Attenzione ai virus informatici che richiamano a misure di sicurezza contro il Coronavirus

Rossi, Copparoni & Partners Studio LegaleApprofondimenti RPC

ANALISI DEI REATI INFORMATICI CHE POSSONO CONFIGURARSI NEL PHISHING

di avv. TOMMASO ROSSIĀ 

Dal sitoĀ Ā del Ministero dell’Interno la Polizia postale mette in guardia sul phishing, mail ingannevoli che veicolano virus per i computer, e invita ad aprire solo le mail “sicure”, che vengono da account ufficiali e verificati, e aĀ segnalare i casi sospetti sul sito commissariatodips.it, gestito dalla Polizia postale e delle comunicazioni.

Valgono anche e soprattutto in questo periodo di emergenza sanitaria per il contenimento del contagio da nuovo Coronavirus (Covid19) le raccomandazioni che in questi giorni la postale sta ribadendo a fronte dei casi di frode informatica scoperti in questi giorni legati alla preoccupazione generale per il diffondersi dell’epidemia.

Tra queste, si registrano le e mail firmate da una certa dottoressa Penelope Marchetti, presunta ā€œespertaā€ dellā€™Organizzazione mondiale della sanitĆ  in Italia, dal linguaggio professionale e credibile, che invitano le vittime ad aprire un allegato, infetto, che conterrebbe indicazioni per evitare il contagio da Coronavirus. Il virus inforamtico – o “malware” – veicolato, della famiglia “Ostap”, punta a prendere i nostri dati sensibili.  

Un altro caso ĆØ quello scoperto dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia postale, che ha portato alla luce una campagna di false email in giapponese, provenienti  apparentemente da un centro medico che invitano ad aprire un allegato con presunte informazioni sul diffondersi dell’epidemia. Anche qui si tratta di un virus malevolo che punta a credenziali bancarie e dati personali della vittima.

Altra frode intercettata ĆØ quella delle email che invitano ad aprire un file zippato contente documenti Excel, veicolo di un virus informatico di tipo RAT chiamato ā€œPallaxā€. Con un click il virus consentiva agli hacker di assumere totale controllo del dispositivo attaccato, in maniera invisibile.

Sempre della “famiglia” RAT ĆØ il virus nascosto in un file denominato CoronaVirusSafetyMeasures.pdf, con la capacitĆ  di impossessarsi del dispositivo e trasformarlo in un computer “zombie”, usato da remoto per compiere altri attacchi informatici.

Informarsi dalle fonti istituzionali e accreditate, e segnalare alla Polizia postale ogni caso sospetto, ĆØ il modo per mantenere un approccio obiettivo e sicuro di fronte al rischio di incappare in frodi informatiche favorite dal momento di vulnerabilitĆ  collettivo.

PROVIAMO ORA A PASSARE IN RASSEGNA I REATI CHE SI CONFIGURANO IN QUESTI CASI:

Il Report di ENISA, nellā€™ambito dellā€™analisi dello scenario di rischio indicato, fornisce una prima descrizione della minaccia (vedi, par. 3.4 del Report), dalla quale poter desumere gli elementi di base per una sua utile definizione sul piano tecnico.

In questo senso, il phishing ĆØ definito come, ā€œā€¦ the mechanism of crafting messages that use social engineering techniquesā€¦ā€. Laddove con il termine mechanism parrebbe qui intendersi anzitutto un artifizio che si concretizza nella capacitĆ  di comporre, attraverso lā€™impiego delle proprie capacitĆ  e della propria ā€œperiziaā€ , dei testi mediante i quali si fa uso delle tecniche di ingegneria sociale.

Ma a quale scopo? ENISA lo precisa nel suo glossario, per cui gli attacchi di phishing avrebbero lo scopo, ā€œā€¦to persuade potential victims into divulging sensitive information such as credentials, or bank and credit card detailsā€.

Pertanto il phishing puĆ² essere tradotto come un artifizio posto in essere da un soggetto esterno o interno rispetto ad unā€™organizzazione (cosiddetto phisher e/o attaccante), che si concretizza nella creazione di testi, che facendo uso di tecniche di ingegneria sociale, mira a persuadere in modo fraudolento le persone oggetto di attacco, a divulgare informazioni sensibili proprie, o delle quali ne hanno la disponibilitĆ , allo scopo di procurare un danno economico al soggetto passivo della condotta.

