Kradzież lub wyłudzenie danych osobowych mogą być choćby bardziej dotkliwe niż w przypadku rzeczy materialnych. Przestępcy wykorzystują nowe i modyfikują wcześniej stosowane sposoby, żeby wejść w posiadanie wrażliwych danych.
Phishing to, najkrócej mówiąc, pozyskanie poufnej informacji osobistej. Jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, np. danych osobowych, logowania, karty kredytowej, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. Phishing polega zwykle na rozesłaniu pocztą elektroniczną odpowiednio przygotowanych wiadomości, które udają oficjalną korespondencję z banku, serwisu aukcyjnego lub innych portali. Wiadomości te zawierają informację o rzekomym dezaktywowaniu konta i konieczności jego ponownego reaktywowania. W mailu znajduje się odnośnik do strony, na której można dokonać ponownej aktywacji konta. Pomimo iż witryna z wyglądu przypomina prawdziwą stronę, w rzeczywistości jest to przygotowana przez przestępcę pułapka.
Bardziej zaawansowaną, a co za tym idzie niebezpieczniejszą dla użytkownika oraz trudniejszą do wykrycia, formą phishingu jest tzw. pharming. Zamiast wysyłania fałszywych wiadomości e-mail, przestępcy przekierowują użytkowników wpisujących prawidłowe adresy np. swojego banku na fałszywe strony internetowe.
Odpowiedzialność karna za tego typu czyny wynika ze wspomnianego art. 286 k.k., dotyczącego oszustwa, a także z art. 287 k.k., który stanowi, iż karze podlega każdy, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych.
