Cybercrime: contorni e punibilità del Whaling
Il Whaling è una forma di attacco informatico mirato che punta a specifici individui o entità di alto livello all’interno di un’organizzazione come dirigenti, amministratori delegati (CEO), funzionari di alto livello o altre persone con accesso a informazioni sensibili o che possono prendere decisioni importanti all’interno di un’azienda. Questi attacchi prendono il nome da “Whale” (balena) in quanto mirano ai “grandi pesci” o individui di alto profilo, spesso con l’obiettivo di ottenere informazioni riservate o finanziarie rilevanti, oppure di eseguire altre attività dannose come frodi finanziarie o accesso non autorizzato a sistemi sensibili. Il Whaling può coinvolgere diverse tecniche di ingegneria sociale per indurre la vittima a compiere azioni dannose. Alcuni esempi includono: Phishing: gli aggressori possono utilizzare email o messaggi falsi che sembrano provenire da una fonte affidabile per convincere la vittima a condividere informazioni sensibili come password, dati finanziari o accesso a sistemi aziendali. Spear Phishing: una forma avanzata di phishing in cui gli attaccanti personalizzano i messaggi per adattarli specificamente alla vittima, utilizzando informazioni personali o aziendali acquisite in precedenza. Malware: gli aggressori possono utilizzare malware, come Trojan o spyware, per infiltrarsi nei dispositivi delle vittime di alto profilo e ottenere accesso non autorizzato ai loro dati o sistemi. Falsificazione: Gli attaccanti possono creare siti web o documenti falsi che sembrano autentici per indurre la vittima a condividere informazioni sensibili o fare clic su link dannosi. Poiché gli attacchi di Whaling sono mirati e spesso altamente personalizzati, possono essere più difficili da rilevare rispetto agli attacchi di phishing di massa (più generici e, così, meno credibili). Le organizzazioni devono adottare misure di sicurezza avanzate, come l’educazione degli utenti, l’autenticazione multi-fattore e il monitoraggio costante dei sistemi per proteggersi da questo tipo di minaccia informatica. A livello penale, il Whaling, configurando una forma di attività ingannevole, risulta punibile principalmente ai sensi dell'art. 640 c.p. (truffa). - sostituzione di persona (art. 494 c.p.), - accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.), - falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617 sexies c.p.). Foto di Elianne Dipp da Pexels
In base alle modalità di esecuzione dell'attacco, tuttavia, può integrare altresì le differenti fattispecie penali di:
Se le informazioni acquisite mediante Whaling vengono successivamente utilizzate a fini estorsivi, risulta infine configurabile anche il reato di estorsione (art. 629 c.p.).