Indice:
1. Che cos'è un reato informatico?
Con l’espressione “reato informatico”, anche denominato cybercrime, si intende far riferimento a quella particolare tipologia di reati che incriminano un’azione o una omissione che si sia verificata per il tramite di abusi di apparecchi digitali o informatici e con il fine detrarre, compromettere o deturpare informazioni private.
L’introduzione di questa particolare tipologia di reati è recente ed è stata determinata dal prepotente avvento della tecnologia nel panorama nazionale e sovranazionale. Come il web ha consentito di duplicare le azioni tradizionali e lecite così ha dato luogo alla emersione di nuove frontiere della criminalità.
La società, e di conseguenza il diritto, si trovano ad affrontare due nuove sfide: da un lato, quella di mantenere costante l’aggiornamento rispetto alle evoluzioni sociali e, dall’altro, di individuare nuovi ed efficienti strumenti di tutela per qualsiasi operatore.
2. Quali sono i principali reati informatici?
I reati informatici costituiscono un vero e proprio catalogo. Essi riguardano ambiti disparati e danno luogo a diverse sfumature di gravità.
In ordine, abbiamo:
LA FRODE INFORMATICA - art. 640 ter c.p.
La frode informatica è stata introdotta con l. 547 del 1993.
L’art. 640 ter c.p. dispone:
"Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto produce un trasferimento di denaro, di valore monetario o di valuta virtuale o è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o taluna delle circostanze previste dall'articolo 61, primo comma, numero 5, limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età, e numero 7".
La struttura del reato di frode informatica replica la tradizionale figura criminosa della truffa.
La frode informatica (o anche denominata “cyber-frode”), infatti, al pari della truffa cd tradizionale, consiste di un reato comune, (“chiunque”), di un reato di doppio evento (“procura a sè un ingiusto profitto con altrui danno”) e a dolo generico.
Il vero discrimine tra l’art. 640 ter c.p. e l’art. 640 c.p. riguarda il destinatario della condotta criminosa.
In specie la dottrina tradizionale è ormai pacifica nel riconoscere che la frode informatica, rispetto alla truffa tradizionale, comporta che l’autore compia atti di induzione in errore non di una persona fisica, ma di una entità e cioè di un sistema informatico o telematico.
Ne deriva che, per determinare quale delle due norme applicare, è necessario che l’operatore giuridica osservi quale sia il destinatario dei cd artifizi e raggiri: l’uomo o la “macchina”.
ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO E TELEMATICO - art. 615 ter c.p.
L’accesso abusivo ad un sistema informatico o telematico è previsto e punito dall’art. 615 ter c.p., introdotto dalla l. 547 del 1993.
La norma dispone:
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici d'interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque d'interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio”.
Con la previsione dell’art. 615 ter c.p. il legislatore ha assicurato la protezione del cd “domicilio informatico”, inteso quale spazio fisico in cui sono contenuti i dati informatici personali sia quale spazio ideale di pertinenza della sfera individuale e prevista, ancorandolo alla tutela costituzionale.
DETENZIONE E DIFFUSIONE ABUSIVA DI CREDENZIALI DI ACCESSO INFORMATICHE - art. 615 quater c.p.
L’art. 615 quater c.p. è stato introdotto dal legislatore con l. 547 del 1993.
“Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5.164 euro.
La pena è della reclusione da uno a due anni e della multa da 5.164 euro a 10.329 euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617-quater.”
La detenzione e la diffusione abusiva di credenziali di accesso private rappresenta uno dei crimini informatici più temuti. Essa consiste nel recupero illegale di codici di accesso privati e nella diffusione degli stessi, al fine di lucrare sulla futura vendita dei dati.
DIFFUSIONE ILLECITA DI IMMAGINI O VIDEO SESSUALMENTE ESPLICITI (REVENGE PORN) - art. 612 ter c.p.
Il delitto in parola è stato introdotto solo di recente con la l. 69/2019 al fine di dare risposta alla recrudescenza di un fenomeno ormai in avvio da anni, il cd revenge porn, che consiste nella condivisione pubblica di video e immagini intime di un soggetto senza il consenso dello stesso, a solo scopo di vendetta.
La norma prevede:
“Salvo che il fatto costituisca più grave reato, chiunque, dopo averli realizzati o sottratti, invia, consegna, cede, pubblica o diffonde immagini o video di organi sessuali o a contenuto sessualmente esplicito, destinati a rimanere privati, senza il consenso delle persone rappresentate, è punito con la reclusione da uno a sei anni e la multa da 5.000 a 15.000 euro.
La stessa pena si applica a chi, avendo ricevuto o comunque acquisito le immagini o i video li invia, consegna, cede, pubblica o diffonde senza il consenso delle persone rappresentate al fine di recare loro nocumento.
La pena è aumentata se i fatti sono commessi dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa ovvero se i fatti sono commessi attraverso strumenti informatici o telematici.
La pena è aumentata da un terzo alla metà se i fatti sono commessi in danno di persona in condizione di inferiorità fisica o psichica o in danno di una donna in stato di gravidanza.
Il delitto è punito a querela della persona offesa. Il termine per la proposizione della querela è di sei mesi. La remissione della querela può essere soltanto processuale. Si procederà tuttavia d’ufficio nei casi di cui al quarto comma, nonché quando il fatto è connesso con altro delitto per il quale si deve procedere d’ufficio”.
La norma suddivide i tipi di autore: al co. 1 la legge incrimina colui che il primo fruitore delle immagini o dei video; al co. 2 i fruitori secondari e cioè coloro che solo in un secondo momento hanno avuto disponibilità del materiale.
