TUTTOPALERMO.NET - Truffe online e criminalità informatica, Avv. Vella: “Ecco come riconoscere i segnali delle frodi digitali e difendersi da phishing, SMS falsi e furto d’identità”

L'Avv. Salvatore Vella è stato intervistato in esclusiva da TuttoPalermo.net e ha affrontato alcuni dei temi più attuali e delicati legati alla criminalità informatica, alle truffe online e alla tutela dei cittadini nell'era digitale.

Oggi le truffe online sono sempre più diffuse e sofisticate: phishing, SMS falsi delle banche e clonazione di identità. Come vengono inquadrati questi reati dal punto di vista giuridico?

"Dal punto di vista strettamente penalistico, non ci troviamo di fronte a figure criminose totalmente nuove, bensì a un’evoluzione tecnologica di fattispecie classiche. Il nucleo centrale è rappresentato dall'art. 640 ter del Codice Penale (Frode informatica), che è fattispecie autonoma rispetto alla truffa tradizionale e che punisce chi, alterando il funzionamento di un sistema informatico o intervenendo senza diritto sui dati, procura a sé o ad altri un ingiusto profitto con altrui danno, con una pena astrattamente prevista della reclusione da sei mesi a tre anni oltre che la multa da €. 51 a €. 1.032. Quando parliamo di phishing o smishing (gli SMS contraffatti), l'attività condotta dai criminali integra, secondo quanto è stato affermato dalla giurisprudenza più recente, un concorso formale di reati. Infatti, oltre alla frode informatica, viene quasi sempre contestato anche il reato di Sostituzione di persona (art. 494 c.p.), poiché l'agente induce in errore la vittima sostituendosi illegittimamente all'istituto bancario. Infine, l'intercettazione e la captazione illecita delle credenziali d'accesso configurano i reati di Accesso abusivo a un sistema informatico (art. 615 ter c.p.) e di detenzione e diffusione abusiva di codici di accesso (art. 615 quater c.p.). Il legislatore ha apprestato tutele severe, aggravando le pene anche con l’introduzione di specifiche aggravanti ad effetto speciale, quando il fatto è commesso con il furto dell'identità digitale o a danno di sistemi bancari".

Quanto è frequente, nella pratica, la sostituzione di persona attraverso account social o numeri telefonici falsi? E quanto è complesso risalire ai reali responsabili?

"Il reato di sostituzione di persona, nel carico giudiziario attuale, purtroppo, è in costante ascesa. La frequenza di queste condotte è altissima ed è mossa da un pervasivo senso di impunità degli autori. Dal punto di vista della sua struttura, è un reato di pericolo a dolo specifico: per la sua consumazione basta l’illegittima assunzione di una falsa identità al fine di procurare a sé un vantaggio o recare ad altri un danno, anche non patrimoniale. Sebbene dal punto di vista investigativo le tracce digitali (come i log di accesso, gli indirizzi IP e i tabulati telefonici) siano tecnicamente indelebili e tracciabili, il reale problema risiede nell'anonimizzazione delle condotte: i sodalizi criminali utilizzano comunemente servizi di VPN (Virtual Private Network), server collocati in paradisi legali, e tecniche di spoofing per camuffare i numeri di telefono o gli ID dei mittenti. Risalire all’identità reale dell’effettivo utilizzatore del dispositivo richiede accertamenti tecnici complessi e soprattutto tempestivi, che spesso si scontrano con la carenza di cooperazione internazionale da parte dei provider esteri o dei gestori delle piattaforme social, rallentando, di fatto, l'identificazione oltre i tempi di efficacia dell'azione repressiva".

Le truffe via SMS o email imitano ormai in modo quasi perfetto comunicazioni ufficiali delle banche. In questi casi, la legge tutela sempre la vittima o può emergere anche una forma di corresponsabilità del cittadino?

"Questo è uno dei temi più caldi e dibattuti, che unisce profili civilistici, penalistici e di regolamentazione finanziaria e non di meno dinanzi all'Arbitro Bancario Finanziario (ABF). La normativa di riferimento (Decreto Legislativo n. 11 del 27 gennaio 2010), recependo la direttiva europea PSD2, stabilisce che la responsabilità per le operazioni non autorizzate ricada sull'istituto di credito a meno che quest'ultimo non dimostri il dolo o la colpa grave dell'utente. La giurisprudenza, inclusa anche quella dell’Arbitro Bancario Finanziario (ABF), è rigorosa: la raffinatezza della truffa (il cosiddetto look and feel identico a quello della banca) attenua la responsabilità del cittadino. Tuttavia, se l'utente ignora macroscopici segnali di allarme — come la cessione e/o la comunicazione spontanea del codice OTP dispositivo o delle chiavi private di sicurezza a seguito di un link sospetto — può configurarsi la colpa grave. La tutela non è quindi mai 'automatica', ma esige una valutazione caso per caso sul livello di diligenza impiegato dall'utente medio rispetto all'ingannevolezza della condotta fraudolenta. Per questo, in sede giudiziale, la difesa della vittima esige un’analisi tecnica meticolosa della condotta dell’intermediario finanziario per dimostrare l’eventuale carenza dei sistemi di autenticazione forte (MFA)".

