Furto ed utilizzo indebito di identità digitale1. Bussole di inquadramentoLa branca dei reati informatici rappresenta, senza dubbio alcuno, una delle più rilevanti ed attuali del diritto penale “vivente”. E ciò è indiscutibile tanto con riferimento ai reati informatici veri e propri, ovvero quelli disciplinati come tali dal codice penali, sia con riferimento a quelli che vengono commessi, in tutto o in parte, attraverso strumenti informatici. In questa seconda categoria, possono rientrare, ad esempio, la diffamazione a mezzo internet e/o social, la sottrazione di corrispondenza informatica, violazioni e/o rivelazioni di dati sensibili perpetrate attraverso strumenti informatici, la duplicazione di programmi informatici, la diffusione di contenuti protetti da marchi registrati, la diffusione di dati sensibili, etc. In questi casi la struttura del reato e, ovviamente, della norma, è ovviamente la stessa in quanto cambia esclusivamente lo strumento, il mezzo attraverso il quale determinate condotte vengono consumate. Diverso è, invece, il discorso dei reati informatici “puri” in quanto il mezzo informatico è inscindibilmente parte della struttura e della natura stessa della singola figura criminosa. Ed è proprio con riferimento a tali figure che l'intervento del legislatore diventa sempre più rilevante. E ciò in quanto, ovviamente, con l'evolversi della tecnologia e di tutti quegli strumenti che, ormai, non percepiamo più come un mezzo, ma come una vera e propria nostra estensione che ci consente di compiere attività che, in passato, avrebbero richiesto molto più tempo e, soprattutto, la nostra presenza “fisica” in determinati luoghi (uffici postali, banche, archivi, etc), si sono proporzionalmente evoluti anche i rischi collegati all'uso di determinati strumenti. In questo ambito i nostri “dati sensibili” e quelli che vanno a comporre la nostra “identità digitale” possono essere oggetto di condotte dolose e possono essere sottratti e indebitamente utilizzati per le più disparate finalità. Pur non essendo stata introdotta una vera e propria fattispecie di “furto di identità digitale”, il legislatore e la giurisprudenza di legittimità hanno comunque fornito una tutela concreta alle vittime di tali condotte che, a seconda del loro contenuto e del danno cagionato, possono integrare il delitto di cui all'art. 494 c.p. (sostituzione di persona), oppure la circostanza aggravante prevista dal comma terzo dell'art. 640-ter c.p. (frode informatica). L'inquadramento di una determinata condotta all'interno di una delle fattispecie può essere, in alcuni casi, particolarmente complessa, soprattutto nel caso in cui vi sia la sostituzione e l'utilizzo/furto dell'identità digitale, come nel caso di chi accede nel sistema informatico di un servizio di home banking utilizzando le credenziali di altro soggetto inconsapevole, assumendone l'identità, così conseguendo un ingiusto profitto attraverso operazioni patrimoniali. Le fattispecie astrattamente ipotizzabili: l'insussistenza della frode informatica (art. 640-ter c.p.) La frode informatica è una delle fattispecie più importanti tra i reati informatici tra quelle introdotte nel nostro ordinamento dalla L. n. 547/1993. E ciò in quanto si tratta di una fattispecie decisamente aperta che ricomprende molte condotte astrattamente configurabili ed estremamente rilevanti i danni che possono essere arrecati attraverso le condotte punite dalla norma. La frode informatica punisce l'alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico o l'intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, che procuri a sé o ad altri un ingiusto profitto con altrui danno. Dall'analisi della norma, possiamo distinguere due diverse modalità che vengono punite dal legislatore che si pongono come paradigma per moltissime potenziali condotte criminose. La prima riguarda il caso di “alterazione” del funzionamento del sistema informatico o telematico. Ciò si traduce in una modifica del regolare svolgimento di un processo di elaborazione o di trasmissione dati. In poche parole, la prima condotta comporta una vera e propria modifica di un programma, di un database, di un sistema informatico; una alterazione che provoca i suoi effetti materiali sul sistema informatico o telematico. La seconda modalità è invece