Attenzione ai virus informatici che richiamano a misure di sicurezza contro il Coronavirus

ANALISI DEI REATI INFORMATICI CHE POSSONO CONFIGURARSI NEL PHISHING

di avv. TOMMASO ROSSI 

Dal sito  del Ministero dell’Interno la Polizia postale mette in guardia sul phishing, mail ingannevoli che veicolano virus per i computer, e invita ad aprire solo le mail “sicure”, che vengono da account ufficiali e verificati, e a segnalare i casi sospetti sul sito commissariatodips.it, gestito dalla Polizia postale e delle comunicazioni.

Valgono anche e soprattutto in questo periodo di emergenza sanitaria per il contenimento del contagio da nuovo Coronavirus (Covid19) le raccomandazioni che in questi giorni la postale sta ribadendo a fronte dei casi di frode informatica scoperti in questi giorni legati alla preoccupazione generale per il diffondersi dell’epidemia.

Tra queste, si registrano le e mail firmate da una certa dottoressa Penelope Marchetti, presunta “esperta” dell’Organizzazione mondiale della sanità in Italia, dal linguaggio professionale e credibile, che invitano le vittime ad aprire un allegato, infetto, che conterrebbe indicazioni per evitare il contagio da Coronavirus. Il virus inforamtico – o “malware” – veicolato, della famiglia “Ostap”, punta a prendere i nostri dati sensibili.  

Un altro caso è quello scoperto dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia postale, che ha portato alla luce una campagna di false email in giapponese, provenienti  apparentemente da un centro medico che invitano ad aprire un allegato con presunte informazioni sul diffondersi dell’epidemia. Anche qui si tratta di un virus malevolo che punta a credenziali bancarie e dati personali della vittima.

Altra frode intercettata è quella delle email che invitano ad aprire un file zippato contente documenti Excel, veicolo di un virus informatico di tipo RAT chiamato “Pallax”. Con un click il virus consentiva agli hacker di assumere totale controllo del dispositivo attaccato, in maniera invisibile.

Sempre della “famiglia” RAT è il virus nascosto in un file denominato CoronaVirusSafetyMeasures.pdf, con la capacità di impossessarsi del dispositivo e trasformarlo in un computer “zombie”, usato da remoto per compiere altri attacchi informatici.

Informarsi dalle fonti istituzionali e accreditate, e segnalare alla Polizia postale ogni caso sospetto, è il modo per mantenere un approccio obiettivo e sicuro di fronte al rischio di incappare in frodi informatiche favorite dal momento di vulnerabilità collettivo.

PROVIAMO ORA A PASSARE IN RASSEGNA I REATI CHE SI CONFIGURANO IN QUESTI CASI:

Il Report di ENISA, nell’ambito dell’analisi dello scenario di rischio indicato, fornisce una prima descrizione della minaccia (vedi, par. 3.4 del Report), dalla quale poter desumere gli elementi di base per una sua utile definizione sul piano tecnico.

In questo senso, il phishing è definito come, “… the mechanism of crafting messages that use social engineering techniques…”. Laddove con il termine mechanism parrebbe qui intendersi anzitutto un artifizio che si concretizza nella capacità di comporre, attraverso l’impiego delle proprie capacità e della propria “perizia” , dei testi mediante i quali si fa uso delle tecniche di ingegneria sociale.

Ma a quale scopo? ENISA lo precisa nel suo glossario, per cui gli attacchi di phishing avrebbero lo scopo, “…to persuade potential victims into divulging sensitive information such as credentials, or bank and credit card details”.

Pertanto il phishing può essere tradotto come un artifizio posto in essere da un soggetto esterno o interno rispetto ad un’organizzazione (cosiddetto phisher e/o attaccante), che si concretizza nella creazione di testi, che facendo uso di tecniche di ingegneria sociale, mira a persuadere in modo fraudolento le persone oggetto di attacco, a divulgare informazioni sensibili proprie, o delle quali ne hanno la disponibilità, allo scopo di procurare un danno economico al soggetto passivo della condotta.

