Che cos'è lo Smishing?

07.09.2020
a cura dell'avv. Federica Gessa

Lo “smishing” è la truffa attuata tramite sms volta ad estorcere ai destinatari informazioni personali, numeri di carte di credito a altri dati riservati al fine di trarne profitto. Tale tipologia di truffa informatica si differenzia dal “phishing” che avviene con l’invio di mail anziché SMS.
Il termine “smishing” deriva, infatti, dall’unione della parola “SMS” e “phishing”, cioè “pesca dei dati” o “abboccare alla truffa come un pesce” (letteralmente fishing).
I primi casi di campagne virali di tipo smishing risalgono al 9 marzo del 2012. I cybercriminali sono stati denunciati dall’azienda tedesca REWE Group che opera nei settori della grande distribuzione e del turismo: in particolare, i responsabili dell’azienda denunciarono la truffa compiuta mediante il regalo, in realtà finto, di premi del valore di 1.000 dollari.
Successivamente tale frode informatica ha interessato anche il nostro Paese.
Uno dei casi più clamorosi in Italia è quello ai danni degli utenti di Poste Italiane S.p.a. ai quali viene inviato un SMS che, nonostante sembri provenire realmente dal numero di tale ente, in realtà è falso; come falso è anche il sito al quale rinvia il link contenuto nel testo del messaggio.
Tuttavia le truffe tramite messaggio telefonico sono ancora molto attuali, probabilmente anche in considerazione del fatto che gli utenti abboccano sempre meno alle email di phishing ed i filtri antispam delle caselle di posta elettronica sono sempre più efficaci nel bloccarle.
Non a caso, anche durante la pandemia di Covid-19, si sono evidenziati casi di smishing.
La “Federal Communications Commission” americana ha, infatti, lanciato l'allarme e ha invitato i cittadini a non rispondere ai messaggi SMS in cui si offrivano test kit gratuiti o contributi inesistenti da parte del Governo, con importi addirittura fino a 30 mila dollari.
Lo smishing, così come il phishing, rientra sicuramente nell’ambito dei “cyber crimes”, definiti dalla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23.11.2001 (ratificata dall’Italia con l. n. 48/08) come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”, ovvero un tentativo di truffa in cui un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, utilizzandoli poi per attuare frodi informatiche che consistono, di solito, nell’accedere a conti correnti bancari o postali con l’unico scopo di svuotarli (Cass. Sez. Pen. n. 9891/2011).
La condotta del cybercriminale integra, oltre che un illecito civile, anche un illecito penale configurandosi innanzitutto il reato di “trattamento illecito dei dati personali” ex art. 167 del Codice della privacy, il reato di “truffa” ex art. 640 del codice penale e il delitto di “frode informatica” ex art. 640-ter c.p.c.. Possono, inoltre, configurarsi gli estremi del delitto di “accesso abusivo ad un sistema informatico o telematico” ex art. 615-ter c.p. ovvero del delitto di “utilizzo indebito di carte di credito e di pagamento” ai sensi dell’art. 12 d.l. n. 143/1991 convertito in l. n. 197/1991 (Cass.Pen. n. 37115/2002).
Le modalità di attuazione principalmente impiegate dai cybercriminali per rubare i dati sono di due tipi: da una parte possono ingannare le vittime inducendole a scaricare dei malware che si installano automaticamente sul telefono, i quali si potrebbero addirittura mascherare da applicazioni legittime, d’altra parte, tramite link contenuti direttamente nei messaggi di smishing, i quali riconducono a siti falsi ove viene richiesto al destinatario di inserire informazioni personali.
Occorre quindi diffidare da qualsiasi messaggio che richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio home banking o altre informazioni personali in quanto gli istituti di credito non richiedono normalmente tali informazioni via e-mail o sms.
Nel caso in cui invece si sia incorsi in errore “abboccando” alla truffa è assolutamente necessario cambiare la password del proprio account, informare immediatamente le autorità competenti, come la Polizia Postale, denunciando l'accaduto e contattare la propria banca o ufficio postale per bloccare i servizi coinvolti nella truffa (carte di credito, conti correnti, bancomat).