di Piero Giuseppe Goletto
Il phishing è un’attività illegale particolarmente pericolosa perché sfrutta tecniche di ingegneria sociale.
Chi fa phishing invia messaggi che hanno, all’apparenza, aspetto e contenuto di legittimi fornitori di servizi (es. energia elettrica, banche, enti pubblici, compagnie telefoniche). Lo scopo di questi messaggi è carpire in modo fraudolento dati personali sensibili quali il numero di carta di credito o le credenziali per accedere a un determinato servizio. Il rischio sussiste anche sui social network.
L’attacco phishing avviene normalmente nelle seguenti fasi.
L’utente malintenzionato spedisce alla potenziale vittima un messaggio email che simula per grafica e contenuto quello di un’istituzione nota al destinatario. Nel testo dell’email si avvisa di problemi verificatisi improvvisamente (ad esempio un addebito enorme, una scadenza) o un’offerta di denaro. L’utente malintenzionato suggerisce, come soluzione al problema occorso, di accedere a un link che non porta al sito ufficiale ma a una sua copia fittizia attraverso la quale il malintenzionato può ottenere dal destinatario credenziali o dati personali utili per acquistare beni, trasferire somme di denaro, o per fungere da “ponte” verso ulteriori attacchi.
Se per qualche motivo si cascasse nella trappola del phishing e si finisse su un sito fittizio è utile provare a sbagliare intenzionalmente la password. In questo modo si ha la certezza che il sito è contraffatto e gli si forniscono credenziali errate, perciò inutilizzabili.
La contromisura migliore è però non dar seguito alla mail ma aprire una nuova pagina nel browser e contattare direttamente il sito dall'url di cui si è a conoscenza o cercare direttamente dal motore di ricerca. nel caso le password corrette non dovessero essere accettate, non recuperarle immediatamente ma collegarsi al sito interessato in modo diretto o dal motore di ricerca. Nel caso aveste ceduto le vostre credenziali, cambiarle tempestivamente. Se le credenziali riguardano aspetti finanziari (ad esempio conto corrente bancario o postale) contattare immediatamente la polizia postale e sporgere formale denuncia.
Nel 2007 con sentenza del Tribunale di Milano si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011. Nel 2008, con sentenza del Tribunale di Milano, si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio di soggetti che si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.
Solo con la modifica dell'art. 640-ter c.p. (intervenuta con legge 15 ottobre 2013, n. 119) si è avuto un primo intervento normativo idoneo a ricomprendere anche tale particolare fattispecie di furto di identità.