Il phishing (termine che deriva dalla storpiatura di password fishing), generalmente definito in ambito informatico come "spillaggio di dati sensibili", è una forma di truffa che consiste nel carpire con metodi illeciti le credenziali (password) di accesso di un conto bancario (o postale) online, e nel conseguente uso delle suddette credenziali al fine di spostare i fondi su conti correnti di altri personaggi (detti financial manager) che li ritirano e li rispediscono altrove al fine di riciclarli.
Tale reato viene realizzato in varie fasi. Nella prima il phisher invia una quantità considerevole di mail secondo la tecnica dello spamming, cioè messaggi di posta elettronica che simulano nella grafica e nel contenuto i messaggi di un ente che potrebbe essere noto al destinatario (cosiddetta mail spoofing), in genere le Poste Italiane oppure una banca. Tali mail contengono il link ad una pagina web che simula a sua volta il sito dell’ente, e si chiede espressamente al destinatario di cliccare sul link al fine di visualizzare quel sito web ed inserire le sue password di accesso al conto online. In genere nella mail viene precisato che, per motivi vari, se il destinatario non compie questa operazione il suo conto online verrà bloccato, oppure il conto è stato già bloccato e l’inserimento delle password nel sito occorre al fine di sbloccarlo.
La seconda fase, quindi, è quella della sottrazione delle password tramite il sito web truffaldino, il quale si presenta del tutto identico al sito web di una istituzione (Poste o banca), e presenta un modulo (form) da compilare mediante le password del conto online.
La terza fase, infine, è quella di utilizzo delle suddette password sui siti bancari originali, al fine di spostare soldi dai conti online dei truffati su conti di terze persone.
L’intermediazione dei financial manager si rende necessaria perché il sistema di home banking italiano non consente bonifici verso l’estero se non a seguito di specifici controlli ulteriori che farebbero venire allo scoperto la truffa. Ecco perché i phisher si avvalgono di conti di terze persone, spesso inconsapevoli del loro ruolo nella truffa, per il trasferimento del denaro all’estero.
Le terze persone sono individuate tramite altre mail con le quali si chiede ai destinatari di riscuotere somme e accreditarle sui propri conti correnti, per poi trasferirle all’estero mediante servizi di money transfer (tipo Western Union, per esempio), i quali non operano tutti quei controlli a cui sono sottoposti i bonifici bancari verso l’estero.
Il caso classico è la mail con la quale una persona residente all’estero chiede al soggetto contattato di farsi depositare dei soldi sul suo conto per poi trasferirli all’estero, trattenendo per sé una commissione, utilizzando varie scusanti, tipo l’aver ricevuto un’eredità ma di essere impossibilitato a venire in Italia per ottenere l’accredito diretto delle somme.
Ovviamente le persone che si mettono a disposizione per svolgere questo compito ricevono una percentuale sull’operazione, ma è importante tener presente che la condotta dei financial manager può integrare il reato di riciclaggio di denaro proveniente da reato, previsto e punito dall’art. 648 bis del codice penale, per il quale però è richiesto il dolo generico, cioè la condotta deve essere caratterizzata dalla generica volontà di realizzare una delle operazioni tipiche previste dall’articolo del codice (“chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni in modo da ostacolare l’identificazione della loro provenienza delittuosa”), con la consapevolezza della provenienza da delitto doloso del bene su cui si opera.
La Corte di Cassazione, con la sentenza n. 25960 del 1 luglio 2011, ha precisato che l'elemento soggettivo del reato può essere integrato dal dolo eventuale in ordine alla provenienza illecita del denaro, non è sufficiente che l'imputato abbia agito sulla base di un mero sospetto, ovvero di disattenzione, di noncuranza o dimero disinteresse verso la provenienza illegale delle somme ricevute e trasferite. Quindi, "il dolo eventuale nella ricettazione richiede un atteggiamento psicologico che, pur non attingendo il livello della certezza, si colloca su un gradino immediatamente più alto di quello del mero sospetto, configurandosi in termini di rappresentazione da parte dell'agente della concreta possibilità della provenienza della cosa da delitto".
