Phishing:rischi legali, responsabilità aziendale e strumenti di tutela per le imprese

Il phishing viene comunemente associato a e-mail sospette, link contraffatti o messaggi apparentemente provenienti da banche, enti pubblici, fornitori, clienti o colleghi. Tuttavia, per un’impresa, il phishing non rappresenta soltanto una minaccia informatica: può costituire il punto di origine di accessi abusivi, frodi nei pagamenti, sottrazione di credenziali, violazioni di dati personali e contestazioni in ordine alla responsabilità dell’organizzazione.

Ricondurre il fenomeno a un mero problema tecnico significa sottovalutarne la reale portata. Ogni attacco può determinare conseguenze legali, organizzative e reputazionali, soprattutto quando coinvolge dati aziendali, informazioni riservate o sistemi utilizzati nella gestione dei rapporti con clienti, fornitori e dipendenti.
Per tale ragione, le imprese dovrebbero affrontare il phishing non solo come una questione di cybersecurity, ma anche come un rischio di compliance, governance e responsabilità aziendale.

Il phishing è una tecnica fraudolenta basata sull’ingegneria sociale. L’autore dell’attacco si presenta come un soggetto apparentemente affidabile, con l’obiettivo di indurre la vittima a compiere un’azione pregiudizievole: cliccare su un link, inserire credenziali, comunicare codici di accesso, autorizzare un pagamento o scaricare un allegato malevolo.

La rilevanza giuridica del phishing emerge soprattutto nella fase successiva all’acquisizione delle informazioni. Le credenziali o i dati sottratti possono infatti essere utilizzati per accedere a caselle e-mail aziendali, sistemi gestionali, piattaforme cloud, conti correnti, archivi documentali o strumenti di pagamento.

In tali ipotesi, l’attacco può integrare o agevolare la commissione di diversi illeciti, tra cui truffe informatiche, accessi abusivi a sistemi informatici, violazioni di dati personali, sostituzioni di persona e forme di furto di identità digitale.

In ambito aziendale, il rischio è particolarmente elevato poiché l’attacco non incide soltanto sul singolo dipendente, ma può compromettere processi interni, rapporti commerciali, dati riservati e flussi di pagamento.

Gli attacchi di phishing seguono spesso uno schema ricorrente: il criminale informatico predispone un messaggio apparentemente credibile, sfrutta l’urgenza, l’affidamento o la pressione psicologica sul destinatario e lo induce a compiere un’azione dannosa.

Tra le forme più comuni vi sono:

• Lo spear phishing: consiste in un attacco mirato nei confronti di specifiche persone, funzioni aziendali o gruppi di destinatari. A differenza del phishing generico, il messaggio è costruito utilizzando informazioni verosimili sul destinatario, sul suo ruolo o sull’organizzazione di appartenenza, così da risultare più credibile. In ambito aziendale può colpire, ad esempio, uffici amministrativi, risorse umane, uffici acquisti o soggetti che gestiscono dati riservati e pagamenti.
• Il whaling: una forma particolarmente mirata di spear phishing rivolta a figure apicali o a soggetti con poteri decisionali, come amministratori, CEO, CFO, dirigenti o responsabili finanziari. L’obiettivo è sfruttare l’autorevolezza del ruolo o l’accesso a informazioni e risorse sensibili, inducendo la vittima ad autorizzare pagamenti, comunicare dati riservati o compiere operazioni rilevanti per l’impresa.
• Il clone phishing: si basa sulla riproduzione di comunicazioni apparentemente legittime già ricevute dalla vittima, come e-mail di fornitori, notifiche di servizi digitali, conferme d’ordine o comunicazioni operative. L’attaccante replica contenuto, impostazione grafica e tono del messaggio originario, modificando però link, allegati o coordinate di pagamento, al fine di indirizzare la vittima verso canali fraudolenti.
• Lo smishing: una forma di phishing veicolata tramite SMS o servizi di messaggistica. Il messaggio può simulare comunicazioni provenienti da banche, corrieri, enti pubblici, piattaforme digitali o fornitori, invitando il destinatario a cliccare su un link, confermare credenziali, aggiornare dati o autorizzare operazioni. La brevità del messaggio e l’apparente urgenza aumentano il rischio di errore.
• Il vishing: realizzato attraverso telefonate o messaggi vocali. In questi casi, l’autore dell’attacco si presenta come un operatore bancario, un tecnico IT, un referente aziendale o un soggetto istituzionale, con l’obiettivo di ottenere informazioni riservate, codici di accesso, conferme operative o autorizzazioni di pagamento. Questa modalità è particolarmente insidiosa perché sfrutta il contatto diretto e la pressione psicologica esercitata durante la conversazione.

