Frode informatica del soggetto che presta servizi di certificazione di firma elettronica1. Bussole di inquadramentoLa firma elettronica costituisce uno degli strumenti attraverso i quali viene maggiormente attuata la dematerializzazione di servizi e operazioni che, in precedenza, richiedevano la presenza fisica presso uffici/sportelli dell'interessato. Basti pensare alle possibilità che sono consentite attraverso l'apposizione di una firma digitale: dalla conclusione di determinati contratti, alla prova di un'identificazione per la richiesta di account SPiD, dalla sottoscrizione di atti processuali, al loro deposito su diverse piattaforme. Una rilevanza che è divenuta ancor più pacifica in seguito alla pandemia da Covid-19 e l'introduzione normativa della possibilità di concludere molte operazioni tramite firma elettronica. In considerazione del crescente utilizzo delle firme elettroniche, il legislatore ha ovviamente introdotto delle forme di tutela in primis per la fede pubblica e l'affidabilità di tali strumenti. Tra esse, sicuramente rilevante è la fattispecie prevista dall'art. 640-quinquies c.p. introdotta dall'art. 5, comma 3, l. 18 marzo 2008, n. 48, con la quale è stata ratificata ed eseguita la Convenzione del Consiglio d'Europa sulla criminalità informatica (Convention on Cybercrime), sottoscritta a Budapest il 23 novembre 2001. L'introduzione della nuova norma si è resa necessaria per l'insufficienza della sola fattispecie di cui all'art. 640-ter c.p. con riferimento alle attività di certificazione. Il reato di frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.) La frode informatica del soggetto che presta certificazione di firma elettronica, pur essendo inserito nei reati contro il patrimonio e richiamando esplicitamente il delitto di cui all'art. 640-ter c.p., si distacca nettamente dallo schema di tale fattispecie. La norma punisce, infatti, il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato. Da una mera analisi letterale di quanto disposto dall'art. 640-quinquies emerge, in modo evidente, l'obiettiva assenza di qualsiasi riferimento a condotte fraudolente, o agli archetipi della truffa. Pur essendo presente una componente di tipo “patrimoniale”, essendo richiesto l'ingiusto profitto, o l'altrui danno, è di tutta evidenza che questa fattispecie ha ben poco a che spartire con il modello della frode processuale richiamato in rubrica. Una “divergenza” dallo schema della frode, che ripercuoti i suoi effetti anche sulla valutazione del bene giuridico tutelato. Si precisa, infatti, che pur se una parte minoritaria della dottrina ravvisa nel patrimonio l'interesse tutelato dalla norma incriminatrice in parola sia in forza della collocazione sistematica della norma, sia in considerazione del dolo specifico di profitto o di danno, la dottrina ampiamente maggioritaria ritiene che il primario bene oggetto di tutela sia costituito dalla fede pubblica. In tal senso, il delitto di cui all'art. 640-quinquies può essere inquadrato come un reato di pericolo finalizzato alla tutela della fede pubblica, con particolare riferimento alla sua dimensione informatica, per la quale era necessaria una specifica disciplina, come previsto dopo l'approvazione della Convenzione di Budapest. Si tratta di un reato proprio, che può essere commesso solo dal soggetto che presta i servizi di certificazione di firma elettronica (sul quale si tornerà nel paragrafo successivo), il cui fulcro è costituito dalla inosservanza degli obblighi posti dalla legge extrapenale, in violazione della funzione rivestita dal soggetto attivo. L'elemento soggettivo richiesto ai fini della integrazione della fattispecie in commento si sostanzia, per un verso, nel dolo generico, ossia nella volontà di rilasciare un certificato elettronico qualificato con la consapevolezza di violare uno degli obblighi prescritti dalla legge al soggetto che presta servizi di certificazione di firma elettronica per il rilascio di tale certificato. E, per altro verso, nel dolo specifico consistente nel fine alternativo del conseguimento di un ingiusto profitto per sé o per altri ovvero della produzione di un danno ad altri. Dolo di “profitto” o di “danno” che, in conclusione, rappresenta l'unico punto di contatto con le condotte tipicamente in danno del patrimonio. 2. Questioni e orientamenti giurisprudenziali
Domanda
In che caso può integrare la fattispecie di cui all'art. 640-quinquies c.p.?
