I reati informatici più diffusi: statistiche, modalità di realizzazione e strategie di contrasto
I reati informatici più diffusi: alcune statistiche
Nell’ultimo decennio i reati informatici[1] sono cresciuti a un ritmo del 10,1% all’anno. Nel dettaglio, tra il 2015 e il 2020 le truffe e le frodi informatiche denunciate dalle forze di polizia all’autorità giudiziaria sono salite del 72,8%, mentre sono quasi raddoppiate (+96,3%) le denunce di altri delitti informatici[2].
Tale tendenza è rimasta costante anche negli ultimi due anni: in particolare, come è emerso dall’indagine “Indice della criminalità” de Il Sole 24 Ore[3], nei primi sei mesi del 2022, il crimine online è raddoppiato rispetto al 2019, con una media di 84 illeciti denunciati al giorno[4].
Si sottolineano poi alcuni dati emergenti dall’analisi della suddetta indagine con riferimento alle città italiane: la città in cui è stato sporto il maggior numero di denunce per truffe e frodi informatiche rispetto al numero di abitanti è Gorizia (con 753,6 denunce ogni 100.000 abitanti, per un totale di 1.045 denunce), seguita da Torino (744,3/100.000 abitanti, per un totale di 16.412 denunce) e dalla Provincia del Verbano-Cusio-Ossola (734,6/100.000 abitanti, per un totale di 1.133 denunce).
Per quanto riguarda altri delitti informatici, invece, al primo posto si trova Mantova (174,8 denunce ogni 100.000 abitanti, per un totale di 707 denunce), seguita da Brescia (144/100.000 abitanti, per un totale di 1806 denunce) e Savona (118,4/100.000 abitanti, per un totale di 317 denunce)[5].
In particolare, i reati informatici più diffusi (in senso stretto e in senso lato) sono:
- la frode informatica
- l’accesso abusivo a sistema informatico o telematico[6]
- il danneggiamento di informazioni, dati e programmi informatici e danneggiamento di sistemi informatici e telematici
- la diffamazione mediante strumenti informatici
- la distribuzione di materiale pedopornografico
- gli atti persecutori commessi attraverso strumenti informatici o telematici (c.d. cyberstalking)
- la diffusione illecita di immagini o video sessualmente espliciti (c.d. revenge porn).
È opportuno poi menzionare il fenomeno del cyberbullismo[7], non riconducibile a un’unica fattispecie delittuosa, così come il fenomeno del cyberterrorismo, termine che indica l’utilizzo del cyberspazio per fini terroristici, ossia diffondere la paura e il panico nella popolazione destabilizzando l’ordine e la sicurezza pubblica per ragioni politiche, ideologiche o religiose[8].
Le modalità di realizzazione dei reati informatici più diffusi
Entrando più nel dettaglio, al fine di specificare in cosa consistono alcuni dei reati informatici più diffusi, si ritiene opportuno iniziare dalle frodi informatiche e, in particolare, dal fenomeno del phishing. Si tratta di una tipologia di truffa in cui la vittima viene indotta a rivelare dati sensibili (credenziali di accesso, numeri di carta di credito, PIN, ecc.) solitamente tramite siti web progettati per imitare un sito web legittimo nella speranza che l’utente inserisca i suddetti dati, oppure tramite e-mail del tutto uguali a quelle inviate da un regolare istituto (ad esempio, un istituto bancario), in cui viene chiesto alla vittima di cliccare su un link per aggiornare i suoi dati[9].
I criminali informatici si servono poi di virus informatici (i malware), ossia software dannosi specificamente progettati per ottenere l’accesso o danneggiare sistemi informatici[10]. Un tipo particolare di malware è il ransomware, un virus progettato per tenere in ostaggio i dati contenuti in un sistema informatico e, dunque, utilizzato dai criminali informatici al fine di ottenere un pagamento in cambio della restituzione di tali dati (configurando, quindi, il classico reato di estorsione)[11]. Tali virus vengono inviati anche tramite e-mail che richiedono, come nel caso del phishing, di aprire un link che scarica il malware.
Tali virus informatici possono essere utilizzati anche nel caso del cyberstalking, ad esempio al fine di monitorare l’attività del computer utilizzato dalla vittima o di carpire informazioni della stessa. In questi casi, l’autore del reato può porre in essere altresì condotte intimidatorie, attraverso l’invio di minacce tramite e-mail, messaggi istantanei o social network, oppure condotte dirette a contattare – sempre mediante l’utilizzo di un sistema informatico – conoscenti della vittima al fine di ottenere ulteriori informazioni sulla stessa.