Normalmente le frodi informatiche compite con il metodo del Phishing sono di due generi:

  1. come quelle descritte sopra dal sito del Ministero dell’Interno, la mail malevola entra nel computer e si impossessa del controllo dello stesso, con tutto ciĆ² che ne consegue in termini di impossessamento di credenziali bancarie e di dati personali;
  2. frequentemente, invece, la mail malevola afferma di essere venuta in possesso di determinati dati dell’utente e chiede una somma di denaro per restituirli e/o non diffonderli.

Analizziamo in dettaglio i due casi:

1. MAIL CHE SEMBRA PROVENIRE DA UNA ISTITUZIONE PUBBLICA O PRIVATA SERIA e RICHIEDE UNA OPERAZIONE OPPURE INSTALLA UN MALWARE:

E’ la tecnica operativa di base (cosiddetto Deceptive Phishing),che  consiste nella creazione di un testo idoneo sul piano dei contenuti, della struttura e della composizione grafica di riferimento, a  generare piena fiducia nei confronti del contenuto stesso da parte di un soggetto ricevente ed indurre cosƬ il medesimo allā€™esecuzione di una specifica azione (ad esempio, attivare un link in ipertesto verso un sito web terzo). Questo testo ĆØ nella maggior parte dei casi integrato in un messaggio e-mail, che mediante un invio massivo ed indiscriminato (cosiddetto spamming) da parte del soggetto attaccante, raggiunge un numero indeterminato e casuale di persone. In questa fase, il mittente delle e-mail ĆØ in linea generale individuato in enti pubblici, istituzioni e organizzazioni private la cui operativitĆ  e presenza in un ambito territoriale locale, nazionale o internazionale, ĆØ consolidata nel tempo, anche rispetto al numero di persone ad essi fidelizzate. Lā€™esecuzione dellā€™azione proposta nella e-mail di primo invio conduce successivamente l’utente  presso un sito web terzo, creato ad hoc dal phisher secondo i contenuti e gli schemi comunicativi tipici dellā€™ente, istituzione od organizzazione privata, della quale ne viene simulata la genuinitĆ . La pagina web creata ad arte, richiederĆ  lā€™esecuzione di una specifica ed ulteriore azione da parte del soggetto passivo. 

Altra declinazione di questa tecnica di phishing ĆØ quello basato su software contenente codice maligno (cosiddetto malware). In questo senso, ferma la tecnica di base fondata su strategie di social engineering per lā€™adescamento della vittima, lā€™acquisizione delle informazioni/dati personali del soggetto passivo avviene mediante lā€™installazione di un software operante in background presso il sistema informatico dellā€™utente, cosƬ da acquisire i dati ed informazioni ritenuti rilevanti dal phisher, ad insaputa del soggetto passivo.

La Legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest del Consiglio dā€™Europa sulla criminalitĆ  informatica del 23 novembre 2001, delinea la definizione di cyber crimes, come ā€œogni tipo di violazione penale commessa per mezzo, con lā€™ausilio e/o avente ad oggetto un sistema o programma informaticoā€.

Il nostro ordinamento penale, perĆ², non prevede uno specifico reato che sanziona la condotta di phishing nelle modalitĆ  sopra descritte, e la giurisprudenza di legittimitĆ  e merito degli ultimi 15 anni ha inquadrato il fenomeno in varie fattispecie di reato.

Si va dal reato di falsificazione di comunicazione telematica (art. 617 sexies c.p.), alla truffa (art. 640 c.p.),dalla sostituzione di persona (art. 494 c.p.)  all’ accesso abusivo in un sistema informatico o telematico (art. 615 ter c.p.) e frode informatica (art. 640 ter c.p.).

A parte la truffa e la sostituzione di persona, , le altre ipotesi delittuose sono state introdotte dal legislatore nazionale con la Legge n 547/1993, recante modificazioni ed integrazioni alle norme del codice penale, in tema di criminalitĆ  informatica.

