Truffe legate all’utilizzo di carte di pagamento; tecnica fraudolenta online; transazioni online non autorizzate dal titolare; responsabilità per bonifici disconosciuti dalla clientela; acquisizione dei dati di utenti di un servizio di carta di credito.
Indice
Prelievi e bonifici online non autorizzati
Il solo accreditamento sul proprio conto corrente ed il conseguente prelievo del denaro proveniente da prelievi e bonifici online non autorizzati (phishing) pur attuati da terzi (senza certezza di poter ricondurre l’imputato anche a tale attività criminosa), integra il solo reato di riciclaggio; per il quale, ai fini dell’elemento soggettivo è sufficiente che ricorra il dolo eventuale, e cioè l’accettare il rischio che le somme siano di provenienza delittuosa.
Corte appello Ancona, 23/02/2021, n.1607
Il profitto dei reati di riciclaggio di denaro
In tema di confisca per equivalente, il profitto dei reati di riciclaggio e reimpiego di denaro è rappresentato dal valore delle somme oggetto delle operazioni dirette ad ostacolare la provenienza delittuosa, poiché, in assenza di quelle operazioni, esse sarebbero destinate ad essere sottratte definitivamente, in quanto provento del delitto presupposto.
(Fattispecie di sequestro preventivo di somme trasferite su conti esteri e nazionali che costituivano una parte del provento di truffe informatiche effettuate con la tecnica del “phishing”).
Cassazione penale sez. II, 04/11/2020, n.34218
Phishing per collegamento all’home banking
In tema di phishing avvenuto con problemi di collegamento all’home – banking la banca che non si sia adeguata al sistema di sicurezza ritenuto idoneo in quel momento dalla Banca d’Italia deve restituire quanto illegittimamente sottratto nel conto corrente.
(Nel caso di specie era stato effettuato un bonifico bancario di Euro 5000,00 non disposto dal cliente e il sistema di sicurezza della banca per i bonifici non prevedeva una password aggiuntiva rispetto a quella di accesso e le operazioni dispositive venivano notificate alla clientela via e mail e non attraverso messaggi sms, più immediati e letti con maggior frequenza rispetto alla posta elettronica).
Tribunale Arezzo, 08/04/2020, n.272
La differenza tra skimming e phishing
Le truffe legate all’utilizzo di carte possono essere di due diversi tipi. Lo skimming c consistente in tecnica criminale con cui, grazie all’utilizzo di uno skimmer (apparecchio per la lettura e la memorizzazione dei contenuti presenti sulle bande magnetiche delle carte elettroniche), il truffatore entra in possesso dei dati delle carte di pagamento, codice PIN incluso (in caso di bancomat o carta di credito multifunzione). Lo skimming identifica le truffe basate sulla clonazione di carte di credito, carte di debito, ecc.
Il phishing, invece, è una tecnica fraudolenta online con cui, grazie all’invio di false email molto simili a quelle inviate da istituti emittenti o noti siti e-commerce, il truffatore entra in possesso del numero di carta di credito, codice segreto, dati personali del titolare della carta. Il phishing identifica, principalmente, le truffe basate su transazioni online non autorizzate dal titolare.
Tribunale Roma sez. XVII, 25/06/2019, n.13442
I confini del concorso nel delitto di phishing
Il fatto che non sia stato individuato il soggetto che materialmente abbia operato l’intrusione nel sistema informatico della Poste Italiane con illecito accesso personale al conto della persona offesa, non vale ad escludere la partecipazione, a titolo di concorso ex art. 110 c.p., alla consumazione dei reati di cui agli artt. 615-ter e 640-ter c.p. di colui che sia titolare della carta Poste Pay su cui venivano illegittimamente riversate le somme prelevate dal conto della persona offesa attraverso la tecnica di illecita intromissione in via informatica.
Cassazione penale sez. II, 12/09/2018, n.5748
Phishing su conti correnti online: risarcimento danni
In caso di bonifici illecitamente effettuati su conti correnti online, per mezzo di condotte fraudolente volte a carpire codici di protezione e a sottrarre somme di denaro (c.d. phishing), spetta alla Banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell’operazione al correntista che l’abbia disconosciuta, in applicazione del principio consolidato sulla ripartizione dell’onere della prova in materia di responsabilità contrattuale.
