Spam, phishing

Spam, phishing, pharming: significato

Spamming, phishing, pharming: definizione e descrizione

Spam, phishing e pharming sono tre fenomeni del mondo web che possono causare problemi anche molto seri ad una persona non particolarmente attenta alla propria sicurezza informatica. Si tratta, infatti, di reati informatici che partono dal classico trattamento illecito di dati personali fino ad arrivare alla vera e propria truffa online.

Data la frequenza con la quale purtroppo tuttora vengono commessi questi reati, anche il nostro ordinamento sta cercando di intervenire in maniera sempre più diretta contro di loro. In modo particolare si cerca di combatterli attraverso norme previste dal Codice in materia di protezione dei dati personali, dal Codice Penale e, in alcuni casi, anche dalla Legge sul Diritto d'Autore.

Cos'è lo spam

Lo spam – detto anche spamming – consiste nell'inoltrare continui messaggi non richiesti ad un utente, spesso di tipo pubblicitario.
La posta elettronica è la via di diffusione preferita per questa operazione, per cui di frequente una persona può ritrovarsi con la propria casella privata letteralmente invasa da email commerciali non gradite.

Il nome di questo fenomeno deriva da una marca di carne in scatola molto diffusa in America e soprattutto da una famosa scena del telefilm inglese "Monty Python's Flying Circus" girata negli anni Settanta: una coppia di coniugi ed una cameriera in un ristorante non riescono a comunicare tra loro in quanto disturbati da altri clienti che cantano in continuazione il tormentone "Spam".
Con questa scena il termine assunse il significato di "disturbo"; dal momento che anche la ricezione di numerosi messaggi pubblicitari indesiderati provoca lo stesso effetto, il fenomeno sul web è stato allora ribattezzato proprio "spam".

Ai giorni nostri i messaggi spam hanno trovato nuovi canali di diffusione anche nelle applicazioni per smartphone e tablet nonché sui famosi social network.
Lo spam su facebook, per esempio, viene spesso eseguito attraverso account fasulli creati appositamente da uno spammer per raggiungere i suoi obiettivi.

Per difendersi dallo spam, oltre ad evitare comportamenti errati (per esempio non rendere mai pubbliche le nostre informazioni personali in rete, come numero di telefono, indirizzo di residenza, indirizzo email, ecc.), possiamo fare affidamento anche sul Codice in materia di protezione dei dati personali.
In base al Codice, infatti, chiunque desideri prelevare e utilizzare i nostri dati privati è obbligato non solo a comunicarci le sue intenzioni tramite un'apposita informativa, ma anche a chiederci esplicito consenso prima di agire; di conseguenza, se siamo certi di non aver mai dato il nostro consenso per queste operazioni, possiamo rivolgerci al Garante della Privacy oppure ad un giudice ordinario, inoltrando loro segnalazioni, reclami, ricorsi.

Lo spam è un fenomeno da non sottovalutare mai in nessun caso, neanche quando ci porta solo modiche quantità di messaggi indesiderati nella casella email: spesso, infatti, assume anche il ruolo di apripista per reati ben più gravi di cui si può esser vittime online, ad esempio per quel fenomeno illegale tra i più pericolosi conosciuto con il nome di phishing.

Cos'è il phishing

Il phishing non viene definito in modo preciso dal nostro ordinamento, ma è considerato un reato perseguibile penalmente in quanto corrisponde di fatto alla truffa informatica.

Il suo nome è una storpiatura dell'inglese "to fish" (pescare) e probabilmente è dovuto al fatto che il suo obiettivo è quello di "far abboccare all'amo" gli utenti, trarli in inganno per ottenere da loro stessi informazioni da sfruttare successivamente per realizzare furti online.
Il phishing, infatti, il più delle volte prende il via da un'email fasulla inviata all'utente-vittima. Questa email riporta di solito come mittente il nome dell'istituto di credito di cui la persona è cliente ed un avviso circa la presenza di un problema tecnico sul sito, seguito da un link da cliccare per risolverlo. Se l'utente "abbocca" e clicca sul link, viene solitamente indirizzato su un sito web che apparentemente sembra quello dell'istituto, ma in realtà altro non è se non una sua copia illecita. Scrivendo qui i dati di accesso del suo account, di fatto li consegnerà inconsapevolmente nelle mani del truffatore, il quale potrà allora accedere anche al suo conto e farne ciò che desidera.

In Italia non c'è ancora una disposizione penale specifica per il reato di phishing, ma in queste situazioni comunque si può far riferimento sia alle norme che puniscono i casi di truffa, sia a quelle che hanno a che vedere con l'accesso abusivo informatico ed alla falsificazione del contenuto di comunicazioni, tutti crimini per via dei quali un truffatore viene punito con il pagamento di multe da migliaia di euro e la detenzione in carcere.

Negli ultimi anni, inoltre, si sta diffondendo in rete un reato molto simile al phishing e probabilmente anche più pericoloso in quanto prende di mira non solo gli utenti comuni, ma anche chi fornisce certi servizi in rete: si tratta del fenomeno conosciuto con il nome di pharming.