  • Art. 494 c.p. Sostituzione di persona. La norma tutela la fede pubblica e punisce quei comportamenti posti in essere al fine di sostituire illegittimamente la propria allā€™altrui persona o attribuire a sĆ© o ad altri un falso nome, un falso stato o una qualitĆ  a cui la legge ricollega effetti giuridici. Il momento consumativo del reato si ha quando il soggetto passivo viene indotto in errore, ed in questo senso anche il tentativo ĆØ ammissibile. Questa fattispecie rileva nelle condotte di phishing per quanto attiene la prima fase della condotta di phishing, ovverosia lā€™inganno del soggetto poi indotto in errore, al quale viene fatto credere di relazionarsi con un soggetto o entitĆ  ben definita e conosciuta, alla quale il criminale informatico sostituisce se stesso. 
  • Art. 640 c.p. Truffa. reato inquadrato tra le norme a tutela del Patrimonio, punisce tutti quei comportamenti idonei ad alterare la libera formazione del consenso nei negozi giuridici patrimoniali, compiuto al fine di ottenere un ingiusto profitto inducendo la vittima in errore mediante artifizi o raggiri , indotti al fine di persuadere il soggetto passivo della bontĆ  di una determinata scelta o con la minaccia di non incorrere in un danno maggiore.  Il reato ĆØ istantaneo e si consuma con lā€™avvenuta diminuzione patrimoniale subita dalla persona offesa, a causa della condotta criminosa. Il tentativo ĆØ configurabile. PuĆ² concorrere nella condotta del phishing con il reato precedente. Il punto dolente, rispetto all’inquadramento del phishing, ĆØ che il danno economico deve essere reale e contestuale alla consumazione del reato, mentre spesso il “phisher” una volta ottenuti i dati non li utilizza subito e il danno economico rimano soltanto una mera potenzialitĆ  rispetto al momento consumativo del reato.
  • Art. 640ter c.p. Frode informatica. Rileva nelle tecniche di phishing basato su software contenente codice maligno  tipo malware o troja . In questi casi, lā€™art. 640 ter c.p. puĆ² far confluire in sĆ© tutte le fasi della condotta del phisher ovvero lā€™alterazione del funzionamento di un sistema informatico, ed in via alternativa o prodromica, lā€™intervento senza diritto sui dati, informazioni o programmi contenuti nel sistema informatico, con il conseguimento dellā€™ingiusto profitto con lā€™altrui danno. Il D.L. n. 93/2013 ha poi introdotto lā€™aggravante di cui al comma 3 secondo cui: ā€œLa pena ĆØ della reclusioneā€¦se il fatto ĆØ commesso con furto o indebito utilizzo dellā€™identitĆ  digitale in danno di uno o piĆ¹ soggettiā€.
  • La diversitĆ  dei beni giuridici tutelati dalle norme indicate puĆ² far pensare anche al concorso con la fattispecie di accesso abusivo al sistema informatico ex art. 615 ter c.p. (eventualmente con le chiavi di accesso ottenute in via fraudolenta), reato su cui approfondiremo nel punto successivo.

2. LA MAIL MALEVOLA AFFERMA DI ESSERE VENUTA IN POSSESSO DI DETERMINATI DATI DELL’UTENTE E CHIEDE UNA SOMMA DI DENARO (SPESSO IN BITCOIN) PER RESTITUIRLI E/O NON DIFFONDERLI.

In questo secondo caso, potremmo  pensere che si configuri il reato di ESTORSIONE (629 c.p.),  che si ha nel caso in cui ā€œChiunque, mediante violenza  o minaccia , costringendo taluno a fare o ad omettere qualche cosa, procura a sĆ© o ad altri un ingiusto profitto con altrui danno, ĆØ punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.La pena ĆØ della reclusione da sette a venti anni e della multa da da euro 5.000 a euro 15.000, se concorrono le aggravanti indicate nel reato di rapina.ā€ Per aversi estorsione, in sostanza, la violenza o la minaccia devono essere dirette a coartare la volontĆ  della vittima affinchĆØ questa compia un atto di disposizione patrimoniale che porti ad un ingiusto profitto per chi lo riceve.

Ma pensandoci bene, quando ĆØ palese che il danno minacciato non sia credibile,  ritengo si possa versare nellā€™ipotesi del piĆ¹ mite reato di truffa aggravata dallā€™ingenerato timore di un pericolo immaginario(art. 640 c.2 n.2 c.p.) anzichĆ© nellā€™estorsione. Con la pronuncia n. 28181 del luglio 2015 i Giudici della Quinta sezione penale della Cassazione hanno affrontato il tema della distinzione tra il reato di truffa aggravata dallā€™ingenerato timore di un pericolo immaginario(art. 640 c.2 n.2 c.p.) e quello di estorsione.

