Cybercrimes: attenzione alla rete!
Lo sviluppo della Tecnologia ha aumentato il comfort quotidiano.
Oggi, dopo oltre un anno di lockdown causa Covid-19, la maggior parte delle attività sociali, lavorative e di passatempo passano attraverso le reti telematiche.
Il centro degli interessi si è spostato in quel mondo virtuale che è l’universo internet: shopping, home banking, scuola, riunioni lavorative, sport, cinema, games e persino le amicizie. Tutto ciò che non siamo riusciti a fare fisicamente, lo abbiamo fatto grazie al web.
In parallelo, come spesso accade, la diffusione dell’uso del web ha incrementato la capillarità del suo lato oscuro: il cybercrime.
Con Cybercrime (o reato informatico) si descrivono una ampia gamma di illeciti. La categoria ricomprende sia i reati commessi tramite tecnologie informatiche (che diventano così lo strumento per commettere il reato, l’arma del delitto), sia gli illeciti che sono diretti verso un sistema informatico.
La nuova categoria di illeciti abbraccia un numero di comportamenti vasto.
Purtroppo la legislazione non è di immediata e facile lettura. Infatti le nuove norme incriminatrici non sono concentrate in un unico testo.
Vediamo di fare un po’ di ordine. I reati informatici possono essere suddivisi in due macro-categorie:
- cybercrimes propri: sono tutti gli illeciti che non potrebbero essere commessi in assenza di strumenti informatici. L’elemento tecnologico è quindi parte della struttura del reato. Pensate ad esempio al reato di “accesso abusivo ad un sistema informatico” (art. 615 terp.) o di “revenge porn” (art. 612 ter c.p.);
- cybercrimes impropri: comprendono quei reati che sono commessi usando il web, ma che potrebbero essere commessi anche al di fuori del cyberspazio, (truffa, stalking, diffamazione o minacce).
L’accordo internazionale noto come Trattato di Lisbona ha inserito la “criminalità informatica” nell’art. 83 TFUE. Oggi in Unione Europea la criminalità informatica è così riconosciuta fra i fenomeni criminosi di natura grave e transnazionale.
La disciplina centrale sui reati informatici in Italia la si trova nella Legge n. 547 del 1993, che ha integrato le norme del codice penale e del codice di procedura penale.
Con la Convenzione di Budapest del 23 novembre 2001, sono state previste delle regole uniformi applicabili a tutti gli stati ratificanti. In Italia la Convenzione è stata ratificata con la Legge 48/2008.
I reati informatici sono molteplici.
Il nostro proposito è di fornire una sintesi sui principali.
Oggi iniziamo con i primi due:
- La frode informatica;
- L’accesso abusivo ad un sistema informatico;
-
FRODE INFORMATICA – PHISHING
La frode informatica viene definita dall’articolo 640 ter del Codice Penale come l’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico in grado di procurare a sé o ad altri “un ingiusto profitto con altrui danno”. Si tratta di una specificazione del più generale reato di truffa, disciplinato dall’art. 640 c.p.
La pena prevista è la reclusione da 6 mesi a 3 anni e la multa da euro 309 a 1.032.
Tra i comportamenti più comuni che integrano questo reato troviamo le cd. pratiche di phishing.
Il fenomeno criminale è tristemente noto: è un’attività finalizzata ad sottrarre dati personali (generalmente carte di credito o conti bancari) attraverso una richiesta “camuffata”, inoltrata al legittimo possessore dei dati.
Le pratiche più comuni di phishing si servono dell’invio di una e-mail da contenuto e grafica molto simile a quello usato da importanti Enti, (Banche, Posta, Paypal, Corrieri, Gestori di servizi hosting, come Aruba).
Nella email generalmente il destinatario viene avvisato di un qualche “problema tecnico” o di una “scadenza”, (aggiornamento software, scadenza account email). Quindi, per risolvere il “problema”, l’utente viene invitato a cliccare su un link contenuto nella email.
Ebbene, quel link è il ponte di collegamento tra la vittima ed il cybercriminale. Un semplice click ed il danno è fatto.
Ma questo non è l’unico strumento di truffa. Altro esempio nella categoria delle frodi è l’uso del cosiddetto dialer.
Il dialer è un programma creato per dirottare la connessione internet dell’ignaro utente verso un altro numero telefonico, spesso di tariffazione internazionale, molto più caro rispetto alla comune chiamata telefonica al numero POP del proprio provider.
-
ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO
L’accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza, nonché il mantenimento in esso contro la volontà espressa o tacita di chi ne ha diritto è un reato disciplinato dall’art. 615 ter del Codice Penale.
In Italia, entrare abusivamente dentro un sistema informatico equivale a violare il domicilio privato. Solo che in questo caso il bene protetto è il cd. domicilio informatico, cioè quello spazio ideale in cui sono contenuti dati informatici di pertinenza della persona. I sistemi informatici, infatti, vengono considerati come un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 Costituzione e tutelato nei suoi aspetti più essenziali anche da altre norme del nostro Codice Penale, gli artt. 614 e 615 c.p.
L’art. 615-ter offre una tutela ampia, che ricomprende anche lo ius excludendi alios: in breve, si tratta della possibilità che ha il titolare di un diritto di escludere chiunque.
La distinzione tra “accesso abusivo” ed il “mantenimento contro la volontà del titolare del diritto” assume rilevanza con riguardo al tempus commissi delicti.
L’accesso abusivo tout court rientra nella categoria dei reati a consumazione istantanea, si perfeziona infatti nel momento in cui si accede abusivamente al sistema.
In caso di mantenimento, invece, va fatta una distinzione.
a. Nell’eventualità in cui il soggetto agente (autorizzato ad entrare nel sistema) lo utilizzi il sistema per finalità ulteriori e diverse rispetto a quelle per cui era stato inizialmente autorizzato, allora avremo un reato a consumazione istantanea. L’utilizzo diverso consuma, perfezione il reato.
b. Al contrario, nel caso in cui una persona prima autorizzata si trattenga all’interno del sistema oltre i termini della autorizzazione, allora avremo un reato permanente, (pensate all’esempio del dipendente che, dopo aver dato le dimissioni od essere stato licenziato, continua ad accedere ai sistemi informatici del proprio ex datore di lavoro).
Nella categoria del reato previsto dall’art. 615 ter c.p. rientrano gli accessi abusivi ai social network o agli account di e-banking mediante le credenziali del proprietario dell’account.
Il solo ingresso nel sistema informatico configura e perfezione già di per se il reato. Ciò a prescindere dalle azioni compiute una volta entrati..
Sul punto, è interessante rilevare come la Corte di Cassazione, con una pronuncia del 2018, ha stabilito che per dimostrare la sussistenza del reato può bastare l’identificazione dell’indirizzo IP di chi ha eseguito l’accesso abusivo.
L’argomento è vasto ed in continua espansione.
Alcuni consigli di cyber igiene.
Su tutti: non comunicare mai e per nessuna ragione i nostri dati sensibili via email, di evitare di cliccare sui link di email che non provengano da mittenti a noi noti.
Inoltre, personalizzate sempre le password di predefinite di default con codici alfanumerici di almeno 8 cifre, (per un approfondimento vi consigliamo le “raccomandazioni del National Institute of Standards and Technology” agenzia federale americana nota come NIST, o leggere un articolo come questo).
Oggi le password sono le nostre vere e proprie chiavi di casa.
Cambiatele almeno una volta l’anno e, soprattutto, verificate se le vostre credenziali sono state oggetto di furti (data breach) e siano disponibili sul dark web.
…continua…
articolo scritto con la collaborazione della dott.ssa Roberta Mangano