quello dell'“intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema” e pertanto ogni forma di interferenza diversa dall'alterazione del funzionamento del sistema che comporti una modifica, una sottrazione, un deterioramento dei dati e delle informazioni contenute nel sistema informatico. L'oggetto della condotta potrà riguardare, pertanto: – un programma, alterato modificandone funzioni e operazioni del sistema informatico: ad esempio, ipotizzando un accesso ed una modifica ad un software di una banca, la modifica degli aggiornamenti relativi ai prelievi, oppure, sempre in ambito bancario, una modifica finalizzata a modificare le operazioni di addebitamento in accreditamento; – le informazioni e i dati contenute in un determinato programma informatico che possono essere sottratte, modificate, alterate, etc. Elemento costituivo della fattispecie è che la condotta sia volta a procurare all'agente o a terzi un indebito vantaggio patrimoniale con altrui danno e, sotto il profilo soggettivo, la coscienza e la volontà di ottenere tale indebito vantaggio (dolo generico). Sotto un profilo strutturale, è stata, invece, sancita dalla Suprema Corte l'autonomia della predetta fattispecie da quella di truffa punita e prevista dall'art. 640 c.p. Una precisazione assolutamente rilevante, in quanto, oltre al riferimento esplicito alla fattispecie prevista dall'art. 640 c.p., è evidente che la novella tracciata ex art. 640-ter c.p. (c.d. Frode informatica) (cfr. l. n. 547 del 1993) ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perché l'attività fraudolenta dell'agente investe non la persona (soggetto passivo), di cui difetta l'induzione in errore, bensì il 'sistema informatico' di pertinenza della medesima, attraverso la manipolazione di detto sistema (Cass. VI, n. 8755/2009). Tanto premesso, la Suprema Corte ha sostenuto che, in considerazione delle diverse forme di tutela accordate dalle due norme e dei diversi valori tutelati dalla norma dell'art. 640-ter c.p., il legislatore ha inteso tracciare una figura di reato del tutto peculiare ed è indubbio che essa integri un'autonoma figura di reato, a differenza di quanto si è invece ritenuto in giurisprudenza a proposito della ipotesi di truffa aggravata per il conseguimento di erogazioni pubbliche, prevista dall'art. 640-bis c.p., ormai pacificamente ricondotta nel novero delle circostanze aggravanti rispetto al reato “base” di truffa ex art. 640 c.p. (Cass. II, 17748/2011). Una volta ricostruita, nei suoi elementi fondamentali, la fattispecie base di cui all'art. 640-ter c.p., venendo al caso di specie, è prevista una circostanza aggravante dal comma terzo – introdotta dall'art 9, comma 1, lett. a) del d.l. n. 93/2013 – che si configura quando le condotte del comma 1 sono realizzate con furto o indebito utilizzo dell'identità digitale di uno o più soggetti. Il furto di identità digitale può prendere forma attraverso molteplici condotte illecite. Possono essere utilizzate copie di documenti di identità per aprire account o per accedere a servizi di internet banking accedendo alle credenziali personali per poter svolgere le più disparate attività illecite, come ad esempio la clonazione di carte di credito, l'acquisizione fraudolenta di preziose informazioni fiscali, estratti conto, bollette o altri documenti con informazioni personali. Molto simile è la seconda condotta contestata, quella dell'uso indebita di identità digitale. In assenza di una definizione specifica di tale condotta, si può fare riferimento proprio alla rubrica dell'articolo dell'art. 9 summenzionato decreto che ha introdotto la fattispecie e che menziona la “sostituzione dell'identità digitale»”. Partendo dal concetto di sostituzione, si può ritenere che le due condotte sanzionate dall'art. 640-ter comma 3 siano produttive del medesimo evento, ma il presupposto è diverso: nel caso del furto, vengono sottratti elementi propri dell'identità digitale di una persona – documenti di identità, account protetti, Spid, etc.