Particolarmente rilevanti per le imprese sono anche le frodi basate sulla compromissione delle comunicazioni aziendali. In tali casi, l’hacker si inserisce in uno scambio e-mail già esistente, modifica le coordinate bancarie o invia istruzioni di pagamento fraudolente, inducendo l’azienda a trasferire somme verso un conto da lui stesso controllato.

Sul piano penale, il phishing non costituisce una fattispecie autonoma, ma rappresenta spesso la modalità attraverso cui vengono commessi diversi reati informatici e contro il patrimonio.

Quando le credenziali sottratte vengono utilizzate per accedere a un account aziendale, a una casella di posta elettronica o a un sistema informatico, può venire in rilievo il reato di accesso abusivo a sistema informatico di cui all’art. 615-ter c.p.. Quando, invece, l’attacco è finalizzato a conseguire un profitto mediante operazioni non autorizzate o alterazioni del funzionamento di un sistema, può configurarsi la frode informatica di cui all’art. 640-ter c.p.

Il phishing può inoltre accompagnarsi a condotte di sostituzione di persona, trattamento illecito di dati, furto di identità digitale o manipolazione delle comunicazioni commerciali. È il caso, ad esempio, delle frodi fondate sul cambio fraudolento dell’IBAN, nelle quali il criminale si inserisce in uno scambio e-mail già in corso e induce la vittima a effettuare un pagamento verso coordinate bancarie false.

Per le imprese, il tema assume rilievo anche sotto il profilo del D.Lgs. 231/2001, laddove determinati reati informatici siano commessi nell’interesse o a vantaggio dell’ente. In tale prospettiva, l’adozione di un modello organizzativo adeguato, aggiornato e concretamente attuato, unitamente a procedure interne efficaci, può contribuire a ridurre l’esposizione dell’organizzazione.

Oltre ai profili penali, il phishing può determinare rilevanti conseguenze sul piano civilistico, soprattutto quando l’attacco comporta perdite economiche, pagamenti indirizzati verso soggetti non legittimati o contestazioni tra imprese, clienti, fornitori e intermediari finanziari.

In tali ipotesi, la valutazione della responsabilità non può essere affrontata in modo uniforme, ma richiede di distinguere la natura dell’operazione e il rapporto giuridico coinvolto.

Nei rapporti con banche e prestatori di servizi di pagamento, assume rilievo anzitutto la distinzione tra operazioni non autorizzate e operazioni formalmente disposte dall’utente, ma eseguite a seguito di un raggiro. Nel caso di operazioni non autorizzate, la disciplina sui servizi di pagamento prevede specifici obblighi di rimborso in capo al prestatore, salvo che ricorrano ipotesi di frode, dolo o grave negligenza dell’utente. La Banca d’Italia, nella comunicazione del 17 giugno 2024, ha richiamato l’esigenza di garantire alla clientela il diritto di disconoscere le operazioni non autorizzate e di ottenere i rimborsi dovuti.

Diversa può essere la valutazione quando il pagamento sia stato materialmente disposto dall’impresa, ad esempio perché un dipendente, indotto in errore da una comunicazione fraudolenta, ha eseguito un bonifico verso coordinate bancarie false. In questi casi non sempre si è in presenza di un’operazione “non autorizzata” in senso tecnico: il pagamento può essere stato autorizzato dal soggetto legittimato, ma sulla base di presupposti falsificati o di comunicazioni manipolate.

