di Fausto Cardella*
Il caso dello studente universitario trovato morto nel proprio alloggio, vittima di istigazione al suicidio online, e quello del giovane che, online, frequentava siti nazisti e sembra volesse organizzare un attentato (il condizionale è d’obbligo, trattandosi di casi ancora sub judice), accendono, anche in Umbria, l’interesse per la criminalità informatica, per il delitto telematico, non dissimile, quanto agli effetti, dagli altri tipi di crimine ma con una caratteristica: l’inafferrabilità, una sorta di Primula rossa dei delitti, che inquieta gli investigatori e scoraggia le vittime.
Perugia, il pericolo corre online: quali e quanti sono i nuovi reati
Il nostro Legislatore, invero, ha cercato di tenersi al passo del progresso tecnologico e lo ha fatto in due modi: adattando fattispecie di reato già previste dal codice penale, ovvero creandone affatto di nuove. Nel primo novero rientra, per esempio, l’accesso abusivo al sistema informatico (art. 615 ter, codice penale) “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito…”, norma modellata, all’evidenza, sulla vecchia violazione di domicilio: “chiunque si introduce nell’abitazione… ovvero vi si trattiene clandestinamente o con inganno” (art. 614, codice penale); vi rientra anche la frode informatica (art. 640 ter, codice penale), con palese riferimento al reato di truffa. Nel secondo tipo, cioè illeciti penali completamente nuovi, è compreso quello previsto dall’art. 615 quater del codice penale, che sanziona il procurarsi, il diffondere o il comunicare password, codici o altri mezzi per accedere abusivamente a sistemi informatici protetti. È una norma originale anche quella che prevede il cosiddetto revenge porn, o porno vendetta, consistente nella diffusione nella rete di immagini sessualmente esplicite, senza il consenso del soggetto ritratto, punita dall’art. 612 ter del codice penale. Questa rapida e necessariamente incompleta carrellata dimostra sì la sensibilità del Legislatore, ma non risolve il problema principale, che è soprattutto investigativo, cioè quello dell’individuazione dell’autore di siffatti reati e della sua punizione. La nostra Cyberpolizia, che opera a livello regionale con il C.O.S.C. Centro Operativo per la Sicurezza Cibernetica della Polizia postale, specialità di eccellenza della Polizia di Stato, è attrezzata ed efficiente, ma le indagini spesso conducono a siti lontani, in altri continenti, soggetti a legislazioni e regole diverse, con la conseguente difficoltà di individuare i colpevoli e trarli a giudizio. Anche l’oscuramento dei siti criminali comporta problemi di non agevole soluzione, specie se il server che li ospita è ubicato all’estero.
Le modalità di commissione di questi reati – sfuggenti come primule rosse – sono molteplici e insidiose: attacchi informatici puntano alla esfiltrazione dei dati da un sistema per venderli a terzi; oppure, con altre forme di intrusione informatica, si impedisce la consultazione dei dati da parte dello stesso titolare al fine di costringerlo a pagare un riscatto per riaverne la disponibilità; ancora, si architettano vere e proprie truffe che, come tutte le truffe, richiedono la collaborazione del truffato, il quale incautamente agevola l’hacker, fornendogli le informazioni che gli occorrono per depredarlo. Esempio tipico, e poco noto, di questo terzo caso è il seguente: la vittima riceve un sms, apparentemente proveniente dalla sua banca, che l‘avvisa di un pagamento sospetto sul suo conto e la invita a mettersi subito in contatto, utilizzando il numero verde indicato. La vittima è accorta, sa che deve sospettare e, prima di chiamare, controlla il numero verde e verifica che effettivamente corrisponde a quello della sua banca; rassicurata che non c’è inganno e ansiosa di sapere di che si tratta, clicca sul numero verde che ha diligentemente controllato e, a questo punto, cade nella trappola, perché il numero verde corrisponde a quello della banca, ma in realtà è un link, predisposto dal truffatore, cliccando sul quale il criminale ottiene il profitto del reato, che può essere un’informazione o un consenso a un micidiale bonifico istantaneo o altro ancora, tipico esempio di smishing. Altre volte viene usato un falso QR Code e allora si parla di quishing (QR-phishing) che è una truffa informatica mediante utilizzo di codici QR malevoli per rubare dati sensibili, credenziali o infettare dispositivi con malware. I truffatori sostituiscono QR Code legittimi o ne inviano di falsi via e-mail, inducendo la vittima a scansionarli e a visitare siti contraffatti.
Non cliccate mai sul numero che vi viene offerto, semmai digitatelo autonomamente, allora vi risponderà davvero la vostra banca, ignara di tutto, e avrete sventato la truffa ai vostri danni.
Resta ancora valido in questa società ipertecnologica il consiglio delle nostre nonne: prima di aprire la porta, accertati chi c’è dietro.
*già procuratore generale della Repubblica dell’Umbria
