D. LGS 231/01
News
Il Phishing ai tempi del Coronavirus e i risvolti in ambito 231
Oltre alle possibili ripercussioni, elencate nel precedente articolo, della situazione di emergenza nazionale, sul Modello di Organizzazione e Gestione, ex D.lgs. 231/2001, adottato dalle Aziende, risulta doveroso menzionare il fenomeno di phishing e gli attacchi cyber attualmente alimentati dalla paura generata dal diffondersi del virus Covid-19 nel territorio nazionale.
Per phishing si intende un tentativo di truffa che: “attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informaticheconsistenti, di solito,
nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati” (Cass. Sez. Pen. n. 9891/2011).
In questo periodo si è assistito ad un costante incremento delle campagne di phishing e attacchi cyber che approfittano della preoccupazione generale per la diffusione del virus Covid-19 e della necessità di apprendere quante più informazioni possibili sul fenomeno in atto.
Da tempo la Polizia postale ha segnalato la circolazione di alcuni malware dannosi. Il primo è quello diffuso con il nome CoronaVirusSafetyMeasures.pdf che viene allegato alle e-mail spam, con estensione apparentemente .pdf ma eseguibile tramite file excel che avvia il download di contenuti spazzatura. Il secondo malware, segnalato dalla Polizia postale, assume la forma di un file allegato .doc in cui sono esposte alcune precauzioni per evitare il contagio a firma di tale Dott.ssa Penelope Marchetti dell’OMS.
Inoltre, la Polizia di Stato ha, di recente, comunicato di campagne malevoli ai danni di utenti delle banche Intesa Sanpaolo e Monte dei Paschi di Siena ai quali è stata inviata una e-mail con falsa informativa e comunicazione urgente sull’emergenza sanitaria.
Anche l’INPS, nei giorni scorsi, ha lanciato l’allarme di una campagna malware, prodotta utilizzando il nome dell’Istituto, che attraverso l’invio di sms invita a cliccare su un link per aggiornare la propria domanda Covid-19, presentata all’Istituto, e induce, altresì, ad installare una app dannosa.
I fenomeni appena evidenziati possono integrare di una serie di illeciti penali, alcuni anche di rilevanza 231.
Come statuito dalla giurisprudenza, infatti, il cd. phishing consiste nell'illecita intrusione via internet da parte di soggetti su sistemi informatici concernenti servizi "home banking" per utenti titolari di conti correnti bancari, clienti degli istituti di credito e integra, di per sé, i reati di accesso abusivo informatico e falsificazione del contenuto di comunicazioni informatiche di cui agli art. 615 ter e 617 sexies c.p. Qualora detta attività venga svolta da parte di soggetti operanti in Paesi stranieri, in accordo con soggetti residenti nel territorio dello Stato al fine di realizzare truffe ai danni ai clienti utenti dei predetti sistemi informatici, carpendo le loro generalità ed i codici segreti (user i.d. e password) relativi a detti servizi bancari su internet, mediante l'invio di false e-mails apparentemente spedite da detti istituti di credito, ma in realtà false, essa concreta i reati di associazione a delinquere, con l'aggravante di reato transnazionale, di accesso abusivo informatico e di falsificazione di comunicazioni informatiche. (Tribunale Milano, sez. uff. indagini preliminari, 10/12/2007).
Il phishing integra, inoltre, il delitto di frode informatica definito dall’art. 640-ter c.p., che presuppone “un’alterazione del funzionamento di un sistema informatico o un intervento abusivo sul sistema stesso o su dati o informazioni o programmi ivi contenuti o ad esso pertinenti, così da determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo” ovvero del delitto di utilizzo indebito di carte di credito e di pagamento, ai sensi dell’art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass. Pen. n. 37115/2002).
Oltre ai reati summenzionati il fenomeno di phishing integra, inoltre, il reato di trattamento illecito dei dati, di cui all’art. 167 del Codice della privacy, che punisce “chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi, nonché il più grave reato di truffa ex art. 640 1° co. c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 euro per “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”, ovvero quello di truffa aggravata, di cui al 2° comma dell’art. 640 c.p. n. 2 quando il fatto sia commesso ingenerando nella persona offesa il timore di un pericolo o l’erroneo convincimento di dover eseguire l’ordine di un’autorità.
Pertanto, dall’analisi appena effettuata, si evince che al fine di tutelare l’Azienda dalla massiva presenta, in questo periodo, di attacchi cyber, risulta necessario prevedere, all’interno del Modello di organizzazione gestione e controllo, adottato ex D.lgs. 231/2001, dei protocolli di prevenzione reato specifici, finalizzati a prevenire in maniera concreta fenomeni di phishing e malspam, per evitare di incorrere nelle sanzioni previste per la commissione dei reati di cui all’art. 24-bis del D.Lgs. 231/2001.