Normalmente le frodi informatiche compite con il metodo del Phishing sono di due generi:

  1. come quelle descritte sopra dal sito del Ministero dell’Interno, la mail malevola entra nel computer e si impossessa del controllo dello stesso, con tutto ciò che ne consegue in termini di impossessamento di credenziali bancarie e di dati personali;
  2. frequentemente, invece, la mail malevola afferma di essere venuta in possesso di determinati dati dell’utente e chiede una somma di denaro per restituirli e/o non diffonderli.

Analizziamo in dettaglio i due casi:

1. MAIL CHE SEMBRA PROVENIRE DA UNA ISTITUZIONE PUBBLICA O PRIVATA SERIA e RICHIEDE UNA OPERAZIONE OPPURE INSTALLA UN MALWARE:

E’ la tecnica operativa di base (cosiddetto Deceptive Phishing),che  consiste nella creazione di un testo idoneo sul piano dei contenuti, della struttura e della composizione grafica di riferimento, a  generare piena fiducia nei confronti del contenuto stesso da parte di un soggetto ricevente ed indurre così il medesimo all’esecuzione di una specifica azione (ad esempio, attivare un link in ipertesto verso un sito web terzo). Questo testo è nella maggior parte dei casi integrato in un messaggio e-mail, che mediante un invio massivo ed indiscriminato (cosiddetto spamming) da parte del soggetto attaccante, raggiunge un numero indeterminato e casuale di persone. In questa fase, il mittente delle e-mail è in linea generale individuato in enti pubblici, istituzioni e organizzazioni private la cui operatività e presenza in un ambito territoriale locale, nazionale o internazionale, è consolidata nel tempo, anche rispetto al numero di persone ad essi fidelizzate. L’esecuzione dell’azione proposta nella e-mail di primo invio conduce successivamente l’utente  presso un sito web terzo, creato ad hoc dal phisher secondo i contenuti e gli schemi comunicativi tipici dell’ente, istituzione od organizzazione privata, della quale ne viene simulata la genuinità. La pagina web creata ad arte, richiederà l’esecuzione di una specifica ed ulteriore azione da parte del soggetto passivo. 

Altra declinazione di questa tecnica di phishing è quello basato su software contenente codice maligno (cosiddetto malware). In questo senso, ferma la tecnica di base fondata su strategie di social engineering per l’adescamento della vittima, l’acquisizione delle informazioni/dati personali del soggetto passivo avviene mediante l’installazione di un software operante in background presso il sistema informatico dell’utente, così da acquisire i dati ed informazioni ritenuti rilevanti dal phisher, ad insaputa del soggetto passivo.

La Legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 novembre 2001, delinea la definizione di cyber crimes, come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”.

Il nostro ordinamento penale, però, non prevede uno specifico reato che sanziona la condotta di phishing nelle modalità sopra descritte, e la giurisprudenza di legittimità e merito degli ultimi 15 anni ha inquadrato il fenomeno in varie fattispecie di reato.

Si va dal reato di falsificazione di comunicazione telematica (art. 617 sexies c.p.), alla truffa (art. 640 c.p.),dalla sostituzione di persona (art. 494 c.p.)  all’ accesso abusivo in un sistema informatico o telematico (art. 615 ter c.p.) e frode informatica (art. 640 ter c.p.).

A parte la truffa e la sostituzione di persona, , le altre ipotesi delittuose sono state introdotte dal legislatore nazionale con la Legge n 547/1993, recante modificazioni ed integrazioni alle norme del codice penale, in tema di criminalità informatica.

