Phishing on line

Il phishing: cos’è e come prevenirlo

Negli ultimi anni, il termine “phishing” è diventato sempre più comune nel linguaggio quotidiano, soprattutto nell’ambito della sicurezza informatica. Ma cosa significa esattamente phishing, anche nelle varianti meno note del Vishing, dello Smishing e del QRishing? Con il termine phishing si fa riferimento a una pratica fraudolenta che ha come obiettivo quello di ingannare l’utente per rubargli informazioni sensibili, come password, dati bancari o altre informazioni personali. Questa attività può avvenire attraverso email, messaggi SMS o persino tramite intermediari sui social media.

Riconoscere il phishing è diventato fondamentale in un’epoca in cui la digitalizzazione ha permeato ogni aspetto della vita quotidiana. Le statistiche parlano chiaro: secondo recenti rapporti, un numero crescente di utenti Internet è vittima di questo tipo di attacchi ogni anno. È quindi cruciale avere consapevolezza di come funziona il phishing e delle pratiche da adottare per evitarlo.

Tipi di phishing

Il phishing non è un fenomeno unico, ma presenta diverse varianti e modalità attuative. Tra i tipi più comuni troviamo sicuramente il phishing via email, dove il truffatore invia messaggi che sembrano provenire da istituti finanziari o aziende di fiducia. Queste email spesso includono link che rimandano a siti web creati appositamente per il furto di dati.

Un’altra forma è rappresentata dallo smishing, ovvero il phishing effettuato tramite SMS. Un messaggio apparentemente innocuo può contenere richieste urgenti che, se ignorate, potrebbero portare alla chiusura del proprio conto o, peggio, alla perdita di denaro. Il vishing, invece, sfrutta le telefonate per ottenere informazioni sensibili, solitamente fingendo di essere un rappresentante di un’azienda. Il QRishing coinvolge la vittima nell’inquadrare un codice QR specifico per direzionarla ad un sito malevolo.

Il concetto di spear phishing si riferisce invece a tentativi di attacco più mirati, in cui i truffatori studiano attentamente le vittime prescelte per rendere l’inganno più credibile. Infine, il whaling è un attacco ancora più sofisticato e mirato a figure elevate in un’organizzazione, come dirigenti o membri di consiglio, per ottenere accesso a dati aziendali sensibili.

Come riconoscere un tentativo di phishing

Riconoscere un tentativo di phishing può essere complicato, ma ci sono alcuni segnali d’allerta da tener presente. Prima di tutto, è fondamentale controllare l’indirizzo email del mittente: spesso, i truffatori utilizzano indirizzi simili a quelli ufficiali, ma con piccole variazioni. Inoltre, alcuni messaggi contengono errori grammaticali o di ortografia, che possono risultare sospetti anche se non visibili in prima istanza.

Osservare i link inclusi nel messaggio è altrettanto importante. Passando il mouse sopra il link, è possibile visualizzare l’URL di destinazione; se questo indirizzo non corrisponde a quello di un’azienda ufficiale, è un chiaro segnale di allerta. Spesso, i tentativi di truffa si presentano con richieste urgenti, come la necessità di aggiornare informazioni personali o confermare il proprio account.

Un esempio pratico potrebbe essere la situazione in cui si riceve un’email da una banca, chiedendo di verificare un’attività sospetta. Chiunque riceva un’email del genere dovrebbe contattare direttamente la banca utilizzando i canali ufficiali, evitando di cliccare sui link presenti nel messaggio.

Reato di phishing

Il reato di phishing, pur non essendo codificato esplicitamente con tale termine nel codice penale italiano, è sanzionato attraverso la legislazione che tratta le frodi informatiche e le truffe. Gli articoli del codice penale che possono essere applicabili al reato di phishing includono principalmente i seguenti:

  1. Articolo 640 – Truffa
    L’articolo 640 del codice penale riguarda la truffa e si applica quando qualcuno induce un’altra persona a fare qualcosa, raggirandola e ottenendo un vantaggio economico illecito. Il phishing si configura come una truffa quando un soggetto, attraverso l’inganno, ottiene dati personali (ad esempio, dati bancari) per trarne un profitto, come nel caso in cui vengano trasferiti fondi o vengano utilizzate carte di credito in modo fraudolento.

    • “Chi, con artifizi o raggiri, induce taluno in errore, procurandosi un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.”

       

  2. Articolo 640-bis – Truffa aggravata
    Se il reato di truffa è commesso attraverso l’uso di strumenti informatici o telematici, può essere configurato come una truffa aggravata, con pene più severe.

    • “La truffa è aggravata quando il fatto è commesso utilizzando tecniche di comunicazione telematica o informatica, comprese quelle riguardanti la falsificazione di documenti informatici.”