L’Istituto di credito è tenuto ad una diligenza valutabile tenendo conto del modello dell’operatore professionale, qual è l’accorto banchiere (bonus nummarius); peraltro, la corretta operatività del servizio bancario mediante collegamento telematico – che corrisponde ad un interesse della banca stessa – rientra a pieno titolo nel rischio d’impresa, con la conseguenza che grava sulla Banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando quantomeno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili.
Tribunale Parma sez. I, 06/09/2018, n.1268
Reato di riciclaggio e frode informatica
Il reato di riciclaggio non concorre con quello di frode informatica realizzata attraverso il cd. phishing, ovvero l’invio di mail riportanti il logo contraffatto di un istituto di credito o di una società di commercio elettronico con cui il destinatario viene invitato a fornire dati bancari riservati.
Cassazione penale sez. II, 09/02/2017, n.10060
Sottrazione di codici di accesso al servizio di home banking
Nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata, ai sensi dell’art. 1176, comma 2, c.c. In particolare, nel rapporto contrattuale di home banking, la banca ha la veste di contraente qualificato, che, non ignaro delle modalità di frode mediante phishing da tempo note nel settore, è tenuto ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza.
Tribunale Milano sez. VI, 04/12/2014
Phishing: mancata prova della partecipazione degli imputati
La mancata prova della partecipazione degli imputati a qualsiasi condotta di “phishing” esclude che possa essere ai medesimi contestato il reato di accesso abusivo a sistema informatico, essendo certamente assente qualsiasi condotta volta ad entrare abusivamente in un sistema informatico altrui.
Tribunale Milano sez. uff. indagini prel., 05/02/2013, n.13
Le tecniche di phishing
Chi utilizza tecniche di “phishing” per ottenere, tramite artifici e raggiri e inducendo in errore l’utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti on line) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie, può rispondere dei delitti di cui agli art. 494 (sostituzione di persona), 615 ter (accesso abusivo a sistemi informatici o telematici) e 640 c.p. (truffa).
Sono penalmente responsabili coloro che, senza essere concorsi nel reato presupposto, nella piena consapevolezza della provenienza illecita o, comunque, accettandone il rischio – purché non desunto da semplici motivi di sospetto, bensì da una situazione fattuale inequivoca – a seguito di proposte di collaborazione in Internet, tramite e-mail, contatti in chat o messaggi allocati su pagine web, e la prospettazione di facili guadagni in relazione alla semplice attività richiesta ai cosiddetti “financial manager”, pongono all’incasso e successivamente trasferiscono somme di denaro, tutte provenienti da delitti non colposi.
Tribunale Milano, 07/10/2011
Trasferimento di somme di denaro all’estero con il sistema del money transfer
Sussiste il delitto di riciclaggio nel caso di ricezione sul proprio conto corrente, e di successivo trasferimento ad altro beneficiario all’estero con il sistema del “money transfer”, di somme di denaro prelevate fraudolentemente dal conto di un ignaro cliente di banca con il sistema del cd. “phishing”. L’elemento soggettivo del reato può essere integrato dal dolo eventuale in ordine alla provenienza illecita del denaro, non è sufficiente che l’imputato abbia agito sulla base di un mero sospetto, ovvero di disattenzione, di noncuranza o di mero disinteresse verso la provenienza illegale delle somme ricevute e trasferite.
Cassazione penale sez. II, 17/06/2011, n.25960
Cos’è il phishing?
La condotta cosiddetta di “phishing”, consistente nel “pescare”, mediante abusivo inserimento nel sistema informatico di un’istituzione finanziaria o mediante false e-mail dirette ai clienti delle banche o delle poste, i dati significativi dei rapporti di conto corrente intrattenuti dagli stessi, dati che vengono successivamente utilizzati in modo fraudolento per “donare” carte di credito e/o di pagamento o per disporre on line operazioni di trasferimento di denaro su conti correnti nella disponibilità dei criminali con successivo prelevamento di contanti e conseguente sparizione del denaro fraudolentemente sottratto, integra la fattispecie di truffa punita ex art. 640 c.p. e non il delitto di frode informatica di cui all’art. 640 ter c.p.