Per quanto concerne il fenomeno del cyberbullismo, l’aggressione della vittima attraverso le modalità previste dall’art. 1 della legge 29 maggio 2017, n. 71 viene realizzata dagli autori per via telematica, anche attraverso la diffusione di contenuti online[12].
La diffusione online caratterizza altresì il c.d. revenge porn. In questo caso, l’intenzione dell’autore del fatto è quella di vendicarsi nei confronti della vittima, con cui vi era verosimilmente un rapporto affettivo, tramite la diffusione – ovviamente senza il consenso della vittima – sui social network o in gruppi chiusi di WhatsApp o Telegram di immagini o video sessualmente espliciti, al fine di danneggiare il soggetto ritratto in essi[13]. Allo stesso modo, si prevede l’uso di supporti tecnologici – ma non solo – anche con riferimento alla distribuzione di materiale pedopornografico[14].
Buone prassi da adottare per contrastare la diffusione dei reati informatici
La scarsa alfabetizzazione dell’utenza circa i pericoli insiti nell’utilizzo delle reti informatiche è stata una delle cause principali della diffusione dei reati informatici a livello globale[15]. Per questo motivo, la lotta al crimine informatico si è sviluppata non solo in termini di introduzione di una normativa volta a reprimere i reati informatici, ma anche con riferimento alle attività di prevenzione, puntando sulla sensibilizzazione e sulla formazione dell’utenza, coinvolgendo anche gli organi di pubblica sicurezza e implementando tecniche e procedure in grado di prevenire i reati informatici[16].
Per quanto riguarda i reati informatici più diffusi, il modo per riconoscerli varia in base alla tipologia di reato connesso. Ad esempio, per riconoscere il phishing possono essere utilizzate alcune tecniche volte a distinguere le e-mail fraudolente da quelle reali, tra cui:
- controllare attentamente nome e indirizzo del mittente, al fine di confrontarlo con e-mail eventualmente già ripetute e verificare se gli indirizzi coincidono;
- rivolgere particolare attenzione alle formule di apertura dell’e-mail, poiché spesso le e-mail di phishing iniziano con formule standardizzate (circostanza che non si verifica nel caso in cui un provider di un servizio si rivolga a suoi clienti, poiché questi vengono chiamati per nome, quest’ultimo sconosciuto ai cybercriminali);
- controllare grammatica e ortografia del testo della e-mail, poiché la presenza di molti errori potrebbe essere indizio che ci si trova di fronte ad una e-mail fraudolenta;
- controllare i link presenti nelle e-mail;
- non trasmettere dati personali, password o dati bancari via e-mail, anche se la richiesta sembra provenire dalla propria banca;
- prestare attenzione agli allegati di cui viene chiesto eventuale download, poiché potrebbero contenere malware;
- utilizzare una funzione di filtro anti-phishing sul proprio motore di ricerca in modo che possa scansionare attivamente i siti web visitati per verificare se sono stati identificati come siti web di phishing.
Per quanto riguarda i reati di accesso abusivo a sistema informatico e di danneggiamento dello stesso, si possono prendere alcuni accorgimenti, tra cui utilizzare password efficaci, installare sui propri dispositivi informatici un antivirus e aggiornarlo regolarmente, nonché effettuare scansioni periodiche per analizzare il proprio sistema e rimuovere così files pericolosi[17].
In ogni caso, occorre denunciare tali illeciti alle autorità preposte.
Competente per i reati informatici è la Polizia Postale[18]; tuttavia, se non è possibile recarsi presso gli uffici della Polizia Postale, ci si può comunque rivolgere ai Carabinieri o alla Polizia di Stato[19]. Successivamente, occorre avvertire il provider del servizio (ossia l’azienda che offre spazi sui propri server per ospitare siti web o anche altri servizi accessori legati a Internet, come la casella e-mail, il dominio, ecc.), che assume un ruolo attivo e di responsabilità nel rimuovere i contenuti illeciti[20].
Vi sono, poi, altri enti e istituzioni preposti alla salvaguardia del web, a cui è possibile rivolgersi anche in relazione alla tipologia di reato di cui si è stati vittima. Tra queste, si trovano l’Agenzia per la Cybersicurezza Nazionale[21], l’Autorità Garante per la Protezione dei Dati Personali[22] e l’Autorità per le Garanzie nelle Comunicazioni[23]. Tra le organizzazioni no profit, invece, si trovano, ad esempio, Permesso Negato[24] e Save The Children[25].