Cos'è il pharming

Il pharming - storpiatura derivata dall'inglese "to farm" (allevare) – consiste anch'esso nel sottrarre illecitamente dati agli utenti al fine di truffarli, ma in questo caso l'inganno può essere attuato seguendo due vie: muovere un attacco contro l'utente o colpire proprio un "server dns". Il server Dns è un sistema che trasforma il nome del sito web che scriviamo nella barra degli indirizzi (il "nome a dominio", in altre parole quello preceduto dal classico "www") in un codice numerico ("indirizzo Ip") che indica dove è posizionato esattamente ciò che stiamo cercando.

Per capire meglio come funziona il tutto, facciamo un esempio pratico: nel momento in cui scriviamo sulla barra l'indirizzo www.sitowebmiabanca.it, il server dns lo traduce in Ip e ci porta a visitare esattamente ciò che vogliamo, nello specifico il portale della banca presso la quale abbiamo un conto.
Un truffatore particolarmente esperto in informatica, però, può anche sballare questo meccanismo: può far sì che, pur scrivendo il nome esatto del sito della banca, veniamo portati automaticamente da tutt'altra parte, presso una sua perfetta copia creata allo scopo di trarci in inganno. Ignari della truffa in corso, sul sito web fasullo scriviamo i dati che utilizziamo per accedere al nostro conto: a quel punto il truffatore ne verrà in possesso e potrà servirsene per i suoi scopi illegali.

Il truffatore riesce nell'impresa colpendo o appunto il server dns – che, di conseguenza, non "traduce" il nome a dominio nell'indirizzo Ip esatto - oppure semplicemente l'utente: attraverso una mail di spam con un allegato pericoloso, per esempio, può installare di nascosto sul pc di una persona programmini capaci di modificare alcune cose e far sì che venga sempre reindirizzata presso siti web fasulli nel momento in cui naviga in rete.

Anche in caso di episodi di pharming i reati ipotizzati sono molteplici: si va dal trattamento illecito dei dati personali alla truffa online, passando anche per la violazione del Diritto d'Autore. Il truffatore, infatti, falsificando un sito, commette un ulteriore reato in quanto di fatto copia illegalmente un'opera creativa considerata originale e per questo protetta dalla legge.

Segnalazione phishing, pharming, spam

La segnalazione di eventi che fanno pensare a tentativi di phishing, pharming o semplice spam può essere inoltrata all'autorità competente in questi settori anche attraverso internet.
La Polizia Postale e delle Comunicazioni, infatti, essendo una sezione specifica della Polizia di Stato che si concentra proprio sui crimini informatici, offre la possibilità di segnalare episodi di questo tipo direttamente online.
Il trattamento illecito di dati personali può essere segnalato anche al Garante della Privacy.

Nel momento in cui, poi, si diventa vittime di truffe web – o si viene a conoscenza di una truffa online subita da altri - è possibile sporgere denuncia, sia per iscritto che oralmente, di persona oppure attraverso un procuratore speciale (il proprio legale di fiducia). La denuncia deve essere sottoscritta e indirizzata al pubblico ministero oppure ad un ufficiale di polizia giudiziaria.

Spam, phishing: Elenco Avvocati e Studi Legali
Sicurezza informatica aziendale: il DPS
Il "Documento Programmatico sulla Sicurezza" era un documento che, stando al Codice della Privacy, un’azienda era obbligata a compilare. La informazioni in esso contenute riguardavano per es. tipo di trattamento dei dati, strumenti utilizzati, natura dei dati, ecc. Dal 2011 non è più l’obbligatorio.
Tipi di commercio elettronico
Il commercio elettronico si distingue in base ai soggetti che realizzano la compravendita. Per es. si parla di “Business to Business” (B2B) quando coinvolge due aziende, “Consumer to Consumer” (C2C) quando riguarda due consumatori e “Business to Consumer “(B2C) per venditore professionale e consumatore.
Cookie Law: sanzioni
Il proprietario di un sito web che fa uso di cookie non rispettando l’attuale normativa rischia sanzioni anche molto pesanti: le multe vanno da 6.000 a 36.000 €, ma possono arrivare anche a 120.000 € in caso di cookie di profilazione installati senza aver ricevuto prima il consenso dell’utente.
Cookie di profilazione
File che raccolgono informazioni personali sulle preferenze di acquisto e i gusti di chi sta visitando un sito web. Lo scopo è creare un profilo sulle tendenze dei visitatori e dar vita, quindi, a campagne pubblicitarie mirate.
Commercio elettronico indiretto e diretto
Il commercio elettronico può essere:
indiretto, se il bene o servizio è venduto sul web ma consegnato presso un indirizzo fisico (per es. casa mia);
diretto, se il bene o servizio, oltre ad essere venduto online, resta anche “virtuale” (per es. un file).
Rendi visibile il tuo Studio Legale in Internet
e ricevi contatti mirati in base alle tue competenze

Area Professionisti:

Contatta la Redazione: 0547.28909
tutte le mattine, dal lunedì al venerdì: 9:00-13:30