ISSN 2784-9635

Brevi appunti metagiuridici sul reato di “Phishing” e la figura del “Muler”

Benedetto Palombo - 13/05/2020

La rete Internet, come noto, è uno strumento. Non differisce molto da altri strumenti o, addirittura, utensili. Anche un coltello è uno strumento e – in quanto tale – non è né buono né cattivo per se. Infatti, gli strumenti assumono una connotazione soltanto quando ne facciamo uso.

Tagliare del pane con un buon coltello, ci assicura che le fette saranno intere ed integre. Accoltellare una persona costituisce un reato. Dunque, nel primo caso il coltello è “buono”, nel secondo è “cattivo”. In realtà il coltello è lo stesso, è solo l’utilizzo che lo rende “cattivo” o “buono”.

Quanto detto, viene esemplarmente riassunto dalla nota frase in auge, in taluni ambienti, durante il Medioevo: Nihil potest esse per suam essentiam malum. Dunque “nulla può essere nocivo solo perché esiste [lett. “per sua essenza]”.

Così è per la rete Internet. Oltre l’uso utilissimo che se ne può fare, esiste anche un uso “nocivo”; ovvero può essere usata per porre in essere condotte criminose che ricadono nella categoria dei “cyber crimes”.

Già la Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 novembre del 2001 – ratificata dall’Italia con la Legge n. 48/08 – definiva questa categoria di crimine come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”.

Il nome del reato, phishing, ha una sua “storia” già dal punto di vista linguistico. Infatti, se provassimo a cercare in un dizionario di inglese degli anni Quaranta il lemma “phish”, non troveremmo corrispondenze in quanto tale lemma non esisteva. Esiste oggi solo grazie alla diffusione del reato, comparso in ambito telefonico negli Stati Uniti dagli anni Cinquanta fino ai Settanta. Si trattava di cercare di individuare falle nel sistema telefonico onde riuscire a telefonare gratuitamente, ovvero fraudolentemente.

Sulla derivazione del lemma “phishing”, vi sono due “scuole”: 1) viene fatto derivare dalla crasi delle parole “fishing” (la pesca) e “phreaking” (la pratica – sopra accennata – di telefonare fraudolentemente); 2) viene fatto derivare dalla parola “fishing”, però scritta nel linguaggio “leet”, dove normalmente la lettera “f” viene scritta com “ph”.

Il linguaggio leet – noto anche come l33t, 31337 o 1337 – è una forma codificata di inglese prima statunitense poi universale) che si caratterizza per l’uso di caratteri non alfabetici al posto delle normali lettere, ad esempio scegliendo un carattere per la somiglianza nel tratto, o piccoli cambiamenti fonetici.

Il termine ha origine dalla parola francese “élite”, ma in inglese la pronuncia della “é” non è quasi percettibile, dunque diviene “leet”, e si riferisce al fatto che chi usa questa forma di scrittura si distingue da chi non ne è capace, dunque si tratta di una scrittura per pochi e di nicchia.

Questa scrittura, ovviamente, aveva lo scopo di non rendere comprensibile a tutti alcune frasi o messaggi, soprattutto in ambito IRC.

A puro scopo dimostrativo, scriveremo una frase in “leet”: “Qu3570 è un 353mp10 d1 5(r177ur4 1n leet”: “Questo è un esempio di scrittura in leet”. Normalmente la lettera “f” viene scritta come “ph”, ecco dunque la possibile derivazione del lemma.

Il fenomeno de quo compare verso la metà degli anni ’90 e si è perfezionato al punto da costituire una serissima minaccia per gli utenti dell’Home banking, i settori della sicurezza informatica e i servizi finanziari.

Semplificando, ma senza banalizzare, il reato si inizia a consumare inviando un enorme numero di e-mail ad un altrettanto enorme numero di utenti ignoti, contenenti messaggi o altro e provenienti solo in apparenza da Istituzioni, enti, società esistenti. La presunta attendibilità dei mittenti induce ad aprire pagine web attraverso il link contenuto nell’e-mail. Purtroppo i siti non sono autentici, tuttavia hanno un layout e una struttura del tutto simili ai siti legittimi. Si viene invitati ad inserire le credenziali di accesso ad aree riservate (in special modo quelle dell’Home banking) cliccando su link appositamente creati dal “phisher”, oppure si viene reindirizzati – per mezzo di appositi virus che alterano la gestione degli indirizzi IP – su un dominio web fraudolento che “pescherà” le credenziali per accedere all’Home banking della vittima e mettere in atto il “pharming”, ovvero lo svuotamento del conto.

Siccome nell’ordinamento giuridico italiano non si hanno norme ad hoc, gli illeciti connessi al “phishing” vengono ricondotti – di volta in volta – nell’alveo delle differenti fattispecie di natura civile e penale disciplinate dalla legge.

Da un punto di vista legale, il “phisher” commette un illecito civile e uno penale.

Civilisticamente, il comportamento che il “phisher” pone in essere configura una responsabilità extracontrattuale che obbliga a risarcire le vittime per i danni patrimoniali e non.

