Criminologia

IL RICICLAGGIO DA "PHISHING"

Deriva dal termine anglosassone “to fish”, equivalente a pescare, ciò che da alcuni anni ed a livello planetario, la sola pronuncia di questo termine suscita paura, rabbia e senso di smarrimento.
Sto parlando di un reato ignobile, considerato come una frode di natura informatica punita peraltro con sanzioni relativamente modeste che oggi sta spopolando e che va per la maggiore, perpetrata attraverso la rete: sto parlando del PHISHING.
 
Più propriamente, trattasi della classica truffa adattata ai tempi, alla evoluzione tecnologica [1]  , dove possiamo dire che il truffato – almeno in prima battuta - non è la persona fisica bensì il suo personal computer. Infatti, parliamo di “artifizi e raggiri idonei ad indurre in errore il malcapitato di turno, onde procurarsi un vantaggio economico da ritenersi ingiusto ed in danno di altri, ovvero dello stesso malcapitato”.
 
Il fenomeno appare in crescita esponenziale, man mano che la stessa rete si diffonde nelle nostre case, dove l’uso di internet e degli annessi servizi si moltiplica, a cominciare dai servizi bancari quali, internet e/o home banking [2].
 
Quali sono i rischi che si corrono?
 
Il rischio maggiore è quello di soddisfare in assoluta buona fede le richieste del PHISHER che si prefigge di sottrarci i dati personali, quali il Codice di accesso al conto corrente, la Password , il Pin, la UserID , gli estremi della Carta di credito etc.. Una volta carpite queste notizie, la fase successiva è il naturale prosciugamento del conto.
 
Non c’è scampo. L’unico rimedio, una volta combinata la frittata di dare impropriamente certe informazioni a soggetti sconosciuti, è quello di bloccare immediatamente il conto e/o la Carta di credito, ammesso che si trovi il tempo di giocare d’anticipo.
 
Certe informazioni non si danno al primo venuto, sia pure sotto forma di banca accreditata, con logo e formula di presentazione in tutto simili a quella vera, utilizzando il consueto fraseggio di una comune corrispondenza bancaria.
 
L’operazione truffaldina si divide pertanto in due fasi, dove con la prima vengono acquisite le informazioni sensibili e nella seconda, attraverso normali operazioni bancarie e finanziarie, lo stesso Phisher provvede  a disporre il trasferimento di denaro verso lidi più favorevoli.
 
Infatti, ottenuta fraudolentemente la disponibilità del conto corrente, il successivo trasferimento di somme viene disposto a favore di un soggetto terzo, il quale,  “presta la temporanea utilizzazione del proprio conto corrente” – magari acceso per l’occasione - per accogliere la provvista. A questo punto, il soggetto terzo, in aderenza alle istruzioni ricevute dal Phisher, preleva in contanti la somma (depurata della provvigione concordata a suo favore), estingue il rapporto e dispone il trasferimento definitivo dell’importo rinveniente da “Truffa e/o Frode informatica [3]   - Cass. sez. IV, 4 ottobre 1999, n. 3056 - ovvero di Accesso abusivo a sistemi informatici [4]  ”, verso il destinatario finale che, secondo una statistica dell’Ufficio Italiano Cambi, sembrano più frequentemente allocarsi in Paesi dell’Est europeo.
 
Al riguardo, nell’ambito di un Forum sulla tematica dell’Internet banking (sub 2), in forma anonima, ho ricevuto una corrispondenza del seguente tenore:
 
”Io l’ho già fatto, per me non è riciclaggio" 

 

<< Mi spiace, ma dovevo far curare mia madre, mi hanno inviato una mail, ho dato i miei codici bancari, nel conto non avevo neanche 1 euro quindi non rischiavo nulla; mi hanno inviato un bonifico che poi levando la mia percentuale ho inviato tramite corriere a terzi, non ho rubato, mi sono trattenuto ciò che mi hanno detto ed in un mese ho guadagnato 5.000,00 euro alla faccia di chi non voleva darmi un lavoro. Ho chiuso il conto corrente ed ho fatto curare mia madre che è senza dubbio più importante dello Stato che ci sta affossando>>””
 

 

Prima di addentrarci su taluni suggerimenti rivolti al sistema bancario onde ridurre il coinvolgimento, anche inconsapevole, in rischi di riciclaggio, voglio rispondere a questo signore che candidamente afferma di “non aver rubato”. Nella realtà, ha fatto di peggio, essendosi reso autore di reato odioso quale appunto il “Riciclaggio”, la cui condotta è punita dal vigente Codice penale con la reclusione da quattro a dodici anni di carcere [5]  .
 