Nei rapporti commerciali, il phishing può generare conflitti tra debitore e creditore. È il caso, ad esempio, della frode del falso IBAN, in cui il cliente ritiene di avere adempiuto al pagamento, mentre il fornitore sostiene di non aver ricevuto alcuna somma. In simili ipotesi, la questione centrale riguarda l’effettiva liberazione del debitore e l’individuazione del soggetto sul quale debba ricadere il rischio della comunicazione alterata.

La responsabilità potrà quindi dipendere da diversi elementi, tra cui la provenienza della comunicazione fraudolenta, l’eventuale compromissione della casella e-mail di una delle parti, la riconoscibilità dell’anomalia, la diligenza osservata nella verifica delle coordinate bancarie e l’esistenza di procedure interne idonee a prevenire pagamenti non corretti.

Per l’impresa, il profilo più delicato è proprio questo: il phishing può trasformarsi in un contenzioso sulla diligenza organizzativa. In caso di contestazione, potranno assumere rilievo le misure adottate per prevenire frodi nei pagamenti, le procedure di verifica dei cambi IBAN, l’utilizzo di canali alternativi all’e-mail per confermare istruzioni anomale, la formazione del personale amministrativo e la concreta applicazione delle policy interne.

In questa prospettiva, procedure chiare, controlli preventivi e tracciabilità delle verifiche non rappresentano soltanto strumenti operativi, ma anche presidi di tutela giuridica. Essi consentono all’impresa di ridurre il rischio di errore e, in caso di incidente, di dimostrare di avere adottato misure organizzative coerenti con la natura dell’attività svolta e con i rischi concretamente prevedibili.

Non ogni tentativo di phishing integra automaticamente una violazione di dati personali. Una semplice e-mail sospetta ricevuta e non aperta, ad esempio, non costituisce di per sé un data breach.

La valutazione cambia quando l’attacco consente a un soggetto non autorizzato di accedere a una casella e-mail, a un archivio documentale, a un CRM, a una piattaforma cloud o a un gestionale contenente dati personali. In tali ipotesi, l’impresa deve verificare se si sia verificata una violazione della riservatezza, dell’integrità o della disponibilità dei dati.

Qualora l’evento comporti un rischio per i diritti e le libertà delle persone fisiche, possono sorgere obblighi di notifica al Garante per la protezione dei dati personali e, nei casi più gravi, di comunicazione agli interessati.

Il punto centrale non è soltanto decidere se notificare o meno l’evento, ma dimostrare che l’organizzazione ha svolto una valutazione tempestiva, documentata e proporzionata dell’incidente.

In questo senso, procedure di gestione dei data breach, registri interni, tracciamento delle decisioni, ruoli chiari e flussi di escalation non costituiscono meri adempimenti formali, ma strumenti essenziali di tutela dell’impresa e di dimostrazione della corretta gestione del rischio.

Il quadro normativo europeo conferma una tendenza ormai consolidata: la cybersecurity è sempre più parte integrante della governance aziendale. Anche quando un’impresa non rientra direttamente nel perimetro di specifiche discipline settoriali, il phishing rappresenta un esempio concreto di rischio che richiede un approccio organizzativo e non soltanto tecnico.

La protezione dell’azienda passa dalla capacità di prevenire l’attacco, riconoscerlo tempestivamente, gestirlo in modo ordinato e documentare le decisioni assunte. In questa prospettiva, policy interne, formazione del personale, procedure di incident response e contratti con i fornitori IT diventano strumenti di tutela legale, oltre che misure di sicurezza.

Per tutelarsi dal phishing non è sufficiente installare un antivirus o invitare genericamente il personale a “fare attenzione”. La prevenzione richiede un sistema più ampio, nel quale strumenti tecnologici, procedure interne e presidi legali siano coordinati tra loro.

Una prima area di intervento riguarda l’organizzazione interna. L’impresa deve disciplinare l’uso degli strumenti informatici, prevedere regole chiare sulla gestione delle credenziali, adottare un sistema di autenticazione multifattore e individuare canali semplici e immediati per la segnalazione di comunicazioni sospette.