In parte della dottrina, anche gli enti, le società, gli enti di credito vittime di “phishing” sono ritenuti responsabili del danno in quanto negligenti nell’uso delle misure di sicurezza, tese ad evitare prelievi fraudolenti. Sempre sul piano civile, la condotta del “phisher” è aggravata dalle numerose violazioni alla privacy.

Certamente le fattispecie di maggior rilevanza connesse al “phishing” si configurano nell’ambito penale.

La condotta del “phisher” integra, prima di tutto, il reato di trattamento illecito di dati personali ex art. 167 del Codice della privacy, laddove punisce “chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato”.

La condotta del “phisher” potrebbe integrare anche il reato di truffa ex art. 640, 1° co., c.p., che punisce “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno” (gergalmente chiamata “truffa semplice”) e persino quello di truffa aggravata, di cui al 2° co. dell’art. 640 c.p., allorquando il fatto venga commesso suscitando nella persona offesa il timore di un pericolo o il fallace convincimento di essere nell’obbligo di eseguire l’ordine di una Autorità.

Inoltre, vi sono gli estremi per la configurazione del delitto di “frode informatica” ex art. 640-ter c.p., che, nella prima parte, recita: “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con … reclusione … e multa …”. Lo stesso articolo prevede un aggravamento della pena “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.

Vi sono anche altri reati di cui possono ravvisarsi, eventualmente, gli estremi nella condotta del “phisher”:

  • Reato di cui all’art. 615-ter, 1° co., c.p. recante “Accesso abusivo ad un sistema informatico o telematico”;
  • Delitto, ai sensi dell’art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991, di “utilizzo indebito di carte di credito e di pagamento”.

In astratto, sono configurabili anche gli illeciti previsti dagli artt. 635, bis, ter, quater e quinquies c.p., riguardanti il danneggiamento di informazioni e sistemi informatici o telematici.

Sempre in astratto, si potrebbe configurare anche quanto previsto dall’art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull’identità o su qualità personali proprie o di altri.

Per quel che concerne la fase finale della condotta criminosa del “phisher” si potrebbe ipotizzare l’applicazione del delitto di sostituzione di persona ex art. 494 c.p. È evidente che in questo caso non si tratta di una materiale sostituzione della persona, c.d. “Identity theft”, prevede comunque l’uso degli estremi identificativi della persona, tramite l’utilizzo di credenziali ottenute fraudolentemente, onde accedere ai sistemi informatici e porre in essere transazioni economiche.

La fattispecie sopra accennata, si integra propriamente laddove sussiste il necessario concorso di tre figure imprescindibili:

Hacker    ͢     Muler    ͢     Destinatario finale delle somme movimentate

L’hacker rappresenta l’esperto informatico che utilizza le proprie competenze in maniera criminosa.

Il muler è il “prestaconto” (talvolta chiamato financial manager).

Il destinatario finale delle somme movimentate è l’ultimo anello della catena, il “destinatario”.

Se le figure dell’hacker e del “destinatario” finale sono note e facilmente intuibili, più complessa è la figura del muler.

La perseguibilità del “phisher” è, ovviamente, garantita dell’art. 640-ter c.p. (“Frode informatica”).

Di maggior interesse, invece, è il ruolo svolto da muler, o prestaconto, in quanto reca un contributo fondamentale alla commissione del reato di “phishing”, naturalmente soltanto se sussiste l’elemento soggettivo del dolo, anche nella forma attenuata del dolo eventuale, ed esclusione della colpa. In ogni caso, la responsabilità del muler oscilla tra l’affermazione di concorrente nel reato e quella di autore dell’autonoma fattispecie  di riciclaggio ex art. 648 bis c.p.

La sentenza della Corte di Cassazione, Sez. II, n. 10060/2017, ad esempio, ha optato per la tesi secondo cui il prestaconto ha commesso il reato di riciclaggio ex art. 648 bis c.p. poiché ha spostato il momento del contributo del prestaconto ad una fase successiva alla consumazione del reato di cui all’art. 640-ter c.p. È da ricordare che nel processo ora citato, l’imputato “[…] in un’epoca successiva alla commissione dei delitti mediante i quali era stato realizzato il phishing (art.615 bis e 640-ter c.p.) aveva consentito la realizzazione del profitto di tali reati, ma aveva altresì introdotto un ulteriore passaggio necessario a far perdere le tracce del denaro”.

 

∽ ∽ ∽

NOTE OPERATIVE

Avere consapevolezza dell’esistenza dei prestaconto

Un prestaconto è qualcuno che trasferisce denaro acquisito illegalmente per conto di o ad un altro. I criminali reclutano prestaconto per spostare elettronicamente denaro attraverso conti bancari, spostare valuta fisica o assistere il movimento di denaro attraverso una varietà di altri metodi. Una volta ricevuto il denaro, il prestaconto lo trasferirà su un conto bancario di terzi; incasserà il denaro ricevuto, possibilmente tramite diversi assegni circolari; convertirà il denaro in una valuta virtuale; convertirà i soldi in una carta di debito prepagata; invierà i soldi attraverso un’azienda di servizi monetari; o metterà in atto una combinazione di queste azioni.

