Il tentativo di phishing è, purtroppo, all’ordine del giorno. Negli ultimi mesi si è assistito a una crescente sofisticazione delle tecniche di frode online, con particolare riferimento al fenomeno del tentativo di phishing che sfrutta dati verosimili e circostanze concrete per ingannare l’utente.

Uno degli schemi più insidiosi recentemente emersi riguarda l’invio di comunicazioni fraudolente in occasione del rinnovo di servizi digitali, come il piano di hosting di un sito web. È quanto accaduto nel caso recentemente affrontato dal nostro Studio, in cui è stato rilevato un tentativo di phishing costruito intorno al rinnovo del piano di hosting presso Aruba (qui le informazioni che il provider mette a disposizione per individuare e segnalare un illecito).

Gli autori della truffa, evidentemente a conoscenza della data imminente di scadenza del servizio, hanno inviato un messaggio email apparentemente legittimo, completo di logo, intestazione e riferimenti temporali compatibili con le comunicazioni ufficiali del fornitore.

Il messaggio conteneva un link per procedere al rinnovo, che in realtà conduceva a un sito clone, creato per acquisire i dati della carta di pagamento dell’ignaro destinatario. Questo episodio conferma come il tentativo di phishing possa oggi manifestarsi con modalità estremamente credibili, rendendo necessario un elevato livello di attenzione da parte dell’utente, nonché un’adeguata consapevolezza giuridica circa le implicazioni di tale condotta fraudolenta.

Il tentativo di phishing come forma di spear phishing: tecniche e finalità

Il tentativo di phishing analizzato nel caso relativo al rinnovo del piano di hosting presso Aruba presenta tutte le caratteristiche tipiche di una tecnica evoluta, nota come spear phishing. A differenza delle campagne generiche, questa modalità prevede un’attività di profilazione preventiva dell’utente, finalizzata a rendere il messaggio fraudolento altamente personalizzato e quindi più persuasivo.

L’inclusione di dati attendibili, quali la scadenza effettiva del contratto o il nome del provider, accresce il livello di verosimiglianza della comunicazione e riduce le difese dell’utente, che può essere indotto a cliccare sul link e a inserire dati sensibili senza sospetti.

Dal punto di vista giuridico, tali condotte possono integrare diverse fattispecie penalmente rilevanti, tra cui – a seconda dei casi – l’accesso abusivo a sistema informatico (art. 615-ter c.p.), la truffa (art. 640 c.p.) o la frode informatica (art. 640-ter c.p.) e/o l’utilizzo indebito di strumenti di pagamento elettronico (art. 493-ter c.p.).

Profili di responsabilità e rimedi in caso di tentativo di phishing riuscito

Qualora il tentativo di phishing sortisca effetto, con conseguente sottrazione di dati bancari o l’effettuazione di pagamenti non autorizzati, si aprono scenari complessi dal punto di vista della responsabilità penale e civile.

In primo luogo, l’autore dell’attacco dovrebbe rispondere delle ipotesi di reato sopra enucleate; ciò significa che la vittima potrà avvalersi degli strumenti di tutela offerti dal codice di procedura penale (dalla possibilità di denunciare il fatto alle competenti autorità, alla costituzione di parte civile nel procedimento penale).

Inoltre il soggetto passivo del reato potrà, in base alle circostanze, valutare gli opportuni rimedi contrattuali o civilistici a propria tutela.

Tentativo di phishing: quando rivolgersi a un professionista

L’elevato grado di sofisticazione raggiunto dalle moderne campagne di phishing impone una reazione non solo tecnica, ma anche giuridica. Intercettare tempestivamente la frode, verificare le condizioni contrattuali eventualmente implicate, denunciare l’accaduto alle autorità competenti e agire in giudizio per la tutela dei propri diritti richiedono competenze specifiche e una visione sistemica delle normative in materia di reati informatici.

Nel case study qui in esame, la tempestività nell’individuazione del tentativo di phishing e la verifica della provenienza del messaggio hanno impedito conseguenze patrimoniali dannose. Tuttavia, numerosi utenti e imprese, specialmente in ambito digitale, non dispongono dei mezzi per riconoscere immediatamente una frode e rischiano di subire danni economici e reputazionali rilevanti.

Per questa ragione, il nostro Studio è a disposizione per offrire consulenza specialistica sui reati informatici, sia in fase preventiva — attraverso audit contrattuali e formazione interna — sia in caso di attacco già avvenuto, per valutare l’azione legale più idonea e la tutela giudiziale o stragiudiziale percorribile.