Introduzione: sì, è successo anche a me

Chi scrive questo articolo non parla per sentito dire. Anche a me è successo: un’email apparentemente perfetta, arrivata da un mittente conosciuto, con un tono formale e professionale. Bastava un clic per aprire un allegato, e in pochi secondi mi sono reso conto che si trattava di un tentativo di phishing ben costruito, destinato a sottrarre informazioni riservate.

Mi è successo anche all'inverso: società e professionisti mi hanno contattato perchè hanno ricevuto delle email sospette che contenevano i dati dello Studio Legale Vallini Vaccari, probabilmente per infondere fiducia nei destinatari e autorevolezza al contenuto.

Non c’è nulla di cui vergognarsi: il phishing è progettato per colpire chiunque, anche utenti esperti. La differenza la fa la consapevolezza — sapere come riconoscere i segnali, come reagire e soprattutto quali azioni legali intraprendere per limitare i danni e tutelare i propri diritti.

Che cos’è il phishing: una truffa “sofisticata” ma sempre più diffusa

Il phishing è una frode informatica con cui un soggetto malintenzionato induce la vittima a fornire volontariamente dati riservati (come credenziali d’accesso, coordinate bancarie o dati fiscali), o a eseguire operazioni che consentono l’accesso non autorizzato ai propri sistemi.

Si manifesta sotto diverse forme:

• Email phishing: messaggi che imitano banche, fornitori o enti pubblici.
• Smishing: versioni via SMS con link apparentemente legittimi.
• Vishing: telefonate “da parte” di operatori bancari o tecnici informatici.
• Business Email Compromise (BEC): attacchi che prendono di mira aziende, falsificando comunicazioni tra dirigenti o uffici amministrativi.

Dietro ogni messaggio c’è una strategia di ingegneria sociale accurata, spesso costruita sulla base di dati realmente reperiti online (LinkedIn, siti aziendali, PEC pubbliche).

Quando il phishing colpisce l’azienda: danni e responsabilità

Gli effetti del phishing possono essere devastanti per un’impresa: accessi indebiti ai conti, bonifici fraudolenti, furto di dati dei clienti o dei dipendenti, blocco dell’operatività.

Sotto il profilo giuridico, possono emergere diversi livelli di responsabilità:

Responsabilità dell’autore del reato

Il soggetto che realizza l’attacco (anche se difficilmente identificabile) può rispondere penalmente per:

• accesso abusivo a sistema informatico (art. 615-ter c.p.);
• frode informatica (art. 640-ter c.p.);
• sostituzione di persona (art. 494 c.p.);
• trattamento illecito di dati personali.

Responsabilità del prestatore di servizi (es. banca o provider)

In caso di pagamenti non autorizzati o furto di credenziali bancarie, l’istituto di credito deve dimostrare di aver adottato tutte le misure di sicurezza previste dal D.lgs. 11/2010 (attuazione della direttiva PSD2).
Se non lo fa, il cliente ha diritto al rimborso dell’importo sottratto, salvo dolo o colpa grave.

Responsabilità aziendale e del datore di lavoro

Se il phishing colpisce un’azienda, può emergere una responsabilità organizzativa: il datore di lavoro o l’amministratore devono dimostrare di aver adottato misure idonee di sicurezza informatica (art. 32 GDPR).
In mancanza, un data breach può comportare:

• sanzioni del Garante Privacy,
• obbligo di notifica del data breach,
• richieste di risarcimento da parte dei soggetti danneggiati.

Cosa fare subito se sei vittima di phishing

Il tempo è determinante. Ecco i passaggi essenziali che consiglio sempre ai miei clienti (e che ho seguito personalmente nel mio caso):

1. Blocca l’accesso al dispositivo o all’account compromesso.
2. Cambia immediatamente le password da un dispositivo sicuro.
3. Avvisa la banca o il fornitore del servizio per bloccare transazioni sospette.
4. Conserva tutte le prove: email, log, notifiche, ricevute.
5. Segnala l’accaduto alla Polizia Postale.
6. Contatta un avvocato specializzato in diritto informatico per valutare la responsabilità e impostare una strategia legale (eventuale denuncia, azione di rimborso, richiesta risarcitoria).

Le azioni legali possibili

A seconda della natura del danno, le vie percorribili sono diverse:

Denuncia penale

Si presenta presso la Polizia Postale o un ufficio di Polizia Giudiziaria, allegando prove digitali. Serve ad avviare un procedimento contro ignoti o contro il soggetto individuato.

Azione civile di risarcimento

Può essere intrapresa nei confronti della banca, del provider o di chi non ha rispettato obblighi di sicurezza, per ottenere il ristoro del danno economico subito.

Segnalazione al Garante Privacy

Se il phishing ha comportato la diffusione di dati personali (es. clienti, fornitori, dipendenti), l’azienda deve notificare il data breach entro 72 ore, come previsto dall’art. 33 GDPR.

Prevenire il phishing: misure tecniche e legali per le imprese

La prevenzione è la prima difesa. Oggi, un approccio efficace deve unire sicurezza informatica e consulenza legale preventiva.

Misure tecniche minime

• Autenticazione a due fattori (2FA).
• Filtri antispam e verifica SPF/DKIM/DMARC.
• Segmentazione della rete e limitazione dei privilegi utente.
• Backup periodici offline.
• Aggiornamento costante di software e sistemi operativi.

Misure organizzative e legali

• Policy aziendale per uso email e gestione credenziali.
• Formazione periodica dei dipendenti, anche tramite test simulati.
• Clausole contrattuali con fornitori IT sulla sicurezza dei dati.
• Nomina del Responsabile della Sicurezza Informatica (CISO) o di un DPO in caso di trattamento dati su larga scala.
• Assicurazione cyber e piano di risposta agli incidenti.

Un aspetto spesso trascurato: il danno d’immagine

Oltre alle perdite economiche, un attacco di phishing può compromettere la reputazione dell’impresa. Clienti, fornitori e partner possono perdere fiducia, specie se la comunicazione dell’incidente è gestita in modo improvvisato.

Un approccio professionale richiede di:

• gestire la comunicazione esterna (es. informativa trasparente ai clienti);
• coordinare la risposta legale e tecnica;
• dimostrare la diligenza dell’azienda nell’adottare misure preventive.

Conclusione: la sicurezza è anche una questione legale

Il phishing non è solo un problema informatico. È un rischio giuridico e reputazionale, che richiede preparazione legale e organizzativa.
Nessuno è immune — nemmeno chi conosce bene il diritto o la tecnologia. L’importante è reagire con lucidità, documentare tutto e affidarsi a professionisti capaci di unire competenza giuridica e conoscenza tecnica.

Contatta lo Studio Legale Vallini Vaccari

Se sei stato vittima di phishing — o vuoi evitare che accada alla tua azienda — possiamo aiutarti.
Lo Studio Legale Vallini Vaccari imprese e professionisti che hanno subito truffe informatiche, furti di dati o transazioni non autorizzate. Offriamo una consulenza legale completa: dalla denuncia alla gestione del danno, fino all’adeguamento delle misure di sicurezza aziendali.

Contattaci per una valutazione riservata del tuo caso e per mettere al sicuro la tua attività prima che sia troppo tardi.