Il phishing è un’attività illecita condotta con l’inganno a danno degli utenti della rete Internet. Essa consiste nella sottrazione di dati o informazioni sensibili (dati finanziari, codici di accesso bancari, passwords) e di norma avviene mediante l’invio di messaggi di posta elettronica ingannevoli a cui la vittima “abbocca”. Il termine phishing deriva, infatti, dalla crasi dei termini inglesi phreaking (strumento hardware di pirataggio telefonico) e fishing (pescare). Il malintenzionato invia una specifica “esca elettronica”, mail con allegati o sms contenenti link diretti a risorse web fasulle, con l’intendo di indurre la vittima del phishing a rivelare dati sensibili. Le esche elettroniche sono sempre più raffinate, tanto da sembrare comunicazioni veritiere provenienti da banche o società di servizi Internet (es. PayPal o siti di eCommerce). Esse rinviano invece a pagine web contraffatte ad arte, cioè simili sia nella grafica, sia nel tenore linguistico e lessicale a quella legittima, in cui la vittima inserire le proprie credenziali che, invece di seguire una strada protetta da protocolli di sicurezza, imboccheranno una trasmissione in chiaro registrata dal malintenzionato.
Così, a titolo d’esempio, le credenziali di accesso al proprio account di home banking potranno permettere all’aggressore di disporre a proprio favore bonifici on-line in frode al titolare del conto concorrente.
La qualificazione giuridica di un atto di phishing richiede un’analisi dettagliata della condotta dell’agente cioè del phiser, la quale può manifestarsi in modi diversi e, quindi, può integrare diverse fattispecie diversamente sanzionabili. Essa può configurare un trattamento illecito di dati, in violazione dell’art. 167 del Codice privacy, e diversi reati previsti dal Codice penale, come: la truffa, la frode informatica, l'accesso abusivo ad un sistema informatico, finanche la sostituzione di persona.