Ora, passando alla figura dell’Istituto di credito, da considerarsi nella generalità dei casi parte offesa, subendo lo stesso tanto un danno d’immagine che patrimoniale per le necessarie adozioni di adeguate contromisure, appare indubbio in ogni caso una insufficiente tutela nel trattamento dei dati personali. Ciò, laddove andiamo a leggere il combinato disposto degli articoli 15 e 31 del Codice in materia di protezione dei dati personali  [6]  .
 
Voglio soffermarmi invece sulla condotta del circuito bancario e postale,  in ordine all’alimentazione dei rapporti tramite bonifici on line che presentano le seguenti caratteristiche:
  •  Provengono da ordinanti diversi dai titolari dei rapporti;
  • Sono accreditati nel medesimo giorno o comunque in un intervallo di tempo ristretto dall’accensione del rapporto di conto medesimo;
  • Non appaiono coerenti con l’attività svolta dal cliente Immaginiamo un cliente, privato consumatore, privo di un’attività economica;
  • Al prelievo di contanti – per cassa, con moduli di sportello - in stretta successione all’arrivo del bonifico;
  • All’accensione di rapporti di conto – anche di apertura recente – unicamente finalizzati per operazioni della specie, senza chiedere carnet o affidamenti (carta di credito, bancomat).
Un primo screening potrà effettuarsi, a fini di monitoraggio, individuando quei bonifici effettuati dalla clientela home banking o provenienti da banche che operano esclusivamente on line.
 
Analoga se non maggiore attenzione, andrà posta dagli esercenti attività di “MONEY TRANSFER” in ordine:
  •  A clienti che inviano denaro a controparti diverse  e spesso contestuali localizzate in Paesi dell’Europa dell’Est e, in particolare, a quei clienti che nello stesso giorno effettuano più trasferimenti di importo frazionato in favore della stessa persona o di più persone;
  • A clienti stranieri che, in assenza di plausibili motivazioni, inviano denaro a controparti dislocate in Stati diversi da quelli di origine;
  • A beneficiari localizzati in Paesi dell’Europa dell’Est che risultano ricevere molteplici trasferimenti, in un arco temporale limitato, provenienti da differenti città italiane (questa anomalia è rilevabile dagli intermediari che gestiscono le reti di Money Transfer).
Sia gli Intermediari abilitati che i titolari di Money Transfer, in presenza di anomalie della specie sommariamente descritte, devono procedere con la massima tempestività all’adozione delle iniziative necessarie nell’ambito del più ampio quadro della “Collaborazione attiva”.
 
Lo scopo di questa breve riflessione, senza avere l’ambizione di aver esaurito l’argomento nella sua indubbia complessità,  è solo quello di informare tanti giovani per porre un argine ai guadagni facili e apparentemente leciti che, forse in modo inconsapevole, con certi comportamenti possono distruggere la propria vita.L’uomo avvisato è mezzo salvato!!!
 
 Bari, 27 giugno 2007

 

[1] 640. Truffa. — Chiunque, con artifizi o raggiri (1), inducendo taluno in errore (2), procura a sé o ad altri un ingiusto profitto con altrui danno (3), è punito con la reclusione da sei mesi a tre anni (4) e con la multa da cinquantuno euro a milletrentadue euro (5) (6).
La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro (5):
1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare [c.p.m.p. 162, 32quater] (7) (8);
2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’Autorità [649] (9) (10).
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o un’altra circostanza aggravante (11) (12) (13).
 
 
Frode informatica (art. 640 ter c.p.) Il reato più importante nel contesto del commercio elettronico è senza dubbio la frode informatica, introdotta dall’art. 10 della l.547/93. all’art. 640ter c.p., secondo cui: “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. […]”. Il legislatore, con questo intervento normativo, ha ridisegnato la figura tradizionale del reato di truffa, e in particolare il concetto di “induzione in errore di una persona mediante artifizi o raggiri”, elaborando una nuova fattispecie in cui il raggirato è il computer51 soggetto alla alterazione ad opera del reo.
 
4 L 'articolo 615 ter del Codice Penale
 
Accesso abusivo ad un sistema informatico o telematico
 
1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta' espressa o tacita di chi ha il diritto di escluderlo, e' punito con la reclusione fino a tre anni.
 
 2. La pena e' della reclusione da uno a cinque anni:
1) se il fatto e' commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita' di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e' palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
 
3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanita' o alla protezione civile o comunque di interesse pubblico, la pena e', rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
 
 5 Art. 648-bis (1) Riciclaggio.
 

[I]. Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l'identificazione della loro provenienza delittuosa, è punito con la reclusione da quattro a dodici anni e con la multa da 1.032 euro a 15.493 euro 

Decreto Legislativo 30 giugno 2003, n. 196  "Codice in materia di protezione dei dati personali"