Identificazione del soggetto che presta servizi di certificazione di firma elettronica e degli obblighi la cui violazione è sanzionata dalla norma. In assenza di pronunce specifiche sulla fattispecie di cui all'art. 640-quinquies c.p., l'unica questione di una certa rilevanza che può essere risolta attraverso l'ausilio della dottrina e dell'analisi della normativa specifica, è proprio quella dell'individuazione del soggetto che può prestare il servizio di certificazione e quella degli obblighi la cui violazione comporta l'integrazione della fattispecie. Come è stato sottolineato dalla dottrina, infatti, l'individuazione del soggetto attivo costituisce il fulcro dell'intera fattispecie che, sia con riferimento a tale soggetto, sia con riferimento agli obblighi che integrano il reato, segue lo schema della norma penale in bianco. In particolare, fermandosi alla rubrica, il reato sembrerebbe essere integrato, genericamente, dal “soggetto che presta i servizi di certificazione di firma elettronica”, ma analizzando la norma, si fa esplicito riferimento agli obblighi previsti dalla legge “per il rilascio di un certificato”. Questa dicotomia ha portato ad un acceso dibattito, in quanto se da un lato la norma si riferisce, in generale, al prestatore di servizi, la fattispecie è integrata solo dalla violazione di alcuni specifici obblighi. Per tale motivo, la dottrina ormai largamente maggioritaria, ritiene integrato il reato quando esso sia commesso non dal semplice “prestatore di servizi”, ma dal “certificatore” abilitato al rilascio di certificati “qualificati”, ossia i “certificatori qualificati”, di cui all'art. 27, d.lgs. n. 82/2005 (cd. Codice dell'amministrazione digitale), nonché i certificatori “accreditati” di cui all'art. 29 dello stesso decreto. Pertanto, il delitto di cui all'art. 640-quinquies non potrà essere integrato dalla condotta di soggetti non aventi tale funzione, ossia dai certificatori “comuni”. Allo stesso modo, deve essere operato un richiamo al d.lgs n. 82/2005 per l'individuazione delle norme la cui violazione può comportare l'integrazione del reato. In primis, la definizione di certificato qualificato può essere ricavata dall'art. 1, comma 1 lett. f, del summenzionato decreto: si tratta di un certificato elettronico conforme ai requisiti di cui all'allegato I della Direttiva del 13 dicembre 1999, n. 1999/93/CE, che devono essere rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva. Nel rilascio di tali certificati, il medesimo decreto, in particolare all'art. 32, prevede una serie molto dettagliata di obblighi la cui violazione da parte del soggetto certificatore, con riferimento a quelli stati previsti dalla legge in funzione del rilascio di un certificato qualificato, potrà essere considerata, in determinate circostanze, penalmente rilevante. Si precisa, infatti, che non tutte le violazioni di tali obblighi sono idonee ad integrare la fattispecie, ma solo quelle volte a procurare a sé o ad altri un ingiusto profitto ovvero nell'arrecare altrui danno. In assenza di tale finalità, la condotta potrà al più essere sanzionata a livello civile ai sensi dell'art. 30, comma, lett. d del d.lgs. 7 marzo 2005, n. 82. 