Dal punto di vista investigativo, quali sono oggi le principali difficoltà nel contrastare il phishing, soprattutto quando i responsabili operano dall’estero?

"La principale criticità investigativa e giudiziaria è legata senz’altro alla transnazionalità delle condotte di reato, oltre che alla frammentazione della competenza giurisdizionale. L’azione delittuosa si consuma spesso sul territorio nazionale, ma la regia e le infrastrutture informatiche si trovano all’estero. Succede spesso che i proventi illeciti vengono frammentati e trasferiti in pochissimi secondi su conti esteri o convertiti in criptovalute, rendendo la tracciabilità finanziaria estremamente complessa. Sotto il profilo procedurale, l’ostacolo maggiore è rappresentato dai tempi della cooperazione internazionale. Strumenti come l'Ordine Europeo di Indagine (OEI) funzionano bene all'interno dell'Unione Europea, ma quando i server o i flussi finanziari transitano in paesi extra-UE o in giurisdizioni non collaborative, l'azione della Polizia Postale e della Magistratura incontra inevitabilmente barriere geopolitiche e burocratiche quasi insormontabili, che, causando il ritardo nell’acquisizione dei dati di traffico o nell’emissione di un sequestro preventivo, vanificano l’efficacia stessa dell’azione penale".

Quanto è importante la tempestività della denuncia da parte della vittima? Può incidere concretamente sul recupero delle somme sottratte?

"La tempestività non è solamente importante, ma è fisiologicamente determinante. Nel contrasto alla criminalità informatica finanziaria, il fattore temporale assume una valenza processuale e sostanziale di tipo preclusivo. Il recupero delle somme non avviene quasi mai ex post attraverso la condanna penale del reo, che spesso risulta insolvente o magari irreperibile, ma attraverso il blocco immediato dei flussi. L’unica reale chance di ristoro patrimoniale risiede nell’attivazione immediata delle procedure di recall interbancario e nella richiesta di sequestro preventivo ex art. 321 c.p.p. sui conti correnti di destinazione (i cd. Conti beneficiari o money mules). Solo bloccando il flusso finanziario nelle prime ore dall’evento fraudolento è possibile sottrarre il profitto del reato alla disponibilità dei criminali, prima che avvenga la dispersione o il prelievo vero e proprio del contante. Dunque, la vittima deve tempestivamente procedere al disconoscimento delle operazioni presso il proprio istituto e, contestualmente, sporgere querela. Questo permette alle autorità di attivare con immediatezza i canali di cui ho parlato, prima che venga prelevato o disperso il denaro. Una denuncia presentata a distanza di giorni riduce drasticamente le probabilità di successo del recupero". 

Nella sua esperienza, esistono segnali ricorrenti che possono aiutare un cittadino a riconoscere una truffa digitale prima di cadere nella rete dei criminali?

"Sì, i moderni schemi di social engineering (l'ingegneria sociale) poggiano sempre sulla manipolazione psicologica della vittima. Due sono le leve principali: l’urgenza e il timore. I messaggi fraudolenti prospettano quasi sempre un blocco imminente del conto, una sanzione o un accesso abusivo in corso, spingendo la vittima ad agire d'impulso. I segnali tecnici ricorrenti sono: l’inserimento di link esterni all'applicazione ufficiale della banca, richieste di inserimento di credenziali complete (attenzione, gli istituti non chiedono mai le password dispositive via sms o telefono) e la ricezione di chiamate da presunti operatori della sicurezza che richiedono codici ricevuti sul cellulare. La regola aurea è fermarsi: non cliccare mai e ricontattare la banca esclusivamente attraverso i canali ufficiali autonomamente reperiti. La consapevolezza della vittima resta sempre il primo e più efficace presidio di legalità".

Dal punto di vista dell’avvocato, ha mai difeso persone accusate di truffe online o reati informatici? Quali sono, in questi casi, le principali linee difensive adottate?