Sul punto ā€“ si legge in sentenza ā€“ sono ravvisabili due diversi indirizzi interpretativi:

  1. secondo un primo orientamento, il criterio differenziale tra il delitto di truffa aggravato dallā€™ingenerato timore di un pericolo immaginario e quello di estorsione, risiede solo ed esclusivamente nellā€™elemento oggettivo: si ha truffa aggravata quando il danno immaginario viene indotto nella persona offesa tramite raggiri o artifizi; si ha estorsione, invece, quando il danno ĆØ certo e sicuro ad opera del reo o di altri ove la vittima non ceda alla richiesta minatoria. Ne consegue che la valutazione circa la sussistenza del danno immaginario (e, quindi, del reato di truffa aggravata) o del danno reale (e, quindi, del reato di estorsione) va effettuata ā€œex anteā€ essendo irrilevante ogni valutazione in ordine alla provenienza del danno prospettato ovvero allo stato soggettivo della persona offesa (cosi, tra le piĆ¹ recenti, Sez. 2, n. 52121 del 25/11/2014, Danzi, Rv. 261328).
  2. secondo altro orientamento, uno dei criteri distintivi tra lā€™estorsione e la truffa per ingenerato timore ĆØ da ravvisare nella particolare posizione dellā€™agente nei rapporti con lo stato dā€™animo del soggetto passivo.

Al ricorrente veniva contestato il fatto di essersi introdotto con altri soggetti, camuffati da carabinieri, nellā€™abitazione della persona offesa e, dopo aver giustificato la presenza per finalitĆ  di giustizia (lā€™esecuzione di un ordine di perquisizione) di essersi impossessato di una consistente somma di denaro (27.000 Euro) e di gioielli, custoditi dalla persona offesa in una cassaforte, che era stata aperta in seguito allā€™ordine intimato dai falsi pubblici ufficiali.

La Corte ha ritenuto infondata la tesi, sostenuta dal ricorrente, in relazione alla qualificazione giuridica del suddetto fatto come truffa cd. vessatoria  ritenendo configurabile il reato di estorsione aggravata.

Ritengo che in molti di questi casi (tipici quelle mail in cui si informava l’utente di avere delle registrazioni di suoi accessi in siti pornografici e che sarebbero stati diffusi salvo pagamento di una somma), siamo invece nellā€™ipotesi opposta, tale da configurare la c.d. ā€œtruffa vessatoriaā€(ovviamente nelle forme del tentativo): il danno ĆØ prospettato solo in termini di eventualitĆ  obiettiva e giammai derivante in modo diretto od indiretto dalla volontĆ  dellā€™agente (perchĆ© non ne ha obiettivamente le effettive possibilitĆ ), di guisa che lā€™offeso agisce non perchĆØ coartato, ma tratto in inganno, anche se il timore contribuisce ad ingenerare lā€™errore nel processo formativo della volontĆ  (tra le tante Sez. 2, n. 36906 del 27/09/2011, Traverso, Rv. 251149; si vedano anche Rv. 133309; 156497; 174914; 201333; 215705; 226057; 248402; 251149).

Quindi, tra le due fattispecie vengono in rilievo due criteri distintivi:

  1. lo stato dā€™animo del soggetto passivo, che nellā€™estorsione agisce con la volontĆ  coartata, mentre nella truffa vessatoria si determina perchĆØ tratto in inganno, sia pure attraverso la prospettazione di un timore (Sez. 2, n. 5244 del 19/11/1975, Rv. 133309);
  2. la realizzazione del danno minacciato, che nella estorsione viene prospettato come possibilitĆ  concreta, che dipende direttamente o indirettamente dallo stesso agente; nella truffa, invece, il male rappresentato non dipende, neppure in parte, dallā€™agente, il quale resta del tutto estraneo allā€™evento, sƬ che il soggetto passivo si determina allā€™azione versando in stato di errore (tra le tante, Sez. 2, n. 7889 del 27/03/1996, P.M. in proc. Spinelli, Rv. 205606).

In una recentissima pronuncia ā€“ ha aggiunto la Corte ā€“ si ĆØ ribadito che il criterio distintivo tra il reato di truffa e quello di estorsione, quando il fatto ĆØ connotato dalla minaccia di un male, va ravvisato essenzialmente nel diverso modo di atteggiarsi della condotta lesiva e della sua incidenza nella sfera soggettiva della vittima: ricorre la prima ipotesi  se il male viene prospettato come possibile ed eventuale e comunque non proveniente direttamente o indirettamente da chi lo prospetta, in modo che la persona offesa non ĆØ coartata, ma si determina alla prestazione, costituente lā€™ingiusto profitto dellā€™agente, perchĆØ tratta in errore dalla esposizione di un pericolo inesistente; mentre si configura lā€™estorsione se il male viene indicato come certo e realizzabile ad opera del reo o di altri, in tal caso la persona offesa ĆØ posta nella ineluttabile alternativa di far conseguire allā€™agente il preteso profitto o di subire il male minacciato.