Le banche non sono automaticamente obbligate a risarcire i correntisti truffati, in assenza di accordi contrattuali specifici, anche se in qualche caso potrebbe sorgere a carico loro una responsabilità, se le misure di sicurezza della banca risultassero inadeguate.
Con un provvedimento del 10 ottobre 2008 il giudice per le indagini preliminari di Milano ha stabilito quali tipi di danni possono essere chiesti dalle banche dei correntisti e dai correntisti stessi, vittime di questo tipo di truffa. Il giudice asserisce che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all’ente la qualifica di danneggiato dal reato. Poiché nessuna banca garantisce i clienti da frodi informatiche (la maggior parte delle banche si tutela, infatti, includendo nei contratti di conto corrente online una clausola nella quale si impone di non rivelare a terzi i codici, e in presenza di tale clausola il cliente non può pretendere il rimborso delle somme frodate), le banche non possono acquisire la qualifica di danneggiato dal reato, e quindi non possono ottenere alcun risarcimento. Nel procedimento in questione si agiva solo contro i financial manager, i riciclatori del denaro truffato, e il giudice ha stabilito che, poiché tali soggetti intervengono solo in una fase successiva e quindi non hanno alcuna cognizione della provenienza dei fondi, contro di loro non è possibile chiedere il risarcimento del danno all’immagine dell’istituto di credito.
Con provvedimento del 15 ottobre lo stesso giudice ha stabilito che i financial manager devono essere processati nel luogo dove risiedono, in mancanza di una prova di una forma di associazione tra phisher e loro.
Ovviamente per difendersi dal phishing è necessario avere innanzitutto un computer protetto, con antivirus e firewall aggiornati. Inoltre è importante non porre in essere comportamenti imprudenti. Si deve, quindi, essere coscienti del fatto che nessuna banca né le Poste chiedono mai password per mail, al massimo vi invitano in filiale se sorgono problemi col conto.
Inoltre le banche vigilano sempre su questo tipo di frodi, tramite una apposita centrale rischi ed insieme alla Polizia Postale. Nel momento in cui vengono a conoscenza dell’esistenza di un sito contraffatto si attivano immediatamente, sempre tramite la Polizia Postale, per ottenerne la chiusura (in media un sito phishing viene chiuso in 24 ore nell’80% dei casi).
Nel caso in cui si rimanga frodati dal phisher, è fondamentale attivarsi il più presto possibile per denunciare il fatto alla Polizia Postale e per comunicarlo alla banca, compilando un modulo di contestazione in cui “non si riconosce alcun addebito a partire dalla tal data”, modulo che dovrebbe fornire la banca, la quale poi provvederà anche a bloccare i codici di accesso al conto online e a fornirne di nuovi.
In base al decreto legislativo n. 11 del 27 gennaio 2010, entrato in vigore il primo marzo 2010, che ha recepito la Direttiva europea sui servizi di pagamento (DSP), la banca deve restituire al cliente le somme sottratte con operazioni non autorizzate, cioè fraudolente. Il termine per richiedere il rimborso è di 13 mesi. In sostanza, al fine di invogliare l’uso delle transazioni online, si realizza una copertura per il consumatore dalle perdite subite in caso di utilizzo dello strumento di pagamento o del servizio di pagamento da parte di terzi in seguito a smarrimento, furto o uso indebito, ad eccezione di alcune ipotesi specifiche, ovviamente subordinatamente alla comunicazione da parte del consumatore al prestatore di servizi di pagamento (la banca). Nel caso di comunicazione non tempestiva la perdita addebitabile massima è di 150 euro.
Il correntista può non ottenere il rimborso delle somme truffate se la banca ritiene non abbia adottato le misure di sicurezza idonee, o se ha agito in modo fraudolento, circostanze che comunque spetta alla banca provare. In caso di diniego è comunque possibile rivolgersi all’ufficio reclami della banca, e, in caso di risposta insoddisfacente, presentare ricorso all’Arbitro bancario e finanziario.