"Nel corso dell’attività professionale capita di assistere soggetti imputati di tali reati. Le linee difensive in ambito informatico possiedono una spiccata specificità tecnica. In queste fattispecie, la strategia difensiva si incentra sulla reale riconducibilità della condotta all'imputato, sul rigido vaglio del compendio probatorio e sulla corretta attribuzione della paternità digitale della condotta. Essere intestatari di una linea internet o di una carta prepagata su cui sono transitati i fondi (i cosiddetti money mules, spesso soggetti inconsapevoli usati come intermediari) non significa automaticamente essere gli autori della frode. Spesso sono persone del tutto ignare, a loro volta vittime di furto d’identità o manipolate da terzi. Dunque, la strategia difensiva mira a scardinare l'impianto accusatorio ricercando elementi che possano dimostrare l’assenza dell'elemento soggettivo (il dolo), l’eventuale furto d’identità subito dall’imputato stesso, o la mancanza di certezza granitica sull'attribuzione dell’indirizzo IP al momento della commissione del fatto. La prova digitale deve essere cristallina e priva di contaminazioni per fondare una condanna".

Le è mai capitato di difendere un imputato di cui riteneva evidente la responsabilità? Come si concilia il diritto alla difesa con la coscienza etica e morale del difensore, soprattutto in reati che colpiscono soggetti vulnerabili?

"Questo interrogativo solleva inevitabilmente una questione etica profonda oltre che deontologica. L’art. 24 della Costituzione garantisce il diritto di difesa come inviolabile, per chiunque e per qualsiasi reato. Difendere un imputato, anche laddove la responsabilità appaia evidente, non significa giustificare il reato o condividerne la moralità; significa garantire che il processo si svolga nel pieno rispetto delle regole, della legalità e delle garanzie procedurali. La coscienza etica dell'avvocato non si scontra con il mandato, ma lo guida: il nostro dovere è assicurare che nessuno venga condannato sulla base di prove illegittime o a una pena sproporzionata rispetto alla reale entità del fatto. Anche nel caso di reati odiosi che colpiscono i vulnerabili, la vera giustizia trionfa solo se il percorso per giungere alla verità è formalmente e sostanzialmente ineccepibile. È la tutela della regola, a garanzia di tutti i cittadini. Il senso comune ci dice che il colpevole va punito e il diritto ovviamente è d’accordo. Ma vi è una differenza enorme tra punizione e vendetta. In uno Stato civile, la giustizia non è un tribunale del popolo che decide sulla scia dell’emozione o dell'odio. La giustizia è un processo fatto di regole. Come detto, non difendo 'il reato', difendo l’applicazione della legge. Difendo il diritto di ogni uomo a non essere vittima di abusi dal sistema, a non subire una pena superiore a quella prevista, a veder rispettata la propria dignità umana. Perché veda, se oggi permettessimo allo Stato di calpestare i diritti di un colpevole, domani nessuno di noi sarebbe più al sicuro. L'avvocato penalista, questo deve essere sempre evidenziato, non è l'alleato del crimine, è il guardiano della procedura. È colui che garantisce che, prima di punire un uomo o di privarlo della libertà, lo Stato abbia rispettato ogni singola virgola della Costituzione. Difendere un colpevole significa garantire che la giustizia resti umana, significa che il processo non serve a stabilire chi è 'buono' e chi è 'cattivo', ma chi è responsabile e in quale misura, secondo prove raccolte legalmente. Senza un avvocato, non c'è un processo: ci sarebbe solo un'esecuzione. E la storia ci insegna che quando muoiono le garanzie, muore la libertà di tutti".

Anche in contesti locali come Palermo, si parla di un aumento delle truffe digitali. Quali sono i casi più ricorrenti sul territorio e cosa dovrebbe fare oggi un cittadino per proteggersi concretamente?

"Il fenomeno non sconta barriere geografiche; Palermo e la sua provincia registrano un trend in perfetta linea con il dato nazionale. Sul nostro territorio sono particolarmente ricorrenti le truffe legate al vishing (le finte telefonate da parte di falsi marescialli dei Carabinieri o dipendenti della banca che allarmano anziani o professionisti) e le frodi sulle piattaforme di e-commerce per compravendite tra privati. Dal punto di vista della tutela, per proteggersi concretamente, oltre alla necessaria diffidenza verso le comunicazioni non sollecitate, occorre investire in cultura digitale: attivare l’autenticazione a due fattori su ogni account, verificare la sicurezza dei siti web (presenza del protocollo https) e, soprattutto, ricordare che nessuna autorità o istituto di credito chiederà mai il trasferimento di denaro su 'conti di sicurezza' o la comunicazione di password. La prevenzione culturale resta lo scudo più efficiente a nostra disposizione".