Il
“phishing” è un termine coniato dalla commistione dei vocaboli “fishing” e
“phreaking”.
Esso
può definirsi come una attività fraudolenta finalizzata ad ottenere l’accesso a
informazioni personali o riservate, per commettere furti di identità mediante
l’utilizzo delle comunicazioni elettroniche. Si realizza, soprattutto, a mezzo
di stratagemmi ed in particolare di messaggi di posta elettronica “falsi” (più
raramente anche a mezzo di contatti telefonici). Questi messaggi invitano
l’internauta a rivelare dati personali (numero di conto corrente o della carta
di credito, codici di identificazione, PIN bancario, ecc.). Le motivazioni
sottese a tali richieste sono tra le più svariate: errore di sistema, chiusura
del conto, accettazione di un accredito, perdita dei dati, autenticazione
necessaria per compiere determinate operazioni e così discorrendo.
Il
nostro ordinamento penale non prevede uno specifico precetto penale rubricato
“phishing”, e la condotta del phisher viene fatta rientrare dalla
giurisprudenza nelle fattispecie penali già disciplinate, ad esempio, sotto le
fattispecie penali della falsificazione di comunicazione telematica (art.617
sexies c.p.), della truffa (art. 640 c.p.), del trattamento illecito di dati
(art. 167 D.lg. 196/2003), dell’accesso abusivo in un sistema informatico o
telematico (art.615 ter c.p.), della frode informatica (art. 640 ter c.p.).
Nell’attesa
(ad avviso dello scrivente non indispensabile) che il legislatore provveda a
“coniare” una nuova figura criminosa tipizzata con le condotte in questione, la Corte di Cassazione, con la
pronuncia 11.3.2011, n. 9891, contribuisce all’arricchimento del dibattito
giurisprudenziale sulla fattispecie penale relativa al delitto di frode
informatica, individuando nella sua struttura anche la punibilità di colui che
commette phishing, consentendo così una notevole emersione di voci dottrinali
sul tema nell’armamentario penalistico.
I
Giudici di legittimità, nella statuizione in disamina, cristallizzano due punti
fermi in tema di phishing. Per prima cosa, chiariscono i rapporti intercorrenti
fra l’art. 615 ter c.p. e l’art. 640 ter c.p., affermando che possono
formalmente concorrere i reati di accesso abusivo a un sistema informatico e di
frode informatica, atteso che, si legge nel testo della pronuncia “i suddetti
reati hanno diversi presupposti giuridici e, quindi, ben possono concorrere (in
termini, Cass. 2672/2003 riv. 227816; Cass. 1727/2008 riv. 242938)”. Si tratta,
infatti, di fattispecie penali strutturalmente diverse, il secondo dei quali
postula necessariamente la manipolazione del sistema, elemento costitutivo non
necessario per la consumazione del primo. La differenza fra le due ipotesi
criminose si sostanzia, inoltre, nella diversità dei beni giuridici tutelati,
nell’elemento soggettivo e dalla previsione della possibilità di commettere il
reato di accesso abusivo solo nei riguardi di sistemi protetti, caratteristica
quest’ultima, che non ricorre nel reato di frode informatica.
Nel
secondo punto esplicitato nella parte motiva della statuizione, si sottolinea
come carpire informazioni finalizzate ad ottenere l’accesso ad informazioni
personali o riservate, “pescando” fraudolentemente in rete attraverso fittizi e
raggiranti messaggi, configura l’ipotesi delittuosa di cui all'art. 640 ter
c.p., in quanto, si legge in sentenza “la condotta contestata è sussumibile
nell'ipotesi dell'intervento senza diritto su (...) informazioni (...)
contenute in un sistema informatico di cui alla seconda parte dell'art. 640 ter
c.p., c. 1.
Infatti,
anche l'abusivo utilizzo di codici informatici di terzi ("intervento senza
diritto") - comunque ottenuti e dei quali si è entrati in possesso
all'insaputa o contro la volontà del legittimo possessore ("con qualsiasi
modalità") - è idoneo ad integrare la fattispecie di cui all'art. 640 ter
c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati,
informazioni o programmi contenuti in un sistema informatico o telematico, al
fine di procurare a sé od altri un ingiusto profitto.”
Ordunque,
è onere dell’interprete, in assenza di una norma penale tipizzata, di
considerare il complessivo dipanarsi dell’avvenimento, rifuggendo da
automatismi sanzionatori, valutando con obiettività e senza condizionamenti, la
“voluntas” del soggetto agente. Questo consentirà, al Giudicante, di assolvere
correttamente la funzione per la quale è chiamato ad operare: la corretta
applicazione della legge al fatto reato in esame.
Michele Di Iesu (da
filodiritto.com dell’11.8.2012)