Page 35 - Cyber-attacchi: truffe e minacce informatiche
P. 35
G
G PROFILI DI RESPONSABILITÀ E POSSIBILI VIOLAZIONI
Abbiamo avuto modo di vedere che il fenomeno del phishing, che rappresenta
ancor oggi, una grossa parte del business illegale on line, ormai condivide la scena
con una delle più moderne modalità di attacco di cyber sicurezza, fondate su tecni-
che e tecnologie largamente diff use e sofi sticate, ascrivibili alla categoria del cosid-
detto "Man in the Mail". Secondo quest’ultima tecnica un soggetto si frappone tra
due interlocutori (ad esempio, nel rapporto cliente/fornitore), assumendo l’identità di
uno di essi, e intrattiene rapporti fraudolenti con l’ignaro interlocutore, fi nalizzati alla
realizzazione di un successivo risultato illecito (acquisizione di informazioni riserva-
te; distrazione di bonifi ci e pagamenti vari).
Il perfezionamento e la semplice riuscita di tali modalità di attacco, oltre a co-
stituire fattori di attrazione per gli interessi della criminalità organizzata e non - na-
zionale e internazionale - sul versante delle frodi e del riciclaggio di proventi illeciti
(money laundering), si presentano particolarmente insidiose, poiché vanno a inci-
dere su una molteplicità di fattori, in particolar modo, direttamente sull’integrità pa-
trimoniale di aziende assai rilevanti per il tessuto produttivo del Paese, minandone
seriamente le fondamenta, con conseguenti ripercussioni anche sull’aspetto della
sicurezza dei sistemi informatici. Al tempo stesso, il perpetrare di queste condotte
criminose fa sì che, a monte della predetta fattispecie illecita, vi sia la commissio-
ne di ulteriori reati-presupposto capaci di incidere su diritti inviolabili quali la tutela
dell’identità digitale, del domicilio informatico, della riservatezza e dell’illecito utilizzo
dei dati raccolti, mettendo in luce possibili profi li di responsabilità e/o correspon-
sabilità che possono riguardare, a vari livelli e a seconda degli esiti delle indagini
condotte, tutte le parti coinvolte e che talvolta potrebbero risultare diffi cili da defi nire/
identifi care con certezza: in particolare phisher e/o fi nancial manager, in primis,
Istituti di Credito coinvolti, per secondi, e, in maniera più marginale, anche la stessa
vittima (cliente/fornitore).
Va specifi cato, altresì, che nella realtà, anziché lavorare sotto l’aspetto della
prevenzione, si tende, spesso a correre ai ripari solo quando l’incidente informatico,
ma soprattutto la frode, si è già perfezionata, e questo rende diffi cile la soluzione
del caso in quanto gli strumenti giuridico-processuali (civili e penali), pur esistenti, si
sono dimostrati, sino a oggi, ancora piuttosto inadeguati e ineffi caci.
G1 POSSIBILI RESPONSABILITÀ E/O CORRESPONSABILITÀ
Fermo restando che non c’è alcun obbligo di denuncia o querela, certamente
può essere importante farla sia per procedere in ordine all’esistenza di un fatto
reato o, per lo meno, per riservarsi comunque la possibilità di procedere anche
in un momento successivo, sia per ottenere il rimborso della transazione che per
ottenere il semplice risarcimento del danno subito. Nella maggior parte dei casi, è
stato dimostrato che, raramente, la querela riesce a consentire di ottenere il ristoro
di quanto illegittimamente sottratto, nonché del relativo danno subito, perché risulta
diffi cile non solo localizzare e identifi care i responsabili, ma addirittura capire il luo-
go ove sono stati trasferiti i fondi. Però, intraprendere le vie legali, siano esse civili
o penali, dovrebbe costituire se non altro "un atto dovuto".
Per certi aspetti c’è da segnalare che, dal punto di vista del GDPR e della pro-
tezione dei dati, se la truff a è di tipo "Man in The Mail" e il reale accesso alla casella
di posta è avvenuto tramite phishing, trojan o brute force, è obbligatorio segnalare
- "senza ingiustifi cato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è
venuto a conoscenza" - al Garante per la protezione dei dati personali l’avvenuto
143
143