Informazioni
Reati informatici +10% all’anno. Ai tempi della cyberwar, sicurezza informatica cruciale per il 42,1% delle MPI, 12 maggio 2022, consultabile al sito https://www.confartigianato.it/2022/05/studi-reati-informatici-10-allanno-ai-tempi-della-cyberwar-sicurezza-informatica-cruciale-per-il-421-delle-mpi/.
“Indice della criminalità” de Il Sole 24 Ore, consultabile al sito https://lab24.ilsole24ore.com/indice-della-criminalita/index.php;
F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, 25 ottobre 2021, consultabile al sito https://www.cybersecitalia.it/cyber-crimine-800-reati-informatici-al-giorno-in-italia-nel-2021-soprattutto-nelle-citta-del-nord/14871/;
Polizia Postale, https://www.commissariatodips.it/approfondimenti/antiterrorismo-online/che-cosa-si-intende-per-terrorismo-online/index.html;
Cybercrime: +138% gli attacchi informatici rilevati nel 2022, 3 gennaio 2023, consultabile al sito https://www.federprivacy.org/informazione/societa/cybercrime-138-gli-attacchi-informatici-rilevati-nel-2022#:~:text=I%20casi%20di%20cyberbullismo%20trattati,trattati%2C%20130%20le%20persone;
S. Saturno, Il 2021 è stato l’anno nero per i crimini informatici, 14 marzo 2022, consultabile al sito https://www.italiaoggi.it/news/il-2021-e-stato-l-anno-nero-per-i-crimini-informatici-2555213;
I 5 reati informatici più diffusi: Come prevenirli?, 16 marzo 2021, consultabile al sito https://sicert.net/;
OCSE, Linee guida dell’OCSE sulla sicurezza dei sistemi e delle reti informatiche, consultabile al sito http://www.oecd.org/dataoecd/16/23/15582268.pdf;
Che cos’è il crimine informatico e come fare per difendersi, 11 dicembre 2021, consultabile al sito https://www.unicusano.it/;
B. Martino, Reati informatici: quali sono e come difendersi, 27 ottobre 2020, consultabile al sito https://legalfordigital.it/reati-informatici/reati-informatici-quali-sono/;
M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, 27 gennaio 2023, consultabile al sito https://www.agendadigitale.eu/.
[1] Per comprendere la categoria dei reati informatici ed il bene giuridico tutelato: I reati informatici – DirittoConsenso.
[2] Facendo un’analisi territoriale dell’aumento nel fenomeno nel periodo in esame, si nota che è più che raddoppiato in Veneto (+110,2%), Sicilia (+102,9%) e Umbria (+102,3%), mentre si registrano aumenti sopra alla media di questa tipologia di reati per Lombardia (+90,9%), Piemonte e Sardegna (entrambe con +89,2%), Friuli-Venezia Giulia (+81,2%) e Calabria (+73,9%). All’opposto, si osserva un aumento più contenuto del fenomeno in Molise (+8,0%) e nella Provincia autonoma di Trento (+6,1%), mentre è in controtendenza la Provincia autonoma di Bolzano (-10,4%). Tali dati sono riportati nell’articolo Reati informatici +10% all’anno. Ai tempi della cyberwar, sicurezza informatica cruciale per il 42,1% delle MPI, 12 maggio 2022, consultabile al sito https://www.confartigianato.it/2022/05/studi-reati-informatici-10-allanno-ai-tempi-della-cyberwar-sicurezza-informatica-cruciale-per-il-421-delle-mpi/.
[3] Tale indagine è consultabile al sito https://lab24.ilsole24ore.com/indice-della-criminalita/index.php.
[4] Cfr. sul punto M. Casadei-M. Finizio, Reati in calo, ma non sul web: delitti online, incendi e rapine oltre i livelli pre-Covid, 3 ottobre 2022, consultabile al sito https://www.ilsole24ore.com/art/reati-calo-ma-non-web-delitti-online-incendi-e-rapine-oltre-livelli-pre-covid-AEAXPi3B. Per un approfondimento in merito all’analisi dei dati relativi al 2021, invece, si veda F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, 25 ottobre 2021, consultabile al sito https://www.cybersecitalia.it/cyber-crimine-800-reati-informatici-al-giorno-in-italia-nel-2021-soprattutto-nelle-citta-del-nord/14871/, in cui viene riportato che, nel 2021, i reati informatici hanno rappresentato il 15% del totale dei reati denunciati dalla popolazione, con un aumento del 28% di truffe e frodi informatiche e un aumento del 52% dei delitti informatici in generale rispetto al 2019.
[5] Anche nel 2021 si trovano le medesime classifiche con riferimento alle prime tre città, salvo l’ingresso della Provincia del Verbano-Cusio-Ossola al posto della città di Belluno. Tuttavia, si rileva comunque un aumento delle denunce nel 2022 rispetto al 2021. In merito, si veda F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, cit.