Una seconda area di intervento riguarda i pagamenti. Le frodi basate sul cambio fraudolento dell’IBAN dimostrano che molte perdite economiche possono essere evitate mediante l’adozione di procedure di verifica semplici ma rigorose. Ogni richiesta di modifica delle coordinate bancarie dovrebbe essere confermata attraverso un canale diverso dall’e-mail, soprattutto quando riguarda importi rilevanti o rapporti commerciali già in corso.

Infine, vi è il piano documentale e contrattuale. Policy IT, procedure data breach, istruzioni agli autorizzati, clausole con i fornitori tecnologici e regole sulle comunicazioni di pagamento rappresentano elementi essenziali per dimostrare la diligenza organizzativa dell’impresa.

Il phishing si fonda spesso sulla capacità di indurre il destinatario in errore, sfruttando fiducia, disattenzione, urgenza o apparente autorevolezza del mittente. Per questo motivo, la formazione del personale non dovrebbe essere considerata un adempimento episodico o meramente formale, ma un presidio stabile e continuativo di prevenzione del rischio.

Una formazione efficace non si limita a spiegare che cosa sia il phishing, ma mostra esempi concreti, simula situazioni realistiche, chiarisce cosa fare in caso di dubbio e indica a chi segnalare una comunicazione sospetta.

Dal punto di vista dell’impresa, la formazione svolge una duplice funzione: riduce il rischio operativo, poiché aumenta la consapevolezza dei dipendenti e diminuisce la probabilità di errore; al tempo stesso, rafforza la posizione dell’azienda nella dimostrazione delle misure organizzative adottate.

In presenza di un sospetto attacco di phishing, la rapidità di intervento è determinante. La gestione dell’evento non dovrebbe essere affidata a iniziative isolate o non coordinate, ma ricondotta a una procedura preventiva, chiara e già condivisa all’interno dell’organizzazione. In caso di incidente, è opportuno:

• conservare e-mail, allegati, messaggi e log disponibili;
• avvisare immediatamente IT, ufficio legale, DPO o altre funzioni interne competenti;
• modificare le credenziali potenzialmente compromesse;
• bloccare pagamenti o operazioni bancarie sospette;
• verificare eventuali accessi non autorizzati;
• valutare la necessità di presentare denuncia;
• attivare, ove necessario, la procedura di gestione del data breach;
• documentare le decisioni adottate e le attività svolte.

La tracciabilità delle attività svolte assume un ruolo essenziale, perché consente all’impresa di ricostruire con precisione l’accaduto, individuare quali adempimenti è necessario porre in essere in base alla normativa applicabile in materia e dimostrare la coerenza e l’adeguatezza delle decisioni adottate.

Un’impresa può ridurre la propria esposizione al rischio di essere soggetta ad attacchi di phishing verificando periodicamente la presenza e l’effettiva applicazione di alcuni presidi essenziali, tra i quali:

• una policy (o un codice disciplinare) sull’uso degli strumenti informatici;
• canali chiari e facilmente accessibili per la segnalazione di comunicazioni sospette;
• una procedura interna per la verifica dei cambi IBAN e delle richieste di pagamento anomale;
• l’attivazione dell’autenticazione multifattore sugli account aziendali;
• una procedura data breach aggiornata e concretamente applicabile;
• clausole contrattuali con i fornitori IT che disciplinino obblighi, tempi e modalità di intervento in caso di incidente;
• attività di formazione periodica e documentata del personale;
• un sistema di tracciamento delle decisioni assunte e delle attività svolte in caso di incidente.

Il phishing non è solo un indicatore della vulnerabilità tecnologica di un’organizzazione, ma anche della solidità del suo assetto organizzativo, procedurale e di compliance. Un’impresa preparata non è quella che presume di poter evitare ogni attacco, ma quella che ha costruito un sistema capace di prevenirlo, riconoscerlo, gestirlo e documentarlo.

In questo senso, la prevenzione del phishing è parte integrante della compliance aziendale: un presidio che tutela non solo i sistemi informatici, ma anche il patrimonio, i dati, la reputazione e la responsabilità dell’impresa.