Insomma ā€“ concludono i giudici ā€“ il reato di truffa aggravata dallā€™essere stato ingenerato nella persona offesa il timore di un pericolo immaginario (art. 640 cpv. c.p., n. 2) si configura solo allorchĆØ venga prospettata al soggetto passivo una situazione di pericolo che non sia riconducibile alla condotta dellā€™agente, ma che anzi da questa prescinda perchĆØ dipendente dalla volontĆ  di un terzo o da accadimenti non controllabili dallā€™uomo. Al contrario, se il verificarsi del male minacciato, pur immaginario, viene prospettato come dipendente dalla volontĆ  dellā€™agente, il soggetto passivo ĆØ comunque posto davanti allā€™alternativa di aderire allā€™ingiusta e pregiudizievole richiesta del primo o subire il danno: in tali ipotesi pertanto si configura il delitto di estorsione, ed a nulla rileva che la minaccia, se credibile, non sia concretamente attuabile (Sez. 2, n. 7889 del 27/03/1996 ā€“ dep. 10/08/1996, P.M. in proc. Spinelli, Rv. 205606). Questo potrebbe farmi ā€œtornare sui miei passiā€, e ritenere che nel ā€œnostro casoā€ si versi in ipotesi di estorsione, ovviamente sempre nelle forme del tentativo che si ha laddove il profitto non sia conseguito e/o il danno non sia inflitto.

Poi, ritengo,si possa configurare la SOSTITUZIONE DI PERSONA (art. 494 c.p.):  ā€œChiunque, al fine di procurare a sĆ© o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria allā€™altrui persona , o attribuendo a sĆ© o ad altri un falso nome , o un falso stato, ovvero una qualitĆ  a cui la legge attribuisce effetti giuridici, ĆØ punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un annoā€. Il reato ĆØ posto a tutela della pubblica fede, contro tutti quei comportamenti legati alla identitĆ  personale e caratterizzati dallā€™inganno  ai danni di  un numero indeterminato di individui che, nellā€™ambito dei rapporti sociali,  devono dare fiducia  a determinate attestazioni.

Per la configurazione della fattispecie criminosa ĆØ richiesto il dolo specifico (elemento soggettivo), quindi la volontĆ  del reo di indurre qualcuno in errore ed il comportamento deve essere tale da procurare a sĆØ o ad altri un vantaggio ( patrimoniale e non ) o arrecare danno al soggetto a cui ĆØ stata sottratta lā€™identitĆ .

Riflettevo poi se si potesse anche configurare lā€™ACCESSO ABUSIVO A SISTEMA INFORMATICO (ART. 615-ter c.p.):ā€œChiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontĆ  espressa o tacita di chi ha il diritto di escluderlo, ĆØ punito con la reclusione fino a tre anni.

La pena ĆØ della reclusione da uno a cinque anni:

1) se il fatto ĆØ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualitĆ  di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se ĆØ palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o lā€™interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi allā€™ordine pubblico o alla sicurezza pubblica o alla sanitĆ  o alla protezione civile o comunque di interesse pubblico, la pena ĆØ, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto ĆØ punibile a querela della persona offesa; negli altri casi si procede dā€™ufficio.ā€

Direi proprio di no, se ĆØ vero come ĆØ vero che nel ā€œnostro casoā€ non cā€™ĆØ stata in realtĆ  alcuna violazione dellā€™account personale, non ĆØ vero che la mail ĆØ stata realmente inviata dalla nostra casella di posta elettronica (abbiamo spiegato il sistema degli indirizzi mail ā€œmascheraā€, e tutto il resto che viene prospettato (lā€™apprensione di tutti i nostri contatti mail e Messenger) sia solo una serie di panzane che vanno a corroborare la tentata estorsione o la tentata truffa nei termini sopra descritti.

CONSIGLI:

Anzitutto calma, specie quando viene chiesto il pagamento di una somma (“riscatto”), spesso mediante Bitcoin. In casi come questi, chi paga si mette nei guai da solo, perchĆØ di certo non risolve il problema e anzi, apre la strada a due possibilitĆ . La prima ĆØ che seguano altre, e sempre piĆ¹ pressanti, richieste di denaro. La seconda ĆØ che lo strumento di pagamento utilizzato (carta di credito, account Paypal, etc) possa essere a sua volta violato e/o clonato.

Rivolgetevi alla Polizia Postale, se avete dubbi.

Potete anche mandare una mail  allā€™indirizzo del Nostro Studio Legale (info@rpcstudiolegale.it) per chiedere un consiglio sul da farsi. SarĆ² ben lieto di aiutarvi.

Lascia un commento

Il tuo indirizzo email non sarĆ  pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.