Intervista SKY TG24

Conferenza 5/3/09-p.1

Conferenza 5/3/09-p.2

Conferenza 5/3/09-p.3

Conferenza 5/3/09-p.4

Furto d'identità: nel codice penale una norma ad hoc

Secondo i dati forniti dall'Associazione bancaria italiana (ABI) in sede di audizione davanti alla Commissione finanze della Camera il 10 novembre 2009, nell'ambito di una indagine conoscitiva sul credito al consumo, risultano in crescita e costano fra 1,6 e 2 miliardi, le frodi bancarie realizzate tramite uso di dati personali anagrafici, fiscali o previdenziali di terze persone per richieste di finanziamento. E' quanto si legge nella relazione parlamentare che ha accompagnato alla Camera un disegno di legge volto ad introdurre nel nostro ordinamento sanzioni ad hoc e severe contro il furto d'identità messo in pratica sia mediante strumenti tradizionali (furto della corrispondenza o dei documenti), sia attraverso la pirateria informatica.
Il provvedimento, assegnato alla Commissione Giustizia in sede referente il 9 dicembre scorso, introduce, nel codice penale, l'articolo 494bis proponendosi, nello specifico, di punire chi indebitamente acquisisca, in qualsiasi forma, dati identificativi personali, codici di accesso o credenziali riservate o in qualsiasi modo formi, ricostruisca o diffonda informazioni individuali relative a persone fisiche o giuridiche al fine di organizzare attività fraudolente mediante assunzione abusiva dell'identità altrui o di una identità fittizia funzionale alla formazione di un rapporto contrattuale di qualsiasi genere.



DISEGNO DI LEGGE
Modifiche al codice penale e al codice di procedura penale per favorire il contrasto al furto d'identità
Art. 1.
(Modifica al codice penale)
1. Dopo l'articolo 494 del codice penale è inserito il seguente:
«Art. 494-bis. - (Frode con falsa identità). – Chiunque indebitamente acquisisca, in qualsiasi forma, dati identificativi personali, codici di accesso o credenziali riservate o in qualsiasi modo formi, ricostruisca o diffonda informazioni individuali relative a persone fisiche o giuridiche al fine di organizzare attività fraudolente mediante assunzione abusiva dell'identità altrui o di una identità fittizia funzionale alla formazione di un rapporto contrattuale di qualsiasi genere, anche attraverso l'invio massivo di corrispondenza informatica ingannevole, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a cinque anni e con la multa fino a 10.000 euro.
Chiunque, ottenuti abusivamente i dati identificativi personali di cui al primo comma o comunque avvalendosi di falsa o contraffatta documentazione di identità, concluda, sostituendosi ad altri, rapporti contrattuali ovvero di mutuo, locazione o locazione finanziaria, ovvero contratti bancari, assicurativi o societari, finanziari di investimento o di finanziamento per l'acquisto, l'abbonamento o il pagamento di beni o servizi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da due a sei anni e con la multa da euro 15.000 a 25.000.
La pena è aumentata quando il fatto è commesso nell'esercizio di un'attività professionale o se riguarda una pluralità di parti offese».


Art. 2.
(Modifica al codice di procedura penale)
1. All'articolo 51 del codice di procedura penale, il comma 3-quinquies è sostituito dal seguente:
«3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 494-bis, 600-bis, 600-ter, 600-quater, 600-quater.1, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-bis, 635-ter, 635-quater, 635-quinquies, 640-ter e 640-quinquies del codice penale, nonché dei reati di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla parte terza, titolo III, capo II del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente».


(Fonte "Il Sole24 Ore")

Spamming: le tecniche utilizzate.

Lo spamming ha subito diverse evoluzioni legandosi sia agli apparati hardware, sia alle scoperte delle vulnerabilità dei software utilizzati.
Si è passati da semplici email da cui era individuabile chi l’aveva spedita, quindi facilmente arginabile inserendo in una blacklist l’account o l’IP (internet protocol) del mittente, all’utilizzo di malware (software contenenti codici maligni).
Tali software vengono inoculati, all’interno dei computer oggetto di attacco, per mezzo di trojan horses o trojan droppers (cavalli di troia), backdoor (programmi che permettono l’apertura, non voluta dall’utente vittima, di porte da cui sarà possibile entrare nel computer), ecc.