3. Azioni processualiUlteriori attività difensive Per la fattispecie in esame si possono esperire le seguenti ulteriori attività difensive: Memoria difensiva al pubblico ministero (art. 367); Richiesta di presentazione spontanea per rilasciare dichiarazioni (art. 374); Richiesta di giudizio abbreviato (art. 438, comma 1). ProcedibilitàL'ipotesi di frode informatica di cui all'art. 640-quinquies c.p. è perseguibile d'ufficio. Improcedibilità delle impugnazioni (e prescrizione del reato) Per l'ipotesi di frode informatica del soggetto che presta servizi di certificazione di firma elettronica, il termine-base di prescrizione è pari ad anni sei (cfr. art. 157 c.p.) essendo la pena massima prevista pari a tre anni di reclusione. Tale termine, in presenza di eventuali atti interruttivi, può essere aumentato fino ad un massimo di sette anni e sei mesi (cfr. artt. 160 e 161 c.p.), al netto dei periodi di sospensione (cfr. artt. 159 e 161 c.p.). A partire dal 1° gennaio 2020 (cfr. art. 2, comma 3, l. n. 134/2021), per tutte le ipotesi previste dalla norma in parola, costituiscono causa di improcedibilità dell'azione penale ex art. 344-bis c.p.p., la mancata definizione: – del giudizio di appello entro il termine di due anni; – del giudizio di cassazione entro il termine di un anno. Tali termini possono essere ulteriormente estesi quando il giudizio d'impugnazione risulta particolarmente complesso in ragione del numero delle parti o del numero o della complessità delle questioni di fatto o di diritto da trattare. In ogni caso, la proroga potrà essere disposta per un periodo non superiore ad un anno nel giudizio di appello ed a sei mesi nel giudizio di cassazione, salva la sospensione prevista dall'art. 344-bis, comma 6, c.p.p. e quanto previsto dalla normativa transitoria (cfr. art. 2, commi 4 e 5, l. n. 134/2021). Misure precautelari e cautelari Arresto e fermo Non è consentito l'arresto, neanche quello facoltativo in flagranza di reato (art. 381, co. 2, c.p.p.), né il fermo di indiziato di delitto (art. 384 c.p.p.). Misure cautelari personali Per quanto attiene al delitto di cui all'art. 640-quinquies, in considerazione del limite edittale pari a tre anni di reclusione, non sono applicabili misure cautelari coercitive (artt. 281-286-bis c.p.p.), consentendo l'art. 280, comma 1, c.p.p. di applicare dette misure ai soli delitti per i quali la legge stabilisce la pena della reclusione superiore nel massimo a tre anni. Competenza, forme di citazione a giudizio e composizione del tribunale Competenza Competente per materia sarà il tribunale (cfr. art. 6 c.p.p.), che decide in composizione monocratica (cfr. artt. 33-bis e 33-ter c.p.p.). Udienza preliminare Per quanto attiene all'ipotesi di cui all'art. 640-quinquies c.p., essendo la pena massima prevista fino a tre anni di reclusione, si procederà mediante citazione diretta a giudizio (cfr. art. 550 c.p.p.). Composizione del tribunale Il processo si svolgerà dinanzi al tribunale in composizione monocratica. 4. ConclusioniPer quanto attiene all'ipotesi di cui all'art. 640-quinquies c.p., anche in questo caso la giurisprudenza è intevenuta per chiarire la qualifica soggettiva del soggetto che presta servizi di certificazione di firma elettronica. Anche in questo caso, infatti, analogamente alla definizione di operatore di sistema, è stato necessario circoscrivere l'alveo delle condotte punibili. In tal senso il reato potrà essere commesso non dal semplice “prestatore di servizi”, ma dal “certificatore” abilitato al rilascio di certificati “qualificati”, ossia i “certificatori qualificati”, di cui all'art. 27, d.lgs. n. 82/2005 (cd. Codice dell'amministrazione digitale), nonché i certificatori “accreditati” di cui all'art. 29 dello stesso decreto. E ciò sia in considerazione della littera legis che già di per sé fa esplicito riferimento agli obblighi previsti dalla legge “per il rilascio di un certificato”, sia per la ratio legis che è quella di punire con una fattispecie ad hoc la violazione di alcuni specifici obblighi. |
