- Premessa
L’incessante sviluppo tecnologico legato all’informatica e alla rete internet ha generato il proliferarsi di nuove condotte penalmente rilevanti, che sono state oggetto di studio e di dibattito nella comunità scientifica penalistica.
Da un lato gli strumenti informatici hanno consentito di porre in essere con modalità nuove e diverse fatti già costituenti reato; dall’altro essi hanno generato veri e propri fenomeni criminali che, ledendo beni giuridici meritevoli di tutela, hanno indotto il legislatore ad introdurre nuove e specifiche fattispecie penali incriminatrici.
Non v’è dubbio che il progresso tecnologico abbia costituito una vera e propria rivoluzione nello sviluppo e nella circolazione delle informazioni e del sapere. Da qui la convinzione che soltanto un approccio completo quale quello di una scienza penalistica integrata (con profili criminologici, processualistici, tecnico-informatici) può fornire gli strumenti necessari per affrontare l’esteso campo della cyber-criminalità.
- Cyber-crimes: cenni criminologici
Come accennato in premessa, le nuove tecnologie hanno da un lato provocato nuove forme di realizzazione di condotte già penalmente sanzionate (es. diffamazione a mezzo internet su un quotidiano on-line o su un social network); dall’altro, specie laddove la scienza ha sortito risultati inimmaginabili per il legislatore della metà del secolo scorso, si è resa necessaria l’introduzione di nuove figure di reato (es. art. 615-ter: “Accesso abusivo a un sistema informatico o telematico”). Evidentemente, sino a qualche anno fa, era impensabile ed impossibile discutere di “introduzione in un sistema telematico protetto da misure di sicurezza”.
L’introduzione di queste nuove norme trova fondamento nell’esigenza di tutela di nuovi beni giuridici ritenuti meritevoli di tutela da parte dell’ordinamento penale quali, ad esempio, il domicilio informatico inteso come “spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto” o l’intangibilità informatica.
Ciò detto, occorre fornire una definizione di crimine informatico.
Secondo una definizione più adeguata alla scienza penalistica, invece, sono computer crimes “ogni tipo di violazione penale commessa per mezzo o con l’ausilio di un sistema o programma informatico e/o avente ad oggetto lo stesso sistema o programma informatico”, laddove per “sistema informatico o telematico” è da intendersi «qualsiasi apparecchiatura o rete di apparecchiature interconnesse o collegate, una o più delle quali, attraverso l’esecuzione di un programma per elaboratore, compiono l’elaborazione automatica di dati» e per “programma informatico” una sequenza di istruzioni ordinate mediante algoritmi, impartita al computer attraverso il quale il programma stesso opera”.
Secondo un’attenta ricerca i cyber crimini differiscono dai crimini tradizionali in quanto: a) al netto delle competenza informatiche di base, sono tecnicamente più semplici da commettere; b) non richiedono un investimento criminale iniziale ingente, specie in confronto al profitto che da essi può derivare; c) possono essere commessi in ogni parte del mondo, senza la necessaria presenza fisica al momento della consumazione del fatto; d) su di essi non sempre v’è chiarezza ed uniformità normativa a livello europeo ed internazionale.
A ciò si aggiunga che l’apparente separazione tra mondo fisico e mondo virtuale in cui si svolgono le attività criminali ha risvolti psicologici estremamente significativi, che si manifestano ad esempio nell’anaffettività e nella mancata percezione del disvalore criminale della propria condotta.
L’autore spesso, infatti, opera da solo con il proprio pc e non comprende in che modo la sua attività possa essere assimilata penalmente a quella dello scippatore di strada o del rapinatore col passamontagna.
Le nuove opportunità criminali hanno, inoltre, dato vita a veri e propri fenomeni di criminalità transnazionale (basti pensare alle frodi in danno delle carte di credito realizzate nell’ambito dell’e-commerce).
- Il phishing: analisi di un fenomeno di rilevanza giuridica
Dottrina e giurisprudenza hanno elaborato diverse definizioni di phishing. In generale si può affermare che il phishing è quell’attività illecita in base alla quale, attraverso vari espedienti (spamming di messaggi ingannevoli di posta elettronica, programmi informatici, malware, ecc…) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (username e password) di un utente al fine di utilizzarli successivamente per frodi informatiche consistenti, di solito, nell’accesso a conti correnti bancali o postali al fine di trarne profitto.
Più in dettaglio, nella pratica, il mittente ha cura di “confezionare” un messaggio quanto più credibile, anche usando loghi di banche, poste o altri istituti. Nel testo del messaggio si rappresentano importanti ed urgenti ragioni di sicurezza per le quali risulterebbe assolutamente necessario che il destinatario clicchi sul link indicato per inserire o modificare i codici d’accesso personali relativi ai propri conti on line. Questo link porta ad una pagina web contraffatta ma identica almeno nell’aspetto a quella originale dell’istituto di credito.
I dati immessi dal malcapitato utente saranno immediatamente letti e registrati dai phishers, i quali potranno così accedere al conto corrente della vittima e sottrarne la provvista.
In queste fattispecie, spesso, oltre al phisher è dato constatare la presenza di un altro soggetto, cd. financial manager, ossia colui che si presta a che le somme che l’hacker trafuga dal conto corrente nel quale è entrato abusivamente, vengano accreditate sul proprio conto corrente al fine poi di essere definitivamente trasferite all’estero con operazioni di money transfer.
Sul piano normativo va subito detto che attualmente in Italia non esiste una disciplina giuridica specifica. In altri termini, il nostro ordinamento non solo non fornisce una definizione di phishing, ma non punisce di per sé detta attività così come sopra descritta.