[6] Per un approfondimento invito a leggere: L’accesso abusivo ad un sistema informatico – DirittoConsenso.
[7] La legge 29 maggio 2017, n. 71 recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” definisce tale fenomeno, all’art. 1, come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”. In più, rinvio ad un articolo già pubblicato su DirittoConsenso che riporta dati sul fenomeno: Cyberbullismo: alcuni dati recenti – DirittoConsenso.
[8] Sul punto, si veda il sito della Polizia Postale (https://www.commissariatodips.it/approfondimenti/antiterrorismo-online/che-cosa-si-intende-per-terrorismo-online/index.html), ove è analizzata la manifestazione di tale fenomeno attraverso due attività prevalenti: propaganda e attività diretta. L’attività di propaganda consiste nella diffusione di un pensiero o un’ideologia al fine di ottenere consensi, utilizzando un mezzo di comunicazione che raggiunga il maggior numero di persone possibili. Lo scopo finale della propaganda è quello di cercare di convincere le persone ad aderire alla causa e ad apportare il proprio contributo (uno dei mezzi di propaganda più utilizzati, ad esempio, sono i video che vengono veicolati attraverso vari canali, come i social network, da parte delle organizzazioni terroristiche di matrice islamista). L’attività diretta, invece, è quella che permette di utilizzare direttamente il cyberspazio come mezzo per colpire e dare dimostrazione della propria forza (ad esempio, possono essere compiuti attacchi dimostrativi – come il defacement di un sito web – sino alla vera e propria intrusione in un sistema informatico anche complesso). I principali obiettivi di questa attività possono essere, ad esempio, le infrastrutture critiche di un Paese, non solo per creare malfunzionamenti e diffondere il panico tra la popolazione, ma anche per poter sottrarre informazioni segrete. In merito a tale fenomeno, si sottolinea che nel 2022 sono stati 12.947 gli attacchi rilevati contro infrastrutture critiche, istituzioni, aziende e privati, ossia il 138% in più rispetto ai 5.434 dell’anno precedente. Non solo, è in continuo e vertiginoso incremento anche l’utilizzo delle piattaforme di comunicazione online, social network e di applicazioni di messaggistica istantanea per attività di cyberterrorismo: a questo proposito, nel 2022 sono stati monitorati 173.306 spazi virtuali con 1.193 casi trattati e 66 persone indagate (è quanto emerge dal rapporto del CNAIPIC – Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche – della Polizia postale, sul punto si veda l’articolo Cybercrime: +138% gli attacchi informatici rilevati nel 2022, 3 gennaio 2023, consultabile al sito https://www.federprivacy.org/informazione/societa/cybercrime-138-gli-attacchi-informatici-rilevati-nel-2022#:~:text=I%20casi%20di%20cyberbullismo%20trattati,trattati%2C%20130%20le%20persone; nello stesso senso, si veda S. Saturno, Il 2021 è stato l’anno nero per i crimini informatici, 14 marzo 2022, consultabile al sito https://www.italiaoggi.it/news/il-2021-e-stato-l-anno-nero-per-i-crimini-informatici-2555213).
[9] Sempre dal rapporto del CNAIPIC già citato è emerso, in merito al fenomeno del phishing e alle tecniche utilizzate per carpire illecitamente dati personali e bancari, che nel 2022 sono state identificate ed indagate 853 persone (+9% rispetto all’anno precedente).
[10] In merito ad alcuni tipi comuni di malware si veda l’articolo I 5 reati informatici più diffusi: Come prevenirli?, 16 marzo 2021, consultabile al sito https://sicert.net/.
[11] Secondo M. Casadei-M. Finizio, Reati in calo, ma non sul web: delitti online, incendi e rapine oltre i livelli pre-Covid, cit., l’aumento degli attacchi ransomware (classificati all’interno del reato di estorsione) in Italia è stato determinato dall’esponenziale sviluppo del mondo digitale, alimentato durante la pandemia da didattica a distanza e smart working. In tale articolo vengono riportate le parole del vicedirettore generale del dipartimento di Pubblica Sicurezza, il quale afferma che «per aziende oppure ospedali sono diventati attacchi sempre più frequenti che paralizzano l’attività, in cambio di denaro».
[12] Nel rapporto del CNAIPIC già citato si afferma che i casi di cyberbullismo trattati nel 2022 sono stati 323.
[13] In merito a tale fenomeno, si consiglia la lettura di F. Florio, Non chiamatelo revenge porn. Storie di vittime presunte colpevoli, Milano, 2022.
