Criminalità informatica - Appunti

IL FISHING

A volte questa condotta rientra nell'art. 640 (truffa:Chiunque, con artifizi o raggiri, inducendo

taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la

reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:

1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far

esonerare taluno dal servizio militare;

2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo

immaginario o l'erroneo convincimento di dovere eseguire un ordine dell'autorità;

3) 2 bis) se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero 5).

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle

circostanze previste dal capoverso precedente o un'altra circostanza aggravante.)

A volte, però, rientra nella frode informatica, del 640ter (Chiunque, alterando in qualsiasi modo il

funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi

modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad

esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la

reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre

una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto

è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è

commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle circostanze di cui

al secondo e terzo comma o un'altra circostanza aggravante. : questi due articoli sono correlati, in

)

quanto il secondo nasce perché si riteneva che la truffa, così configurata, non esaurisse le ipotesi

incriminative del reato in se.

Per quanto riguarda la truffa, in riferimento alla condotta del comma 1, questa si concretizza negli

artifici o raggiri che traggono in inganno qualcun altro. Non c'è il fine di procurare, ma la procura

vera e propria degli stessi danni. Si sono presentati alcuni problemi interpretativi per l'inganno del

sistema informatico e dunque si verificava l'impossibilità di applicare il 640 in determinati casi.

L'ipotesi tipica che capitò agli inizi è la “tecnica del salame”: nell'ambito di determinati sistemi

c'erano soggetti esterni esperti nell'allestimento dei sistemi informatici. Si verificò, nel software di

programmazione che gestiva ogni transazione, che per ogni transazione si limassero le quote

pecuniarie per essere dirottate in conti correnti specifici. In questo caso, di ogni transazione veniva

affettata una quota grazie all'arrotondamento per difetto, dirottato su un determinato conto.

Moltiplicando l'arrotondamento per il numero delle operazioni e per il periodo in cui queste sono

state effettuate, i conti correnti incrementavano sensibilmente. Tenendo conto di questa condotta,

verrebbe in mente di considerarla come una truffa ai danni della banca, ma mancava l'induzione in

errore di un soggetto realmente esistente (mancava l'elemento soggettivo della truffa). Si è allora

pensato di ricorrere all'ipotesi del 640ter, grazie ad una modifica del 640: abbiamo le stesse sanzioni

previste per la truffa, ma viene rappresentato una esplicitazione dal punto di vista informatico

dell'artificio o del raggiro con l'inciso “alterando in qualsiasi modo il funzionamento di un sistema

informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o

programmi contenuti in un sistema informatico o telematico o ad esso pertinenti” .

L'ipotesi delle truffe applicate nell'ambito informatico non vanno tutte a riversarsi nel 640ter, alcune

rimangono nel 640, come le truffe sulle vendite tramite ebay, dove si ha l'induzione in errore del

soggetto e non del sistema informatico o telematico. Un altro esempio, al limite tra i due articoli, è

quello di fishing, che normalmente viene perpetrato attraverso delle mail che possono costituire

artificio o raggiro in quanto vengono richieste delle credenziali per dirottare denaro della vittima in

altri conti correnti.

5/11 PHISHING

Proprio sulla sostituzione di persona c'è una novità sulla frode informatica, che come abbiamo detto

è un superamento dell'ipotesi della truffa. Importante è l'introduzione del terzo comma, “La pena è

della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con

furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti”per il quale viene in

mente l'ipotesi del phishing, e per il quale ogni tanto viene contestato il 640 ed ogni tanto il 640ter.

Per l'ipotesi del phishing dobbiamo ricorrere all'art. 55 comma 9 Dlg 21/11/207 numero 231, con il

quale si punisce il reato dell'utilizzazione abusiva di carte di credito, ma che recita “Chiunque, al

fine di trarne profitto per se' o per altri, indebitamente utilizza, non essendone titolare, carte di

credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di

denaro contante o all'acquisto di beni o alla prestazione di servizi, e' punito con la reclusione da

uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di

trarne profitto per se' o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi

altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla

prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza

illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.” Qui c'è

un problema interpretativo, in relazione all'indebito utilizzo e dunque fatto che la carta venga ceduta

al partner o al figlio, si può configurare il reato? Alcuni pensano di si. Per quanto riguarda

“qualsiasi altro documento analogo”, possiamo ad esempio riferirci alle ricariche di cellulare:

integra il reato in questione, la ricarica del cellulare mediante codici di carte di credito sottratte

fraudolentemente. Un altra condotta è la falsificazione della carta in questione.