  • Art. 494 c.p. Sostituzione di persona. La norma tutela la fede pubblica e punisce quei comportamenti posti in essere al fine di sostituire illegittimamente la propria all’altrui persona o attribuire a sé o ad altri un falso nome, un falso stato o una qualità a cui la legge ricollega effetti giuridici. Il momento consumativo del reato si ha quando il soggetto passivo viene indotto in errore, ed in questo senso anche il tentativo è ammissibile. Questa fattispecie rileva nelle condotte di phishing per quanto attiene la prima fase della condotta di phishing, ovverosia l’inganno del soggetto poi indotto in errore, al quale viene fatto credere di relazionarsi con un soggetto o entità ben definita e conosciuta, alla quale il criminale informatico sostituisce se stesso. 
  • Art. 640 c.p. Truffa. reato inquadrato tra le norme a tutela del Patrimonio, punisce tutti quei comportamenti idonei ad alterare la libera formazione del consenso nei negozi giuridici patrimoniali, compiuto al fine di ottenere un ingiusto profitto inducendo la vittima in errore mediante artifizi o raggiri , indotti al fine di persuadere il soggetto passivo della bontà di una determinata scelta o con la minaccia di non incorrere in un danno maggiore.  Il reato è istantaneo e si consuma con l’avvenuta diminuzione patrimoniale subita dalla persona offesa, a causa della condotta criminosa. Il tentativo è configurabile. Può concorrere nella condotta del phishing con il reato precedente. Il punto dolente, rispetto all’inquadramento del phishing, è che il danno economico deve essere reale e contestuale alla consumazione del reato, mentre spesso il “phisher” una volta ottenuti i dati non li utilizza subito e il danno economico rimano soltanto una mera potenzialità rispetto al momento consumativo del reato.
  • Art. 640ter c.p. Frode informatica. Rileva nelle tecniche di phishing basato su software contenente codice maligno  tipo malware o troja . In questi casi, l’art. 640 ter c.p. può far confluire in sé tutte le fasi della condotta del phisher ovvero l’alterazione del funzionamento di un sistema informatico, ed in via alternativa o prodromica, l’intervento senza diritto sui dati, informazioni o programmi contenuti nel sistema informatico, con il conseguimento dell’ingiusto profitto con l’altrui danno. Il D.L. n. 93/2013 ha poi introdotto l’aggravante di cui al comma 3 secondo cui: “La pena è della reclusione…se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.
  • La diversità dei beni giuridici tutelati dalle norme indicate può far pensare anche al concorso con la fattispecie di accesso abusivo al sistema informatico ex art. 615 ter c.p. (eventualmente con le chiavi di accesso ottenute in via fraudolenta), reato su cui approfondiremo nel punto successivo.

2. LA MAIL MALEVOLA AFFERMA DI ESSERE VENUTA IN POSSESSO DI DETERMINATI DATI DELL’UTENTE E CHIEDE UNA SOMMA DI DENARO (SPESSO IN BITCOIN) PER RESTITUIRLI E/O NON DIFFONDERLI.

In questo secondo caso, potremmo  pensere che si configuri il reato di ESTORSIONE (629 c.p.),  che si ha nel caso in cui “Chiunque, mediante violenza  o minaccia , costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.La pena è della reclusione da sette a venti anni e della multa da da euro 5.000 a euro 15.000, se concorrono le aggravanti indicate nel reato di rapina.” Per aversi estorsione, in sostanza, la violenza o la minaccia devono essere dirette a coartare la volontà della vittima affinchè questa compia un atto di disposizione patrimoniale che porti ad un ingiusto profitto per chi lo riceve.

Ma pensandoci bene, quando è palese che il danno minacciato non sia credibile,  ritengo si possa versare nell’ipotesi del più mite reato di truffa aggravata dall’ingenerato timore di un pericolo immaginario(art. 640 c.2 n.2 c.p.) anziché nell’estorsione. Con la pronuncia n. 28181 del luglio 2015 i Giudici della Quinta sezione penale della Cassazione hanno affrontato il tema della distinzione tra il reato di truffa aggravata dall’ingenerato timore di un pericolo immaginario(art. 640 c.2 n.2 c.p.) e quello di estorsione.