PORNOGRAFIA VIRTUALE - art. 600 quater c.p.
Il delitto in parola è stato introdotto dalla l. 38/2006 con la finalità di estendere l’area del penalmente rilevante anche a quelle condotte che, compiute integralmente attraverso mezzi informatici, riproducono azioni che nel mondo reale sono punite dagli artt. 600 ter e 600 quater c.p.
La norma dell’art. 600 quater c.p. dispone:
“Le disposizioni di cui agli artt. 600 ter e 600 quater c.p. si applicano anche quando il materiale pornografico rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni diciotto o di pace di essi, ma la pena è diminuita di un terzo.
Per immagini virtuali si intendono immagini realizzate con tecniche di elaborazione grafica non associate in tuto o in parte a situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non reali”.
3. Che cos'è il reato di Phishing?
Tra i "cyber-crimes" più diffusi in rete, il reato di phishing è sicuramente tra i più pericolosi e temuti. Il phishing è una tipologia di truffa eseguita via Internet, che consiste nell' ingannare la vittima, al fine di estorcere informazioni sensibili (quali password, numeri di carte di credito ed home banking). Tale reato informatico si concretizza attraverso l'invio di numerose e-mail false che, la maggior parte delle volte, sembrano provenire da siti Internet rinomati o sicuri (ad esempio il sito Internet della propria banca). In questo modo, l'utente cade nella trappola dell'hacker. Infatti ritenendo tali e-mail sicure ed autentiche, gli utenti tenderanno a rispondere ingenuamente, fornendo informazioni sensibili e personali.
4. Che cosa significa il termine "Phishing"
Il termine "phishing" deriva dalla fusione di due termini inglese: fishing, che significa pescare, e phreaking che è il termine che identifica coloro che usufruiscono i telefoni e le compagnie telefoniche per ricercare delle "incrinature", che consentano usi alternativi rispetto a quelli della legge. In altri casi, invece, il termine phishing è una variazione di fishing, tale da presentare un collegamento al linguaggio "leet", che prevede la sostituzione della f con la "ph". Dunque, il riferimento alla pesca non è casuale, in quanto è strettamente connessa all'intenzione dell'hacker di "pescare" dati sensibili e personali.
5. Quale può essere un indizio di attacco Phishing?
Un esplicito indizio di attacco phishing è rappresentato da una mail ricevuta da un indirizzo poco attendibile , da un link comparso improvvisamente oppure da un banner pubblicitario che compare nei servizi da noi utilizzati con maggior frequenza. Il pericolo, infatti, si presenta come una notifica proveniente da una fonte attendibile (ad esempio il sito internet ufficiale della propria banca, oppure siti Internet noti). La mail sospetta, dunque, invita l'utente a collegarsi ad un sito Internet apparentemente simile a quello attendibile, al fine di recuperare il numero della carta di credito, password ed altre informazioni private e sensibili.
6. Quali sono i diversi tipi di attacchi phishing?
Gli attacchi di phishing sono numerosi, e variano a seconda dell'obiettivo del "cyber-criminale". Distinguiamo, infatti:
Lo SPEAR PHISHING
Lo "spear phishing" (ovvero "pesca con la fiocina")ha come scopo quello di bersagliare un gruppo o un tipo specifico di utenti, come ad esempio gestori o responsabili di siti Internet noti.
Il WHALING
Il "whaling" (ossia, "caccia alle balene") è una tipologia di phishing ancora più specifica e complessa. In quanto ha come obiettivo quello di attaccare i vertici aziendali di una società.
Lo SMISHING
Lo "smishing", invece, è un tipo di phishing che prevede come attacco l'utilizzo di SMS con annesso un link cliccabile oppure un numero telefonico da richiamare.
7. Qual è la miglior difesa contro il phishing?
La miglior difesa contro il phishing è senza dubbio la consapevolezza. Infatti è opportuno, soprattutto in ambienti lavorativi, non esporsi ad alti rischi. Dunque è consigliabile: non memorizzare dati sensibili nella rete utilizzata per navigare online; scegliere password complesse ( e cambiarle periodicamente) ed usare credenziali differenti per ogni attività svolta. Inoltre, è possibile mettere in atto diversi consigli per prevenire e diminuire notevolmente il rischio di attacchi phishing, ad esempio: verificare l'URL della pagina che chiede di fornire dati sensibili e personali; non aprire gli allegati del SMS, se non si è certi dell'attendibilità dell'utente; non cliccare su link sospetti ed infine usufruire di un accurato anti-virus per il nostro dispositivo.
8. Qual è il risarcimento danni di un attacco phishing?
In caso di attacco phishing, la vittima deve provvedere immediatamente a segnalare l'accaduto, in quanto avrà diritto al rimborso della cifra sottratta. Invece, spetterà alla banca assicurarsi che l'esercizio di pagamento sia stato regolarmente svolto ed autorizzato
9. Quali sono le conseguenze penali di un attacco phishing?
Il reato di phishing è un crimine molto complesso, siccome più inglobare in esso un numero considerevole di reati. Però, considerando la natura del Phishing, (ossia sottrazione di dati sensibili e privati attraverso dispositivi digitali) è possibile ricondurre tale frode al "trattamento illecito di dati personali e al reato di truffa. Ragion per cui, in caso di attacco phishing, il cyber-criminale è punito con la "reclusione da sei mesi a tre anni e con una multa da 51 euro a 1032, come previsto dall'art.640, 1° co., cp.”, del Codice Penale.