzano i servizi di home banking.

Marco Chinicò