Con tali software il truffatore sarà in grado di prendere il controllo del computer infettato o potrà ricevere direttamente presso il proprio account di posta elettronica il rapporto completo relativo alla navigazione internet (siti web visitati, password inserite sia digitandole da tastiera che con l’utilizzo del mouse).
Non bisogna cadere nell’errore di aver individuato il mittente della mail spam solo dall’indirizzo di posta elettronica. Infatti, come accennato in precedenza, a disposizione degli spammer ci sono software in grado di far risultare un account diverso da quello reale o addirittura generare automaticamente account di posta avendo come unico dato iniziale il dominio di appartenenza. Inoltre, molti spammer, riescono a scovare dei server di posta aperti (open smtp relay) che permettono l’invio di posta senza essere autenticati.
Purtroppo attualmente, proprio in virtù delle più moderne tecniche, non è molto semplice bloccare l’arrivo di queste “fastidiose” email.

Non sempre filtrando la posta attraverso l’IP, l’account del mittente o parole presumibilmente presenti nell'oggetto o nel corpo delle missive elettroniche. Infatti, oltre all’utilizzo di account formalmente attendibili, gli spammer spezzettano le parole chiave che potrebbero essere utilizzate come filtro, quindi anche se nel corpo o nell’oggetto della email saranno presenti le parole VIAGRA e CIALIS che noi abbiamo utilizzato come filtro per la posta indesiderata, probabilmente queste parole sono state inserite come immagini ovvero sono state scritte in modo diverso da come vengono visualizzate. Ad esempio la parola VIAGRA potrebbe essere stata scritta in questo modo: VeIbAtGhReA, dove le lettere in rosso, con determinate istruzioni, non vengono rese visibili ma che messe insieme permettono di bypassare il filtro antispam da noi inserito.

Prima di approfondire il discorso con le tecniche spam, vorrei cercare di spiegare come "viaggia" una email nella Rete Internet.
Un account di posta elettronica e' composto dal nome dell' utente (es. mittente) ed un nome di dominio (es. miodominio.it). Tra il nome utente ed il dominio è presente il simbolo "@" (pronunciato "et"). Quindi, in questo caso, il mio indirizzo di posta elettronica sarà: "mittente@miodominio.it".
Quando invierò la mia email a "destinatario@suodominio.it", il primo step del percorso della posta elettronica sarà il server di "miodominio.it" definito SMTP (Simple Mail Transfer Protocol). Questo server chiederà al server DNS (Domain Name Server) l'indirizzo IP corrispondente al dominio "suodominio.it".
Se il DNS conosce l'IP di "suodominio.it", allora il server SMTP mittente spedirà il messaggio al server del destinatario altrimenti, verrà indicato un ulteiore server DNS in grado di aiutare il server SMTP mittente alla traduzione in indirizzo IP del dominio del destinatario. Si andrà avanti così fino a che non si arrivrà ad identificare correttamente l'IP di "suodominio.it".
A questo punto, il SMTP ricevente la email, andrà a leggere la prima parte (quella a sinistra di "@") dell'indirizzo di posta elettronica, quindi "destinatario@suodominio.it", indirizzando il messaggio all'area riservata dell'utente "destinatario". Però bisogna precisare una cosa: nel caso in cui si voglia trasferire la posta dal server SMTP alla postazione locale (il nostro computer), è necessario utilizzare il server POP (Post Office Protocol) al quale il SMTP traferirà la posta ricevuta. Infatti per poter utilizzare i software di posta elettronica (es. msoutlook, outlook express, Thunderbird, Incredimail, Pegasus Mail, ecc.) è necessario configurare oltre al SMTP, anche il POP o IMAP (Internet Message Access Protocol). Le differenze tra POP e IMAP stanno nella possibilità, per il secondo, di poter leggere da diverse postazioni la posta elettronica (sarà quindi necessaria la connessione ad Internet sia per la lettura che per la scrittura delle email), mentre con il POP si scarica in locale la posta svuotando quindi il server. La lettura e la scrittura, in quest'ultimo caso sarà possibile anche offline necessitando della connessione solo per l'invio e lo scarico della posta.