Sul punto – si legge in sentenza – sono ravvisabili due diversi indirizzi interpretativi:

  1. secondo un primo orientamento, il criterio differenziale tra il delitto di truffa aggravato dall’ingenerato timore di un pericolo immaginario e quello di estorsione, risiede solo ed esclusivamente nell’elemento oggettivo: si ha truffa aggravata quando il danno immaginario viene indotto nella persona offesa tramite raggiri o artifizi; si ha estorsione, invece, quando il danno è certo e sicuro ad opera del reo o di altri ove la vittima non ceda alla richiesta minatoria. Ne consegue che la valutazione circa la sussistenza del danno immaginario (e, quindi, del reato di truffa aggravata) o del danno reale (e, quindi, del reato di estorsione) va effettuata “ex ante” essendo irrilevante ogni valutazione in ordine alla provenienza del danno prospettato ovvero allo stato soggettivo della persona offesa (cosi, tra le più recenti, Sez. 2, n. 52121 del 25/11/2014, Danzi, Rv. 261328).
  2. secondo altro orientamento, uno dei criteri distintivi tra l’estorsione e la truffa per ingenerato timore è da ravvisare nella particolare posizione dell’agente nei rapporti con lo stato d’animo del soggetto passivo.

Al ricorrente veniva contestato il fatto di essersi introdotto con altri soggetti, camuffati da carabinieri, nell’abitazione della persona offesa e, dopo aver giustificato la presenza per finalità di giustizia (l’esecuzione di un ordine di perquisizione) di essersi impossessato di una consistente somma di denaro (27.000 Euro) e di gioielli, custoditi dalla persona offesa in una cassaforte, che era stata aperta in seguito all’ordine intimato dai falsi pubblici ufficiali.

La Corte ha ritenuto infondata la tesi, sostenuta dal ricorrente, in relazione alla qualificazione giuridica del suddetto fatto come truffa cd. vessatoria  ritenendo configurabile il reato di estorsione aggravata.

Ritengo che in molti di questi casi (tipici quelle mail in cui si informava l’utente di avere delle registrazioni di suoi accessi in siti pornografici e che sarebbero stati diffusi salvo pagamento di una somma), siamo invece nell’ipotesi opposta, tale da configurare la c.d. “truffa vessatoria”(ovviamente nelle forme del tentativo): il danno è prospettato solo in termini di eventualità obiettiva e giammai derivante in modo diretto od indiretto dalla volontà dell’agente (perché non ne ha obiettivamente le effettive possibilità), di guisa che l’offeso agisce non perchè coartato, ma tratto in inganno, anche se il timore contribuisce ad ingenerare l’errore nel processo formativo della volontà (tra le tante Sez. 2, n. 36906 del 27/09/2011, Traverso, Rv. 251149; si vedano anche Rv. 133309; 156497; 174914; 201333; 215705; 226057; 248402; 251149).

Quindi, tra le due fattispecie vengono in rilievo due criteri distintivi:

  1. lo stato d’animo del soggetto passivo, che nell’estorsione agisce con la volontà coartata, mentre nella truffa vessatoria si determina perchè tratto in inganno, sia pure attraverso la prospettazione di un timore (Sez. 2, n. 5244 del 19/11/1975, Rv. 133309);
  2. la realizzazione del danno minacciato, che nella estorsione viene prospettato come possibilità concreta, che dipende direttamente o indirettamente dallo stesso agente; nella truffa, invece, il male rappresentato non dipende, neppure in parte, dall’agente, il quale resta del tutto estraneo all’evento, sì che il soggetto passivo si determina all’azione versando in stato di errore (tra le tante, Sez. 2, n. 7889 del 27/03/1996, P.M. in proc. Spinelli, Rv. 205606).