       

  3. Articolo 491-bis – Falsificazione di carte di credito, carte di pagamento e sistemi di pagamento elettronici
    Questo articolo punisce la falsificazione di strumenti di pagamento elettronico. Nel caso del phishing, se i dati ottenuti vengono utilizzati per creare carte di credito false o altre forme di pagamento elettronico, il reato di falsificazione potrebbe essere contestato.

    • “Chiunque falsifica una carta di credito, una carta di pagamento o uno strumento di pagamento elettronico è punito con la reclusione da uno a cinque anni.”

       

  4. Articolo 494 – Sostituzione di persona
    Se il truffatore si finge un’altra persona, come un ente bancario o un’azienda, al fine di ingannare la vittima e ottenere vantaggi illeciti (ad esempio, raccogliendo dati sensibili), si configura il reato di sostituzione di persona.

     

    • “Chiunque, con artifici o raggiri, si sostituisce a un’altra persona, usurpandone l’identità, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, è punito con la reclusione da uno a tre anni.”

       

  5. Articolo 615-ter – Accesso abusivo a sistema informatico o telematico
    Anche se il phishing si concentra più sull’inganno, può essere associato a un accesso abusivo se, per esempio, il truffatore accede a un sistema informatico per raccogliere dati sensibili in modo illecito.

    • “Chiunque, al fine di procurare a sé o ad altri un profitto, si introduce abusivamente in un sistema informatico o telematico, o ne impedisce o interrompe l’uso, è punito con la reclusione da uno a tre anni.”

       

  6. Articolo 625 – Furto con strumento informatico
    Se il phishing è finalizzato all’appropriazione indebita di denaro o beni tramite l’uso di strumenti informatici (ad esempio, utilizzando informazioni bancarie rubate), potrebbe configurarsi anche come furto con strumenti informatici.

    • “Chiunque, con l’uso di un sistema informatico o telematico, commette il reato di furto, è punito con la reclusione da uno a cinque anni e con una multa.”

Le conseguenze per le vittime di phishing possono essere devastanti, non solo sul piano economico, ma anche per la qualità della vita di chi subisce l’attacco. È quindi importante essere consapevoli di questo aspetto legale e denunciare sempre i tentativi di phishing alle autorità competenti.

Danni potenziali del phishing

Le vittime di phishing possono affrontare una serie di conseguenze devastanti. Il furto di identità è forse la conseguenza più temuta; una volta in possesso delle informazioni personali, i truffatori possono creare nuovi account o contratti a nome della vittima, causando danni irreparabili alla reputazione finanziaria della persona coinvolta.

Anche i costi economici possono essere significativi. Le aziende, in particolare, possono subire danni ingenti a causa dell’accesso non autorizzato ai loro sistemi informatici. In alcuni casi, i danni possono ammontare a milioni di euro, specialmente se si considerano le spese per la gestione delle crisi e il ripristino della sicurezza dei sistemi.

In ultimo, ma non meno importante, c’è l’impatto emotivo. Essere vittima di phishing può generare ansia, stress e un senso di vulnerabilità che penalizza la qualità della vita. Inoltre, può creare una sfiducia nei confronti delle tecnologie, che diventano quindi percepite come strumenti di rischio piuttosto che di utilità.

Prevenzione e sicurezza

La prevenzione è fondamentale per proteggersi dal phishing. Gli utenti e le aziende possono adottare una serie di pratiche per ridurre il rischio d’ogni attacco. In primo luogo, è consigliabile educare se stessi e i propri collaboratori riguardo ai vari tipi di phishing e ai modi per riconoscerli. La consapevolezza è la migliore difesa.

L’utilizzo di strumenti di sicurezza, come software antivirus aggiornati e firewall, contribuisce a creare un ambiente digitale più sicuro. L’autenticazione a due fattori è un’altra misura di protezione indispensabile: richiedere un secondo passaggio di verifica prima di accedere a un account può rendere molto più difficile per i truffatori accedere ai dati personali.

Consigli pratici

Alcuni suggerimenti pratici includono:

  1. Non aprire allegati o cliccare su link in email da mittenti sconosciuti.
  2. Verificare sempre la veridicità delle richieste urgenti, contattando direttamente la società tramite canali ufficiali.
  3. Mantenere aggiornate le credenziali di accesso e cambiarle regolarmente.
  4. Utilizzare password complesse e uniche per i diversi account.

Queste semplici misure possono fare una grande differenza nella protezione dai rischi del phishing.

Hai subito un attacco di phishing o hai bisogno di consulenza legale?

Affidati ai professonisti di Difesa d’Autore, legali esperti in reati informatici, per avere una consulenza dettagliata su come proteggerti nel caso tu sia coinvolto in procedimenti penali, oppure se sei già vittima di phishing, per assicurarti che la tua denuncia sia trattata con competenza tecnica e legale.

Prenota una chiamata senza impegno con i nostri esperti e scopri come possiamo assisterti nella difesa dei tuoi diritti o nella gestione della tua denuncia.