Tribunale Monza, 07/05/2009
Reato di abusivo utilizzo di carta di credito
Poiché il reato di abusivo utilizzo di carta di credito cui all’art. 12 l. n. 197 del 1991 (ora art. 55 comma 9 d.lg. n. 231 del 2007) non richiede alcun artificio, esso concorre con il delitto di truffa e quello di sostituzione di persona quando i rispettivi elementi costitutivi sono posti in essere contestualmente in un’unica azione criminosa, da intendere come condotta finalizzata al perseguimento dello scopo illecito anche se costituita da una serie di azioni materiali succedentisi in un tempo ravvicinato e collegate funzionalmente (fattispecie relativa alla condotta qualificata come phishing , consistente nella acquisizione dei dati di utenti di un servizio di carta di credito, dati forniti all’imputato dagli stessi titolari delle carte indotti in errore dalla alterazione dell’identità dell’imputato stesso e poi nel successivo utilizzo abusivo da parte dello stesso prevenuto dei dati ottenuti per acquisti tramite internet).
Tribunale Milano sez. uff. indagini prel., 15/10/2007
Reato di associazione a delinquere finalizzata a truffe aggravate
Il cd. “phishing” consiste nell’illecita intrusione via internet da parte di soggetti su sistemi informatici concernenti servizi “home banking” per utenti titolari di conti correnti bancari, clienti degli istituti di credito e integra, di per sé, i reati di accesso abusivo informatico e falsificazione del contenuto di comunicazioni informatiche di cui agli art. 615 ter e 617 sexies c.p.
Qualora detta attività venga svolta da parte di soggetti operanti in Paesi stranieri, in accordo con soggetti residenti nel territorio dello Stato al fine di realizzare truffe ai danni ai clienti utenti dei predetti sistemi informatici, carpendo le loro generalità ed i codici segreti (user i.d. e password) relativi a detti servizi bancari su internet, mediante l’invio di false e-mails apparentemente spedite da detti istituti di credito, ma in realtà false, essa concreta i reati di associazione a delinquere, con l’aggravante di reato transnazionale, di accesso abusivo informatico e di falsificazione di comunicazioni informatiche.
Tribunale Milano sez. uff. indagini prel., 10/12/2007
11 Commenti
Lascia un commento
NEWSLETTER
Iscriviti per rimanere sempre informato e aggiornato.
Hai bisogno di una consulenza? Contattaci subito
Oppure iscriviti alla nostra newsletter per rimanere sempre aggiornato.
Mi spiegate gentilmente come funziona questo phishing? Posso fare una denuncia in caso di questo tipo di truffa? Come dovrei fare? Aiutatemi che io non sono molto esperta e vorrei capire qualcosa, grazie
Il phishing è una particolare tipologia di truffa online che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.Il phishing, di solito, avviene così. Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche, Poste italiane o altre società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione, l’utente è invitato, adducendo problemi di registrazione o di altra natura, a fornire i propri dati riservati di accesso al servizio. In poche parole, viene richiesta la password.Solitamente nel messaggio, per rassicurare l’utente, è indicato un link che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato preparato in modo da assomigliare a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei truffatori.
La vittima di phishing potrà senz’altro sporgere denuncia/querela. Per i casi di truffa in internet, poi, la Polizia di Stato ha messo a disposizione dei cittadini una speciale forma di denuncia: quella online, da effettuarsi direttamente dal web collegandosi al sito istituzionale della polizia.
Tempo fa giravano dei messaggi su Whatsapp che riguardavano questo tipo di truffa, ma io sinceramente non ho mai aperto alcun link e non sono mai andato a rilasciare i miei dati personali
La truffa WhatsApp Inc. consiste in un tentativo di sottrazione di dati personali che si basa su un alert trasmesso attraverso un messaggio così predisposto: “Abbiamo rilevato azioni che violano i nostri termini di servizio.- WhatsApp inc. Per evitare la cancellazione dell’account verifica il tuo account WhatsApp: “verify-whatsapp.com/?p=3475392462”.
Il virus che si scarica cliccando sul link non solo permette di accedere ai dati del telefono, ma pare sia in grado di bruciare la scheda madre. Come sempre, diffidate dai messaggi provenienti da account anche conosciuti, una buona ricerca online potrebbe salvare i vostri dati e il vostro tempo e forse anche, di conseguenza, il vostro denaro.