-, nel secondo caso, essendo sanzionato l'utilizzo “indebito”, si tratta di dati che sono legittimamente in possesso dell'agente e che li utilizza in modo non conforme agli accordi (come ad esempio, in ambito familiare, le password dell'internet banking possono essere custodite, d'intesa, da uno dei coniugi che può, successivamente, utilizzarle indebitamente per ottenere un vantaggio patrimoniale con altrui danno). In ogni caso, essendo un reato contro il patrimonio, è comunque necessario che le condotte abbiano cagionato (o siano volte a cagionare) un “ingiusto profitto con altrui danno”. Sostituzione di persona (art. 494 c.p.) La seconda fattispecie che tutela forme illecite di utilizzo dell'identità digitale altrui, è quella di sostituzione di persona, prevista dall'art. 494 c.p. La norma punisce con la reclusione fino ad un anno, salvo che il fatto non costituisca altro delitto contro la fede pubblica, chiunque, al fine di procurare a sé o ad altri un vantaggio, o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici. È di tutta evidenza come questa fattispecie non sia posta a tutela dei soli furti di identità digitale, ma, facendo riferimento a quanto rilevato in sede di inquadramento, si tratta di una fattispecie preesistente che, con l'evoluzione dei mezzi di comunicazione e tecnologici, è stata adattata anche a questo tipo di condotte (in contrapposizione ai reati informatici cd. “puri”). Si tratta di una fattispecie che facilmente può realizzarsi attraverso internet, ad esempio attribuendosi falsamente le generalità di un altro soggetto, inducendo in errore gli altri fruitori della rete, come può accadere in caso di un falso profilo social, magari sfruttando il nome, o il marchio altrui per ottenere vantaggi di varia natura, o, al contrario, per minare l'immagine e la reputazione altrui. La norma in esame, pur essendo posta a tutela della fede pubblica, ha una natura plurioffensiva, in quanto viene ad essere salvaguardata anche l'interesse del privato nella cui sfera giuridica l'atto sia destinato ad incidere concretamente. Come si evince in modo pacifico dalla mera analisi della norma, pur essendo necessaria una “induzione in errore” attraverso una condotta a forma vincolata di tipo commissiva, il vantaggio e il danno menzionato nella norma, non devono avere contenuto patrimoniale. In tal senso, infatti, la giurisprudenza di merito ha chiarito che ai fini dell'integrazione del reato, i concetti di vantaggio e danno presenti nell'art. 494 c.p. non si esauriscono in finalità di natura economica e nemmeno si richiede siano ingiusti, ben potendo sussistere il delitto se l'agente ha l'obiettivo di ottenere dalla vittima vantaggi di natura sessuale (Trib. Trieste, 24 maggio 2021). 2. Questioni e orientamenti giurisprudenziali
Domanda
In che rapporto si pongono le fattispecie di frode informatica, sostituzione di persona e accesso abusivo ad un sistema informatico?
Concorso tra sostituzione di persona e frode informatica Una volta ricostruite le fattispecie poste e a tutela dell'“identità digitale” della vittima da attacchi che possono afferire tanto alla sfera patrimoniale, quanto a quella personale, tornando al caso tracciato in sede di inquadramento, è opportuno esaminare come tali fattispecie si pongano in correlazione tra loro. Nel caso delineato nel paragrafo dedicato all'inquadramento e risolto dalla Suprema Corte (Cass. II, n. 23760/2020) è stato proposto ricorso per Cassazione avverso una sentenza di condanna per i delitti di cui all'art. 494 e 640-ter c.p. (all'epoca dei fatti, non era stata ancora introdotta la circostanza aggravante di cui al terzo comma), confermata in appello, relativa ad intervenuto, ovviamente senza autorizzazione, sul sistema informatico e telematico protetto da password di un servizio di home banking di una terza persona. L'imputato, in particolare, ha assunto falsamente l'identità del titolare di una carta banca posta e, utilizzando i codici personali identificativi del titolare, è riuscito ad ottenere un ingiusto profitto. In sede di ricorso, veniva eccepita l'impossibilità di contestare in concorso le ipotesi di sostituzione di persona e di frode informatica sostenendo che la condotta per la quale egli ha riportato condanna è assorbita nella fattispecie incriminatrice di cui all'art. 640-ter c.p. in forza di un rapporto di specialità fra le due norme che escluderebbe l'applicazione della sostituzione di persona. Sempre per il ricorrente, infatti, al di là di quei casi già trattati dalla giurisprudenza in cui attraverso l'utilizzo indebito di identità digitale