A metà dicembre 2016 il Garante ridesta la ns attenzione sull’istituto del phishing tramite la pubblicazione di una nuova scheda informativa sintetica (infografica) facente parte di una serie di nuovi prodotti informativi ideati dal Garante stesso per sensibilizzare gli utenti sulle varie tematiche connesse alla protezione dei dati personali.
Il phishing è’ una tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti che si configura tramite “una tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username e password, codici di accesso (come il PIN del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito – con l’intento di compiere operazioni fraudolente”, e nella sua versione più semplice si attua attraverso l’invio di un messaggio di posta elettronica in apparenza proveniente dal gestore del servizio ovvero mediante la creazione di pagine web, sempre riferibili al gestore, la cui finalità è quella di sottrarre dati personali del cliente a propria volta utilizzabili per effettuare pagamenti con somme prelevate dal suo conto o per trasferire le somme sottratte su altri conti. Per come ricorda lo stesso garante nella scheda informativa “La truffa avviene di solito via e-mail, ma possono essere utilizzati anche sms, chat e social media. Il «ladro di identità» si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc..”
Generalmente le e-mail di phishing arrivano agli utenti finali tramite mail di spam, in alcuni casi i link ingannevoli non rimandano ad un sito copia, ma direttamente al sito reale del soggetto dove è stato, precedentemente e in seguito di un accesso informatico abusivo, inserito un pop-up dal truffatore. La funzione di questo pop-up è quella di richiedere, per conferma, i dati all´ utente che si collega. Una volta digitati, i dati saranno a disposizione del phisher.
Nella normativa italiana (id est codice penale) il reato di phishing non è specificamente configurato pertanto, per come delineato dalla recente giurisprudenza in materia, lo stesso viene imputato o come Art. 615-quater C.P. (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici)o Art. 640 C.P. (Truffa).o infine come Art. 171. L. 22 aprile 1941, n. 633 e succ. modif.(Protezione del diritto d´autore); gli stessi reati possono anche essere imputati a titolo di concorso tra loro posto che sarà la condotta delittuosa messa in atto dal phisher a delineare il capo d’imputazione.
Posto il tipo di reato vediamo come difenderci, infatti andando anche oltre il consiglio “buon senso prima di tutto” il Garante stesso suggerisce, poi, alcune modalità per tutelarci dal phishing consistenti in “installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing. Programmi e gestori di posta elettronica hanno spesso sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing: è bene controllare che siano attivati e verificarne le impostazioni. Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network, ecc. [vedi anche la scheda del Garante con i consigli per gestire le password in sicurezza ], a meno di disporre di sistemi di autenticazione forte (strong authentication)”. Per valutare se si tratti di contromisure sufficienti, occorrerà sempre valutare che cosa stiamo difendendo e contro chi.
Per ulteriori dettagli si rimanda direttamente al link del Garante Privacy
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5779914
Avv. Laura Marretta