Qual è il rapporto tra il phishing e l'ipotesi della truffa di cui all'art. 640? Ci sono sentenze che

ammettono il concorso tra questi reati, altre invece no. Per il secondo esempio, la sentenza numero

6695 del 2005, dice che non sussiste il concorso formale tra i due reati.

In cosa consiste il phishing? Può essere interpretato come una tecnica di attacco che non si muove

con un unico modus operandi, ma prevede una prassi piuttosto articolata: quella tradizionale,

prevede inizialmente una fase di spamming basata su email dal contenuto ingannevole e seguita da

una concomitante fase di ulteriore spamming che non sempre viene ricollegata da parte delle vittime

a questo attacco. Da una parte abbiamo lo spamming finalizzato a far abboccare più vittime

possibili, simulando una richiesta generalmente da parte di finti istituti di credito, invitando a

verificare le proprie credenziali con una risposta alla mail che contiene il logo falsificato e che dà

accesso ad un sito clone. Dunque, alla vittima sembra di accedere al sito con cui entra normalmente

sull'home banking, ma sta comunicando alla fine i propri dati a chi vuole truffarli. Spesso c'è invece

un altro attacco volto a reclutare delle persone che si prestino ad essere destinatari delle

movimentazioni bancarie per riciclare e ripulire il denaro. Quest'ultimo, dopo esser stato il

destinatario di una somma, ne trattiene una parte. Quando vi è questa “offerta di lavoro” per i

procacciatori di sventurati, financial menager, spesso questo si basa su un rapporto di fiducia, o

magari è vincolato da un vero e proprio contratto di lavoro non sapendo che si tratti di riciclaggio.

Ci sono dei casi in cui l'acquisizione delle credenziali non avviene con delle mail e che dunque

baipassano il problema dell'induzione in errore: basterebbe infatti intercettare sul sito standard gli

estremi delle carte di credito.

Un altro reato è il pharming, che può essere fatto sia via internet che in sede locale: quando un

soggetto si collega su internet, si collega ad un determinato indirizzo (nome a dominio) che coincide

ad un indirizzo IP. Se ci fosse un attacco tale per cui uno scrive un sito e ne raggiunge un altro in

quanto dirottato, si avrebbe il pharming, tramite l'avvelenamento del DNS. Può succedere che il

phishing venga perpetrato anche mediante un sms, che viene inoltrato al proprietario della carta di

credito con un invito al controllo del proprio account contattando un determinato numero di

telefono. Le vittime venivano indotte in errore, dunque, telefonavano al numero contenuto nel sms,

rispondeva una segreteria telefonica di un numero voipe; dopo aver inserito le credenziali, cadeva la

linea e le suddette venivano utilizzate per fare acquisti online. L'altro attacco del dns non riguarda

l'associazione tra il nome dominio e l'indirizzo IP, ma abbiamo un sistema che gestisce la

corrispondenza tra nome dominio ed indirizzo IP su base locale, in modo tale che quando

utilizziamo nuovamente un nome dominio, la richiesta dell'indirizzo IP avviene già su base locale.

Un altro attacco interessante riguarda software dotati di virus che si installano su i singoli pc

facendo perdere all'utente il controllo del proprio computer. I computer infettati si chiamano, in

gergo, zombie, perché chi ne dispone ne può disporre anche in modo tale che agiscano

collettivamente: uno degli attacchi più semplici è l'attacco DOS, che serve a saturare una risorsa

online.

7/11

Abbiamo visto che se manca l'induzione in errore, il phishing può concretizzarsi invocando il

640ter. L'art. 55Comma9 già analizzato, che punisce l'utilizzo abusivo delle carte di credito, si

riferisce alla normativa precedente, ovvero l'art. 12 della legge 197/1991. C'è giurisprudenza che

sostiene che quest'articolo non può concorrere con la truffa perché l'utilizzo indebito della carta di

credito rappresenta l'artifizio ed il raggiro previsto per la truffa stessa: quindi l'artifizio e raggiro

parte della giurisprudenza lo ravvisa nell'