L’intrusione informatica nei servizi di home banking tramite il PHISHING

26 Feb L’intrusione informatica nei servizi di home banking tramite il PHISHING

Una della minacce più frequenti a cui qualsiasi internauta è stato sottoposto almeno una volta, è quella del cosìddetto “phishing“. Il phishing non è altro che una truffa informatica messa in atto da un malintenzionato, chiamato appunto “phisher”. La truffa risiede nel raggirare il malcapitato di turno, spingendolo a fornire credenziali molto importanti, come quelle dell’home banking, ossia quei dati che permettono di controllare il proprio conto in banca tramite internet. La truffa viene perpetrata tramite l’invio di una mail curata nei minimi particolari, con la quale il truffatore finge di essere una banca o un qualsiasi ente di credito, richiedendo al malcapitato di inviare nuovamente i propri dati, magari inserendoli in una pagina web connessa con un collegamento ipertestuale in calce alla mail. Il meccanismo è molto semplice: il phisher fa in tutti i modi per spingere il lettore della mail a cliccare su un link, in modo tale da dirottarlo su una pagina web nella quale può comodamente inserire tutte le sue credenziali “casualmente” perse dalla banca o l’ente di credito. La truffa è proprio qui, non solo il mittente della mail non è realmente l’ente di credito, la pagina non è realmente appartenente alla piattaforma di home banking. Una volta immessi i dati, si viene dirottati su una qualsiasi pagina web scelta dal truffatore, ma ormai il furto di credenziali è stato compiuto. A questo punto il malintenzionato è in possesso delle credenziali utili per effettuare qualsiasi operazione bancaria, comodamente dal proprio pc. Volendo fare una breve analisi di natura tecnica, si può constatare che la mail ricalca esattamente la grafica della piattaforma web dell’istituto di credito, poichè il suo contenuto informativo è stato creato clonando alcune righe di codice html (linguaggio di mark up) contenute nel sito web dell’istituto di credito, in modo da copiare loghi e immagini al fine di rendere la mail più attendibile possibile. E’ inoltre presente un collegamento ipertestuale che dirotta il navigatore della rete su un host il cui indirizzo IP non è quello della banca, poichè si tratta di un server completamente diverso, per l’appunto controllato dal truffatore. Ogni host della rete ha un indirizzo IP univoco, ad esempio il tuo indirizzo IP (proprio tu che stai leggendo in questo momento) è 3.236.46.172, come potrai verificare da qualsiasi strumento presente in internet, cercando su un qualsiasi motore di ricerca. Le piattaforme web delle banche, come qualsiasi altra risorsa presente su internet, risiedono su host (computer in rete) ben definiti, identificati univocamente dai relativi indirizzi IP. Il problema è proprio qui: quando il navigatore, ignaro della truffa, clicca sul collegamento ipertestuale contenuto nella mail, viene dirottato su un host della rete che, oltre a non essere assolutamente quello sul quale risiede la piattaforma web dell’istituto di credito, è controllato dal truffatore! La pagina in cui si viene dirottati contiene in genere dei form all’interno dei quali il visitatore inserisce le proprie credenziali che verranno memorizzate nel server controllato dal truffatore, tramite degli script php “lato server”. A questo punto il danno è ormai compiuto, sono bastati pochi clic per consegnare informazioni importantissime ad un malintenzionato. Per difendersi da queste truffe, occorre prestare molta attenzione. Prima di tutto è necessario sapere che NESSUN istituto di credito potrà mai richiedere dati così importanti via mail. Inoltre si può notare che l’URL (indirizzo) del sito web in cui si viene dirottati è ben diverso da quello del sito web reale della banca, proprio perchè l’host è differente. In altri casi ancor più gravi (pharming), anche l’URL risulta essere uguale, poichè lo smistamento sul server controllato dal truffatore avviene tramite una manipolazione a livello DNS, ossia a livello di traduzione da URL a indirizzo IP. In altri casi invece, l’URL è apparentemente uguale poichè è presente nella pagina web uno script scritto in linguaggio Javascript, che ha il compito di effettuare tale manipolazione. In definitiva, non bisogna mai fornire dati sensibili via internet, al massimo si può prendere contatti telefonicamente con il proprio istituto di credito per chiedere delucidazioni in merito. Da un punto di vista giuridico, l’intrusione informatica, non autorizzata, attraverso il cosiddetto phishing nel servizio di banking dei conti bancari intestati a soggetti titolari di conti correnti, rappresenta oggi il rischio più frequente a cui si può andare incontro. Una volta inseriti i dati questi vengono utilizzati per effettuare un trasferimento di danaro da un conto di un soggetto ignaro al conto del phisher. La magistratura penale  in questi ultimi anni  si è espressa in maniera univoca riconoscendo colpevoli dei reati di sostituzione di persona ex art. 494 cp, di accesso abusivo di sistema informatico ex  art. 615 ter cp, e di truffa ex art. 640 cp tutti coloro che utilizzano illecitamente i dati appartenenti a terze persone per trarre un ingiusto profitto (Cass. Penale 14.11.2016 n. 48027, Cass. Penale sez. II sentenza n. 25960 del 17.6.2011). Rispondono altresì di concorso in predetti reati anche i cosiddetti “financial manager”, cioè coloro che, reclutati dal phisher, ricevono consapevolmente sul proprio conto somme provenienti dalla illecita movimentazione. Tali soggetti possono altresì rispondere dei reati di ricettazione ex art. 648 cp e riciclaggio ex art 648 bis cp. Da un punto di vista civilistico la banca può essere tenuta a risarcire il danno per responsabilità di natura contrattuale, quando non rispetta  le regole del mandato ex art. 1856 cc. L’istituto di credito, in particolare,  ne risponde ove non abbia informato correttamente il correntista sulle condotte sulla sicurezza da adottare e  non abbia posto in essere le misure di sicurezza necessarie affinchè il correntista sia dotato di dispositivi di sicurezza e del cosiddetto “one time password” , in grado di generare continuamente nuove password da usare  per ogni operazione bancaria (Tribunale civile VI sez. 4/12/2014).

Avv. Antonia Massafra