si è tratto in inganno qualcuno – ad esempio creando un account di posta elettronica o inserendo in una chat line il recapito di altro soggetto – nel caso di specie, non vi è stato alcuna interazione con altre persone, ma solo col sistema informativo di una home banking. A conferma di ciò, la difesa ha osservato che in epoca successiva alla commissione del fatto in questione è stata introdotta la nuova fattispecie aggravata di cui al comma 3 dell'art. 640-ter c.p., che sanziona in modo più significativo la frode informatica. Tale scelta legislativa, pur non potendosi applicare al caso di specie perché la modifica è successiva ai fatti, dimostrerebbe che prima dell'approvazione di essa la frode informatica con indebito utilizzo dell'altrui identità digitale non avessero tutela specifica, né era evocabile l'art. 494 c.p., perché difettava l'induzione in errore del terzo, costitutivo della fattispecie. La Corte ha rigettato il ricorso, con una motivazione che è di grande importanza tanto per comprendere i confini della sostituzione di persona e, in particolare, della “induzione in inganno”, quanto dei rapporti con l'attuale fattispecie aggravata di frode informatica. Secondo la Cassazione, anche sulla base di consolidato orientamento di legittimità (ex multis Cass. III, n. 12479/2012, Cass. V, n. 25774/2014), la tesi difensiva, per quanto suggestiva non può essere accolta, in quanto agevolmente replicabile col carattere funzionale dell'indebito inserimento nel sistema operativo di una home banking a ingannare terzi, che sono persone fisiche. In particolare, essendo il delitto di cui all'art. 494 c.p. a tutela – in primis – della pubblica fede, si può ben ritenere che l'affidamento che i terzi ripongono in sistemi informatici garantiti da schermature di sicurezza è disatteso dalla illecita intrusione che avviene utilizzando l'identità di chi ha accesso a quel sistema. Per quanto attiene, invece, al rapporto con la fattispecie di forse informatica, in particolare alla luce dell'introduzione del comma terzo, secondo la Corte, con riferimento al caso di specie, si può ben sostenere che la nuova formulazione – che non a caso ha introdotto una aggravante a effetto speciale – supera la tesi della duplicazione della condotta illecita sotto sue concorrenti fattispecie: duplicazione che prima di tale modifica era pertanto del tutto giustificata e coerente col sistema, integrando un concorso formale di reati. Alla luce di tale iter logico giuridico, da un lato, la Corte ha pertanto definito i confini dell'induzione in errore, uscendo da un'accezione più restrittiva del termine, dall'altro ha evidenziato come, con l'introduzione dell'aggravante del comma 3, le due fattispecie non possano porsi tra loro in concorso, mentre prima dell'introduzione della predetta aggravante, era perfettamente coerente la prospettazione di un concorso formale di reati. Concorso con la fattispecie di accesso abusivo a un sistema informatico Al contrario, la giurisprudenza di legittimità ritiene integrato il concorso formale tra la fattispecie di frode informatica e quella di accesso abusivo a un sistema informatico ex art. 615-ter c.p. In particolare, secondo la Corte di Cassazione (Cass. V, n. 17360/2020), il delitto di accesso abusivo ad un sistema informatico possa concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il cosiddetto domicilio informatico sotto il profilo dello ius excludendi alios, anche in relazione alle modalità che regolano l'accesso dei soggetti eventualmente abilitati, mentre il secondo contempla e sanziona l'alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto. 3. Azioni processualiUlteriori attività difensive Per la fattispecie in esame si possono esperire le seguenti ulteriori attività difensive: Istanza di sequestro conservativo della parte civile (art. 316); Memoria difensiva al pubblico ministero (art. 367); Richiesta di presentazione spontanea per rilasciare dichiarazioni (art. 374); Richiesta di giudizio abbreviato (art. 438, comma 1). ProcedibilitàSia la frode informatica aggravata dall'ipotesi di cui al terzo comma dell'art. 640-ter c.p., sia la sostituzione di persona di cui all'art. 494 c.p. sono perseguibili d'ufficio. Improcedibilità delle impugnazioni (e prescrizione del reato) Per l'ipotesi di frode