[14] Nel rapporto del CNAIPIC già citato si sottolinea che l’attività della Polizia Postale per il contrasto alla pedopornografia online ha portato, nel 2022, all’individuazione di 4.542 casi, consentendo di indagare 1.463 soggetti, con 149 arresti per reati commessi in danno di minori, e un aumento circa dell’8% di persone tratte in arresto. Inoltre, per quanto concerne il continuo monitoraggio svolto dalla Polizia Postale nelle attività di prevenzione, sono stati ispezionati 25.696 siti, di cui 2.622 inseriti in black list e oscurati, in quanto presentavano contenuti pedopornografici.
[15] Si veda, in proposito, OCSE, Linee guida dell’OCSE sulla sicurezza dei sistemi e delle reti informatiche, consultabile al sito http://www.oecd.org/dataoecd/16/23/15582268.pdf.
[16] Si pensi, ad esempio, alle attività di monitoraggio della rete e a quelle di tracciamento (cd. data retention), che spesso oscillano tra la necessità di garantire la pubblica sicurezza e quella di rispettare la privacy dei soggetti destinatari del controllo preventivo. In merito, la Polizia Postale ha reso noto di aver implementato tale attività informativa e di monitoraggio ad ampio spettro, estesa anche al dark web, attivando canali di diretta interlocuzione con altre forze di polizia quali Europol, Interpol ed FBI, per far fronte a continue e sempre più evolute sfide investigative nell’ambito dei reati informatici.
[17] Tali consigli si possono trovare nell’articolo Che cos’è il crimine informatico e come fare per difendersi, 11 dicembre 2021, consultabile al sito https://www.unicusano.it/.
[18] La denuncia può essere sporta anche online sul sito della Polizia Postale e, successivamente, deve essere confermata entro 48 ore in presenza, portando il numero di protocollo che è stato assegnato nella procedura effettuata sul sito. Peraltro, la Polizia Postale è strutturata in vari dipartimenti specializzati per ogni specifico reato.
[19] Cfr. sul punto B. Martino, Reati informatici: quali sono e come difendersi, 27 ottobre 2020, consultabile al sito https://legalfordigital.it/reati-informatici/reati-informatici-quali-sono/.
[20] Ad esempio, con riferimento al fenomeno del cyberbullismo, ai sensi della legge legge 29 maggio 2017, n. 71, è consentito a ciascun minore ultraquattordicenne vittima di cyberbullismo di inoltrare al gestore della piattaforma web una istanza per l’oscuramento, la rimozione o il blocco dei contenuti lesivi che lo riguardano e che sono stati diffusi in rete. Nel caso in cui la rimozione non avvenga nelle 24 ore, è possibile richiedere l’intervento del Garante della Privacy, che, entro le 48 ore successive alla richiesta, dovrà intervenire direttamente per intimare la rimozione dei contenuti lesivi, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, 27 gennaio 2023.
[21] Tale agenzia è stata istituita nel 2021 e si occupa di monitorare costantemente le criticità presenti sulla rete Internet, assicurando il coordinamento tra i soggetti pubblici e la realizzazione di azioni pubblico-private che puntino a garantire la sicurezza cibernetica per lo sviluppo digitale del Paese, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
[22] Tale autorità è stata istituita nel 1997 ed è la massima autorità preposta a gestire i reclami dei cittadini che subiscono violazioni all’interno del mondo digitale.
[23] Istituita nel 1997, svolge funzioni di regolamentazione e vigilanza nei settori delle comunicazioni elettroniche, dell’audiovisivo, dell’editoria, delle poste e, più recentemente, delle piattaforme online.
[24] Organizzazione nata nel 2020 contro la pornografia non consensuale. Coloro che sono vittime di questo fenomeno possono segnalarlo mediante l’Help Line presente sul sito e messo a disposizione. Inoltre, dal 2022 è attivo uno sportello di primo soccorso psicologico gratuito alle vittime di pornografia non consensuale, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
[25] Che, dal 2002, porta avanti un progetto di lotta allo sfruttamento e all’abuso sessuale in danno dei minori su Internet e tramite Internet, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
Francesco Banfi
Ciao, sono Francesco. Ho conseguito la laurea in Giurisprudenza presso l’Università degli Studi di Milano con una tesi in diritto penale dal titolo “Il delitto di intermediazione illecita e sfruttamento del lavoro: analisi della disciplina vigente e degli strumenti di contrasto”. Attualmente svolgo il tirocinio ex art. 73 D.L. 69/2013 presso la Procura della Repubblica presso il Tribunale di Milano. Ho una grande passione per il diritto e per la scrittura.