In una recentissima pronuncia – ha aggiunto la Corte – si è ribadito che il criterio distintivo tra il reato di truffa e quello di estorsione, quando il fatto è connotato dalla minaccia di un male, va ravvisato essenzialmente nel diverso modo di atteggiarsi della condotta lesiva e della sua incidenza nella sfera soggettiva della vittima: ricorre la prima ipotesi  se il male viene prospettato come possibile ed eventuale e comunque non proveniente direttamente o indirettamente da chi lo prospetta, in modo che la persona offesa non è coartata, ma si determina alla prestazione, costituente l’ingiusto profitto dell’agente, perchè tratta in errore dalla esposizione di un pericolo inesistente; mentre si configura l’estorsione se il male viene indicato come certo e realizzabile ad opera del reo o di altri, in tal caso la persona offesa è posta nella ineluttabile alternativa di far conseguire all’agente il preteso profitto o di subire il male minacciato.

Insomma – concludono i giudici – il reato di truffa aggravata dall’essere stato ingenerato nella persona offesa il timore di un pericolo immaginario (art. 640 cpv. c.p., n. 2) si configura solo allorchè venga prospettata al soggetto passivo una situazione di pericolo che non sia riconducibile alla condotta dell’agente, ma che anzi da questa prescinda perchè dipendente dalla volontà di un terzo o da accadimenti non controllabili dall’uomo. Al contrario, se il verificarsi del male minacciato, pur immaginario, viene prospettato come dipendente dalla volontà dell’agente, il soggetto passivo è comunque posto davanti all’alternativa di aderire all’ingiusta e pregiudizievole richiesta del primo o subire il danno: in tali ipotesi pertanto si configura il delitto di estorsione, ed a nulla rileva che la minaccia, se credibile, non sia concretamente attuabile (Sez. 2, n. 7889 del 27/03/1996 – dep. 10/08/1996, P.M. in proc. Spinelli, Rv. 205606). Questo potrebbe farmi “tornare sui miei passi”, e ritenere che nel “nostro caso” si versi in ipotesi di estorsione, ovviamente sempre nelle forme del tentativo che si ha laddove il profitto non sia conseguito e/o il danno non sia inflitto.

Poi, ritengo,si possa configurare la SOSTITUZIONE DI PERSONA (art. 494 c.p.):  “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona , o attribuendo a sé o ad altri un falso nome , o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno”. Il reato è posto a tutela della pubblica fede, contro tutti quei comportamenti legati alla identità personale e caratterizzati dall’inganno  ai danni di  un numero indeterminato di individui che, nell’ambito dei rapporti sociali,  devono dare fiducia  a determinate attestazioni.

Per la configurazione della fattispecie criminosa è richiesto il dolo specifico (elemento soggettivo), quindi la volontà del reo di indurre qualcuno in errore ed il comportamento deve essere tale da procurare a sè o ad altri un vantaggio ( patrimoniale e non ) o arrecare danno al soggetto a cui è stata sottratta l’identità.

Riflettevo poi se si potesse anche configurare l’ACCESSO ABUSIVO A SISTEMA INFORMATICO (ART. 615-ter c.p.):Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.”

Direi proprio di no, se è vero come è vero che nel “nostro caso” non c’è stata in realtà alcuna violazione dell’account personale, non è vero che la mail è stata realmente inviata dalla nostra casella di posta elettronica (abbiamo spiegato il sistema degli indirizzi mail “maschera”, e tutto il resto che viene prospettato (l’apprensione di tutti i nostri contatti mail e Messenger) sia solo una serie di panzane che vanno a corroborare la tentata estorsione o la tentata truffa nei termini sopra descritti.

CONSIGLI:

Anzitutto calma, specie quando viene chiesto il pagamento di una somma (“riscatto”), spesso mediante Bitcoin. In casi come questi, chi paga si mette nei guai da solo, perchè di certo non risolve il problema e anzi, apre la strada a due possibilità. La prima è che seguano altre, e sempre più pressanti, richieste di denaro. La seconda è che lo strumento di pagamento utilizzato (carta di credito, account Paypal, etc) possa essere a sua volta violato e/o clonato.

Rivolgetevi alla Polizia Postale, se avete dubbi.

Potete anche mandare una mail  all’indirizzo del Nostro Studio Legale (info@rpcstudiolegale.it) per chiedere un consiglio sul da farsi. Sarò ben lieto di aiutarvi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.