Il phishing è una truffa informatica con cui i pirati provano a rubarci le password e i dati di accesso alla banca, al nostro profilo di Facebook e a tutti i servizi online che utilizziamo quotidianamente. In pratica la truffa viene attuata realizzando una copia esatta di un sito noto come può essere quelle delle poste o della banca. Il malfattore con l’inganno porta poi la vittima su questo sito che, ignara della truffa, esegue l’accesso inserendo il suo nome utente e la sua password. Dietro questo sito-copia c’è però un delinquente vero e proprio che, una volta in possesso delle credenziali della vittima, potrà usarle per rubare informazioni personali, foto, e anche scoccargli qualche acquisto online.
Qualora dovesse partire un bonifico bancario dal mio conto corrente a mia insaputa e si crea un danno da phishing, chi paga? paga la banca? C’è un modo per evitare che succeda questa truffa?
La Cassazione ha esaminato il caso di due cittadini vittime di una situazione come questa. Entrambi titolari di un conto corrente, si erano trovati ad effettuare un pagamento online ad uno sconosciuto senza avere dato alcuna disposizione in merito. La Suprema Corte era stata interpellata dopo che in Appello i correntisti si erano sentiti dare degli ingenui e degli irresponsabili: per i giudici, infatti, non avevano diritto al risarcimento in quando avevano fornito i propri dati rispondendo ad un’e-mail fraudolenta, rimanendo così vittime del phishing.Di tutt’altro avviso la Cassazione, secondo cui, in tema di responsabilità della banca di fronte ad operazioni telematiche, al fine di garantire la fiducia dei clienti nella sicurezza del sistema, l’istituto è tenuto a prevedere e ad evitare questi rischi «con delle misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente». La banca, dunque, secondo l’ordinanza della Suprema Corte, deve controllare che l’ordine del bonifico o di qualsiasi altra operazione arrivi dal titolare del conto ed impedire «la possibilità di un’utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del cliente o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo». In definitiva: contrariamente a quanto detto dalla Corte d’Appello in questo caso, non basta che il titolare del conto sia stato ingenuo: l’istituto di credito deve utilizzare ogni mezzo di verifica possibile per evitare un danno da phishing.D’altronde, la stessa Cassazione si era già pronunciata al riguardo, stabilendo che alla banca viene chiesta una diligenza di tipo tecnico e che, in sostanza, l’istituto è obbligato a fornire la prova della riconducibilità dell’operazione al cliente. Pertanto, la banca può essere ritenuta responsabile a livello civilistico del danno da phishing subìto da un suo cliente per non avere impedito ad un truffatore di inserirsi in maniera illecita nel sistema informatico, a meno che non venga dimostrato che l’episodio sia avvenuto per trascuratezza, errore o frode da parte del titolare del conto. Al cliente spetta la prova del danno.Da segnalare l’imminente approvazione di un regolamento europeo in materia di diritto al risarcimento e alla responsabilità che potrebbe apportare ulteriori chiarimenti.
Mi scusi potrei avere gli estremi di questa sentenza? Grazie
Si tratta di un’ordinanza. Ecco il riferimento alla pronuncia della Suprema Corte: Cass. ord. n. 9158/2018.
Per difendersi dal phishing bastano alcuni comportamenti dettati sia dal buon senso sia da una punta di furbizia:
verificare la provenienza di qualsiasi messaggio sms, whatsapp o e-mail che ci inviti a rilasciare dei nostri dati, accettare modifiche contrattuali, rivedere abbonamenti e quant’altro. In molte occasioni ci sono degli errori grammaticali dettati dal fatto che se il truffatore è straniero avrà utilizzato un traduttore online per inviarci il messaggio. Cestinare ed eliminare definitivamente;
mai cliccare su un link contenuto in un’e-mail di cui non ci è chiara la provenienza;
controllare l’indirizzo del mittente: spesso il phisher utilizza account o url simili a quelli dei nostri contatti o della nostra banca o gestore della carta di credito. Ad esempio: gli utenti di Cartasi dovranno trovare un messaggio che porti all’indirizzo http://www.cartasi.it. Se, invece trovano, per dire (e a chi scrive è già successo, ovviamente il messaggio è stato cestinato subito) http://www.pippo.cartasi.it, il tentativo di truffa è evidente. Nella fretta è facile cascarci;
verificare ogni tanto la situazione del proprio conto corrente. Conviene anche chiedere alla banca di attivare il servizio sms che informa di ogni movimento effettuato;
bloccare dei pagamenti o degli accrediti non richiesti: nel primo caso si rischia di rimanere truffati, nel secondo una denuncia per riciclaggio.