informatica aggravata e per quella di sostituzione di persone., il termine-base di prescrizione è pari ad anni sei (cfr. art. 157 c.p.) essendo la pena massima prevista, rispettivamente, pari a sei e ad un anno di reclusione. Tale termine, in presenza di eventuali atti interruttivi, può essere aumentato fino ad un massimo di sette anni e sei mesi (cfr. artt. 160 e 161 c.p.), al netto dei periodi di sospensione (cfr. artt. 159 e 161 c.p.). A partire dal 1° gennaio 2020 (cfr. art. 2, comma 3, l. n. 134/2021), per tutte le ipotesi previste dalla norma in parola, costituiscono causa di improcedibilità dell'azione penale ex art. 344-bis c.p.p., la mancata definizione: – del giudizio di appello entro il termine di due anni; – del giudizio di cassazione entro il termine di un anno. Tali termini possono essere ulteriormente estesi quando il giudizio d'impugnazione risulta particolarmente complesso in ragione del numero delle parti o del numero o della complessità delle questioni di fatto o di diritto da trattare. In ogni caso, la proroga potrà essere disposta per un periodo non superiore ad un anno nel giudizio di appello ed a sei mesi nel giudizio di cassazione, salva la sospensione prevista dall'art. 344-bis, comma 6, c.p.p. e quanto previsto dalla normativa transitoria (cfr. art. 2, commi 4 e 5, l. n. 134/2021). Misure precautelari e cautelari Arresto e fermo Con riguardo al delitto di cui all'art. 494 c.p. non è consentito né fermo, né arresto. Diversamente, per quanto attiene all'ipotesi di cui all'art. 640-ter comma 3 c.p.: – è consentito esclusivamente l'arresto facoltativo in flagranza di reato (art. 381, co. 2, c.p.p.); – non è mai consentito il fermo (art. 384 c.p.p.). Misure cautelari personali Per quanto attiene al delitto di cui all'art. 640-ter comma 3 c.p., in considerazione del limite edittale pari a sei anni di reclusione, sono applicabili misure cautelari coercitive (artt. 281-286-bis c.p.p.), consentendo l'art. 280, comma 1, c.p.p. di applicare dette misure ai soli delitti per i quali la legge stabilisce la pena della reclusione superiore nel massimo a tre anni; sarà altresì possibile applicare anche la custodia cautelare in carcere essendo previsto dall'art. 280, comma 2, c.p.p., l'applicazione di detta misura in caso di delitti per i quali la legge stabilisce la pena della reclusione non inferiore nel massimo a cinque anni. Per il delitto di cui all'art. 494 c.p., invece, in considerazione della pena massima prevista pari ad un anno di reclusione, non sarà possibile applicare nessuna misura cautelare. Competenza, forme di citazione a giudizio e composizione del tribunale Competenza Per entrambe le fattispecie è competente per materia il tribunale (cfr. art. 6 c.p.p.), che decide in composizione monocratica (cfr. artt. 33-bis e 33-ter c.p.p.). Udienza preliminare Per quanto attiene all'ipotesi di cui all'art. 640-ter comma 3 c.p. sarà celebrata l'udienza preliminare, mentre nel caso di cui all'art. 494 c.p., si procederà per citazione diretta a giudizio (art. 550 c.p.p.). Ovviamente, nel caso in cui i due delitti siano contestanti in concorso fra loro, alla luce della giurisprudenza pocanzi esaminata, sarà comunque celebrata l'udienza preliminare. Composizione del tribunale Il processo sia per la fattispecie di frode informatica, che per quella di sostituzione di persona, si svolgerà sempre dinanzi al tribunale in composizione monocratica. 4. ConclusioniCome è agevole desumere dall'analisi appena effettuate grazie al sapiente faro della giurisprudenza, in caso di utilizzo/furto dell'identità digitale non sempre è semplice ricondurre una determinata condotta nella fattispecie di riferimento e ancor meno è semplice è quando si profilano profili intertemporali. In quest'ultimo caso, inoltre, possono verificarsi anche ipotesi di concorso tra reati, come nel caso di chi accede nel sistema informatico di un servizio di home banking utilizzando le credenziali di altro soggetto inconsapevole, assumendone l'identità e conseguento un ingiusto profitto attraverso operazioni patrimoniali, avendo la Cassazione chiarito che prima dell'entrata in vigore dell'aggravante specificica introdotta dall'art. 640-ter c.p., il delitto in parola concorreva comunque con quello di sostituzione di persona di cui all'art. 494 c.p. |