Andiamo a vedere nel dettaglio le tecniche utilizzate dagli spammer per far arrivare a destinazione queste fastidisiose email:

Open smtp relay

Il mittente della email, cliccando sul pulsante "invia", farà partire la posta dal serve SMTP su cui risiede la propria mailbox (se ho un account di posta elettronica registrato sul dominio "libero.it", la mia email utilizzerà come server di partenza uno di quelli gestiti da "libero".
Il destinatario, riceverà la suddetta email presso il server di posta del proprio dominio.
Normalmente i server utilizzati dagli ISP (Internet Service Provider) richiedono una qualche forma di autenticazione che garantisca che l'utente sia un cliente dell'ISP. I server open relay non controllano se l'utente è autenticato o meno dando la possibilità a chiunque di inviare posta elettronica, rendendo più difficile rintracciare lo spammer.


Spamming per interposta persona

Lo spamming per interposta persona è un mezzo più subdolo utilizzato sfruttando l'ingenuità di molta gente. Per l'esattezza si intende di solito l'invio di Email commerciali ad alcuni destinatari conosciuti e magari regolarmente iscritti ad una newsletter dello spammer invitandoli a far conoscere una certa promozione ad uno o più persone conosciute dall'ingenuo destinatario, invogliandolo magari con qualche piccolo compenso.
Grazie a questo sistema sarà l'ingenuo destinatario a "spammare" altre caselle di posta di suoi conoscenti e quindi coprendo colui che c'è dietro e che guadagnerà da questo comportamento.

Per l'invio della posta elettronica massivamente, può essere utilizzato TelNet (per chi ne conosce i comandi) o software con interfaccia molto più semplice da utilizzare. Con questi prodotti, è possibile far apparire un indirizzo mittente diverso da quello che realmente ha inviato l'email.


Furto d'identità

Anche in Italia sembra che si inizi a prendere coscienza di questa enorme "piaga" che sta colpendo gli USA da diversi anni. Il fenomeno, sicuramente, sta assumendo dimensioni importanti soprattutto con la diffusione dell'uso di Internet e dei mezzi di pagamento elettronici. Il nostro Paese pur non avendo raggiunto ancora i numeri di altre Nazioni (come l'Inghilterra e gli Stati Uniti d'America), sta accusando sempre di più questa problematica. Sono di esempio le continue truffe aventi per oggetto le carte di pagamento (bancomat e carte di credito), il carpire le credenziali di accesso agli istituti di credito on line, la sostituzione di persona mediante l'utilizzo di account di posta elettronica e profili registrati su siti di blog e social network, ecc.
Purtroppo, come di sovente, l'attenzione su queste nuove tipologie di truffe viene messa in rilievo dalle associazioni dei consumatori. Un ringraziamento particolare, per l'interesse finora mostrato su questo tema, va a Paolo Landi (segretario generale Adiconsum) e tutti i componenti della sua associazione. Di seguito inserisco i link degli ultimi forum sull'argomento:

Mezzi di pagamento elettronici: la nuova frontiera delle frodi e dei crimini finanziari Conoscerli per prevenirli (Roma 30 gennaio 2009)
programma atti del forum


IL FURTO DI IDENTITÀ - CONOSCERLO PER DIFENDERSI (Roma 5 marzo 2009)

programma video del forum



Ringrazio l'avv. Nicola Fabiano (centro giuridico di Adiconsum) per le belle parole scritte sul mio intervento durante il forum sui mezzi di pagamento elettronici avutosi lo scorso 30 gennaio 2009. Avere l'apprezzamento favorevole da parte di un profondo conoscitore della normativa sulla tutela della privacy, è per me una riprova per aver ben svolto il mio lavoro e sicuramente uno stimolo per continuare in questo settore sempre in rapida evoluzione.

Cerca nel blog

Blog Archive

Lettori fissi

Accessi