Nel novero degli illeciti che attualmente possono essere sanzionati soltanto attraverso il ricorso a reati “classici”, il più frequente è quello che viene usualmente chiamato phishing. Il termine origina probabilmente dalla crasi dei termini “phreaking” che è una tecnica fraudolente che serviva ad effettuare telefonate gratuitamente e fishing, con allusione all’attività con cui il phiser tramite un’apposita “esca elettronica” tenta di far abboccare il malcapitato al fine di fargli rivelare informazioni di vario genere.

La finalità più comune di un phishing è infatti l’aggressione alla sfera patrimoniale altrui mediante lo sfruttamento di tecniche informatiche e di social engineering.

In questa prospettiva, la fattispecie del phishing potrebbe essere riportate a quella della truffa o della frode informatica: questa operazione è resa ulteriormente complicata dalle connotazioni del tutto peculiari di questo illecito. Parte di queste criticità sono legate alla struttura dell’illecito, che è caratterizzato da due fasi distinte: in un primo momento il phisher si procura i dati della vittima e, in un secondo momento, utilizza gli stessi per realizzare un profitto.

  1. Comunemente, la prima fase del phishing consiste nell’invio di una comunicazione contenente un messaggio formulato in modo tale da indurre il destinatario di aprire un link a una pagine web in cui inserire i propri dati riservati: il mittente fittizio è solitamente un istituto di credito, oppure l’Agenzia delle Entrare, e la pagina che viene aperta è del tutto simile a quella “ufficiale” di tali enti. La richiesta di inserimento delle credenziali riservate è quasi sempre esplicita e motivata nei modi più diverse: l’ignaro utente è dunque invitato a digitare le proprie credenziali che, invece di percorrere una strada protetta dai protocolli di sicurezza, imbocca una trasmissione in chiaro che viene immediatamente registrata dal phisher. In un caso come quello appena descritto, il primo reato che si perfeziona è quello di sostituzione di persona ex articolo 494 del Codice Penale: ciò naturalmente a patto che vengano utilizzati gli estremi identificativi di un mittente reale, non potendosi altrimenti configurare l’ipotesi di sostituzione illegittima di persona. 
  1. Nella seconda fase di solito il phisher utilizza i dati fraudolentemente carpiti per introdursi in un’area riservata dell’istituto di credito , da cui tenterà di autorizzare operazioni bancarie a favore di carte prepagate o conti correnti da lui controllati. È del tutto evidente come queste condotte possano configurare non soltanto i già richiamati reati di cui agli articoli 640 e 640-ter, ma tutta una serie di illeciti presenti nel nostro ordinamento: l’articolo 491-bis (sui documenti informatici in relazione alla falsità in scrittura privata) l’articolo 615-ter (accesso abusivo ad un sistema informatico), l’articolo 617-sexies (falsificazione del contenuto di comunicazione informatica), fino ad arrivare ai reati comuni come l’articolo 624 (furto), 635 (danneggiamento di informazioni), 646 (appropriazione indebita) e articolo 167 del Codice Privacy sul trattamento illecito di dati.

 La natura complessa dell’illecito genera una serie di difficoltà applicative notevoli. Un errore abbastanza frequente, ad esempio, è l’immediata riconduzione del phishing alla frode informatica: ma nel caso del phishing è tutto da dimostrare che la condotta del reo si sostanzi in un intervento senza diritto o in un’alterazione del funzionamento del sistema.

Allo stesso modo, la configurabilità del reato nel quadro della truffa “classica” è tutt’altro che scontata, dal momento che se è il phisher stesso ad entrare nel sistema ed eseguire operazioni a proprio favore manca quella cooperazione da parte della vittima, indotta in errore dalla falsa rappresentazione della realtà, che si ritiene invece necessaria per la sussistenza del reato di cui all’articolo 640 del Codice Penale.

Allo stato attuale, dunque, la qualificazione giuridica di un atto di phishing richiede un esame dettagliatissimo della condotta del phisher. Occorre inoltre registrare come il fenomeno sia in continua evoluzione: se inizialmente il phishing mirava quasi esclusivamente a violare l’area riservata di un istituto di credito, negli ultimi anni si sono verificati casi di sottrazione di credenziali anche di altra natura.

Inoltre, il phishing può ibridarsi con altre tecniche fraudolente, dando luogo a una fitta schiera di cybercrimes derivati:

  1. Tra le più note di queste varianti si trova il “pharming” che frutta la corruzione del Domain Name System (DNS) facendo si che l’indirizzo correttamente digitato dall’utente non venga risolto come dovrebbe, ma conduca all’apertura di una pagina gestita e controllata dal phisher. 
  2. Si pensi poi al “tabnabbing”, in cui il phiser sfrutta l’abitudine dell’utente di navigare aprendo più schede all’interno di un browser, tanto da non ricordare di aver aperto il sito del proprio istituto di credito ed essere così invogliato ad accedervi.
  3. Si hanno varianti assai meno tecnologiche, come il “trashing” in cui la prima fase del phishing non si svolge sul web ma tramite l’attento setaccio della spazzatura della vittima prescelta. Esistono inoltre casi in cui, la prima fase del phishing non è attuata tramite mail ma con una telefonata, di cui si simula l’origine da un call center autorizzato a chiedere determinate informazioni.
  4. Alla famiglia del phishing possono essere riportati anche i casi di Social Network Poisoning, in cui vengono sfruttati profili falsi per varie finalità: l’obiettivo attualmente più diffuso è probabilmente quello di “drogare” le recensioni di un prodotto, di un albergo o di un ristorante, condizionando così chi si avvale di recensioni lasciate da altri utenti, credendole nature o imparziali
  5. Infine, può essere considerato una variante del phishing anche il fenomeno in cui sui impiegati particolari tipi di malware che, installati fraudolentemente sul sistema operativo della vittima, ne criptano tutti i file richiedendo poi il pagamento di una somma di denaro a titolo di “riscatto”: peraltro al pagamento non sempre segue una effettiva operazione di decifrazione dei file