I prestaconto sono estremamente pericolosi, poiché aggiungono passaggi allo spostamento del denaro da una vittima a un attore criminale.

Indicatori del prestaconto

Chiunque potrebbe essere un prestaconto se ….

  • Ha ricevuto un’e-mail non richiesta o un contatto sui social media che promette denaro facile con uno sforzo minimo o nullo.
  • Il “datore di lavoro” con cui comunica utilizza servizi basati sul Web (come Gmail, Yahoo, Hotmail, Outlook, ecc.).
  • Gli viene chiesto di aprire un conto bancario a proprio nome o a nome di una società che fonda, per ricevere e trasferire denaro.
  • In quanto dipendente, gli viene chiesto di ricevere fondi sul suo conto bancario per poi “processare” o “trasferire” fondi tramite: bonifico bancario, Clearing House automatizzato, posta o servizi monetari (come quelli dei Money Transfer).
  • Gli viene detto di trattenere una parte del denaro che trasferisce.
  • I suoi doveri non sono specificamente esplicitati nella descrizione del lavoro.
  • Il suo referente online, mai incontrato di persona, gli chiede di ricevere denaro e poi inoltrarlo a una o più persone che non conosce.

Dove vengono reclutati in genere i prestaconto?

– Siti Web di lavoro online

– Siti di incontri online

– Siti Web di social networking

– Annunci online

– Email di spam

– Forum sul Darkweb

Da dove proviene il denaro?

I criminali ottengono denaro attraverso vari atti illegali. Questi criminali quindi hanno bisogno di qualcuno per movimentare tali soldi verso di loro.

Attività criminali comuni

a)Frodi tramite Internet:

– E-mail aziendali compromesse

– Truffa legata al lavoro online

– Truffa legata al lavoro da casa

– False storie d’amore

– Truffa del “consumatore segreto” (Mystery Shopper)

– Sistema di commissioni anticipate

– Truffa della rispedizione

– Lotterie truffa

– Truffa commessa attraverso persona che si spaccia di appartenere alle Forze dell’Ordine

– Truffa tramite falso servizio di supporto tecnico

– Frode con carta di credito

b) Traffico di droga;

c) Traffico di esseri umani.

Chi è più a rischio?

1) Studenti universitari

2) Quelli nuovi nel paese

3) Proprietari di piccole imprese

4) Individui anziani

5) Recenti pensionati

6) Coloro che cercano un lavoro

7) Quelli/e alla ricerca di una relazione

8) Persone con amnesie

In pratica … chiunque … ovunque.

Come proteggersi

  • Una società lecita non chiederà mai di utilizzare il proprio conto bancario per trasferire i propri soldi. Non accettare offerte di lavoro che chiedono di farlo.
  • Diffidare quando un datore di lavoro chiede di costituire una società per aprire un nuovo conto bancario.
  • Non dare mai i propri dati bancari a qualcuno che non si conosce e del quale non si ha fiducia, specialmente se incontrato
  • Fare attenzione agli annunci di lavoro scritti male, con errori grammaticali e ortografici.
  • Essere sospettosi quando il ragazzo / la ragazza che si è incontrato/a su un sito di incontri desidera utilizzare il vostro conto bancario per ricevere e inoltrare denaro.
  • Effettuare ricerche online per verificare e confermare tutte le informazioni dubbie fornite.
  • Chiedere al “datore di lavoro” se può inviare una copia della licenza / permesso di svolgere affari nella propria città e/o Stato.

Perché i criminali usano i prestaconto?

  • Velocità – I criminali ritengono di poter dirigere il movimento dei fondi delle vittime attraverso prestaconto, più velocemente di quanto occorra alle Forze dell’Ordine per tracciare il movimento. Ma questo non è sempre vero.
  • Costo esiguo – Se il prestaconto prende una percentuale del denaro, si tratta comunque di denaro della vittima, mai appartenuto al criminale.
  • Basso rischio: ogni prestaconto aggiunge un ulteriore livello di distanza tra la vittima e gli attori criminali.
  • Evoluzione del crimine – I criminali adattano i loro comportamenti a seconda delle necessità, in base all’evoluzione delle Forze dell’Ordine e delle misure adottate dal settore finanziario.

 

Bibliografia essenziale

  • Robin Dreeke, Michele Fincher, Christopher Hadnagy, Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails, edizioni Wiley, 2015.
  • Les Hatton, Email Forensics: Eliminating Spam, Scams and Phishing, BlueSpear Publishing, 2011.
  • “Information Resources Management Association” (IRMA), Cyber Security and Threats: Concepts, Methodologies, Tools, and Applications, (3 volumi), IGI Global, 2018.
  • International Journal of Cyber Criminology, Vol 9, Issue 2, July – December 2015, Publisher & Editor-in-Chief Jaishankar.

 

Quanto alle fonti on-line, si raccomanda di fare riferimento a siti istituzionali. Una buona risorsa, tra le altre, è il sito dell’Europol: https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/money-muling.