Questo articolo è a cura del Dott. Francesco Marangolo, laureato in giurisprudenza Federico II, con tesi in procedura penale "la rinnovazione dell'istruttoria dibattimentale in appello". In Italia, l'interesse prevalente è diretto all'ambito penalistico, a Londra collabora con studi anglo italiani e si occupa dei rapporti dei clienti Italiani con la pubblica amministrazione Inglese

La rubrica

La norma in questione, introdotta con la L. 547/1993, recita:

“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno (2), è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro.

La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti(3).

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante”.

Il terzo comma è stato introdotto con la L. 119/13 (conversione del D.L. 933/13). La novella ha previsto come aggravante l’ipotesi di furto o indebito utilizzo dell’identità digitale, condotta già riconducibile all’autonoma fattispecie di “Sotituzione di persona” (494 c.p.).

Il bene giuridico ed il rapporto con il delitto di “truffa”

Una prima questione essenziale da affontare è quella del bene giuridico posto a tutela; evidentemente – di per sè nodale riprova ci era suggerita sin dalla collocazione all’interno del titolo sui “reati contro il patrimonio” – il bene giuridico che si vuole tutelare in prima battuta è quello patrimoniale. Tale considerazione scaturisce, bisogna precisare, finanche dalla manifesta costruzione della fattispecie sulla struttura del reato ex. art. 640 c.p. Seppur con alcune differenze formali (nel caso della “frode informatica” non si parla di “artifizi o raggiri”, bensì di semplice “alterazione”, con un’attenzione più all’oggetto che subisce l’azione rispetto al soggetto – ipotesi più vicina alla tradizionale fattispecie di “truffa”, differenza rimarcata anche dall’assenza dell’elemento di ”induzione in errore”), lo stesso art. 640 ter c.p. rinvia per ben due volte al secondo comma dell’art. 640 c.p. – in tema di ipotesi aggravate – sia per le ipotesi di pena maggiorata, sia per distinguere dal caso di perseguibilità a mezzo querela o ex officio.

Invero, il bene giuridico del patrimonio non configurerebbe l’unico elemento posto a tutela dalla normativa in questione; se nella fattispecie di “truffa” ex. art. 640 c.p., difatti, il patrimonio possiede forza catalizzatrice, nel caso della “frode informatica”, la condotta spesso, oltre a configurare anche altre ipotesi delittuose – si pensi al possibile concorso con “l’introduzione abusiva a sistema informatico” ex art. 615 ter c.p. – mostra di voler tutelare – se non in via principale quantomeno in via accessoria – altri beni giuridici (pur largamente protetti da altre norme, anche non penali), tra cui rientra a pieno titolo il diritto alla riservatezza, o della certezza e speditezza del traffico giuridico sui sistemi informatici.

Ipotesi aggravate

Come anticipato, l’art. 640 ter c.p. rinvia alle circostanze previste dall’art. 640 c.p., comma 2 n. 1); in tal modo, oltre ad alleggerire la struttra della norma, tende anche a evidenziare il legame tra la “frode” ed il più ampio genus della “truffa”. Il rinvio presuppone che i limiti edittali – dai 6 mesi ai 3 anni, dell’ipotesi base – siano da 1 anno a 5 anni, per il caso di frode informatica commessa “… a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare”. Stesso aumento di pena si ha per il caso di “abuso della qualità di operatore del sistema” – ipotesi, quest’ultima che si rinviene come aggravante in altre disposizioni che puniscono i c.d. “cyber crimes”: artt. 615 ter, comma 2, n. 1; 615 quater, comma 2; 617 quater, comma 4, n. 2; 617 quinquies, comma 2; 617 sexies; 635 bis, comma 2. Questa applicazione diffusa dell’aggravante in oggetto è doppiamente giustificata dall’evidente violazione del legame fiduciario intercorso tra l’operatore del sistema ed il titolare, nonché dal fatto che il perpetrare tale illecito sia stato possibile, o agevolato, dalla posizione di vantaggio ricoperta.

Altra ipotesi – introdotta dalla L. 15.10.2013 n.119 – si ha quando il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. Per quanto concerne le due ipotesi – distinte (poiché si parla sia di furto quanto di indebito utilizzo) –  le stesse devono essere ricondotte, probabilmente, ai due casi di “identity theft” (acquisizione di informazioni personali al fine di commettere reati sotto falsa identità) ed “identity fraud” (utilizzo dei dati per commettere frode o altri illeciti). La definizione di “furto d’identità” ci viene data dal d.lgs 141/10 (in attuazione della direttiva 48/08 CE in tema di tutela dei consumatori e TU bancario), all’art. 30 bis: quella situazione di “impersonificazione parziale o totale mediante l’indebito utilizzo di dati relativi all’identità e/o al reddito di un altro soggetto.

Il Pishing

Il termine in questione prende il nome dalla congiunzione delle parole fishing (pescare) e phreaking (hacking telefonico). La condotta tipica si configura in quel far leva sugli aspetti sociali di internet (mediante la tecnica fraudolenta del social engineering) al fine di carpire informazioni e dati, poi utilizzati – nella maggior parte dei casi – per effettuare operazioni di online banking o simili. Sussiste, quindi, quasi sempre uno stretto legame tra le suddetta tecnica ed i servizi finanziari; l’evoluzione del fenomeno ha portato alla creazione di strumenti sempre più raffinati e difficili da contrastare – criticità rinvenuta specialmente nella complessa attività di prevenzione e previsione sull’imminente tentativo di pishing.

Il disegno tipico è quello di una serie di comunicazioni via e-mail a diversi utenti, spesso il contenuto del messaggio tende ad influenzare la condotta del soggetto mostrando il richiamo ad una pagina internet – effettivamente costruita ad hoc dal pisher, e posta come primo risultato da un virus autoinstallato sul terminale della parte offesa – di enti pubblici, società note, istituzioni di vario genere. Il messaggio, il più delle volte, contiene l’invito a collegarsi al sito in questione – fornendo il link – e di procedere all’eventuale autenticazione; in tal modo, quindi, verranno automaticamente rubate le credenziali d’accesso. Si tratta di un fenomeno – quì descritto in linee generali – di difficile collocazione soprattutto per la continua evoluzione; in tal senso, gli strumenti di contrasto sono spesso insufficienti perché devono essere costruiti sulla base di quello che è lo strumento utilizzato per ledere il bene giuridico, con la conseguenza che il soggetto agente sarà sempre in vantaggio rispetto all’intervento di politica criminale. Per questo motivo il fenomeno in questione viene ricondotto, gran parte delle volte, a fattispecie differenti, per evitare una circoscritta ed asfittica collocazione normativa che ne potrebbe limitare la punibilità: in tal senso, la frode fiscale (ma anche l’accesso abusivo, o la truffa – semplice o aggravata che sia), può senz’altro configurare – spesso nelle ipotesi aggravate – il punto fermo per una adeguata sussunzione.

Pericoli di concorso tra norme

Si è potuto notare come, tema ricorrente, sia quello di una possibile sovrapposizione normativa; in tal senso, il pericolo di una erronea contestazione da parte del P.M. rischia di concretizzarsi il più delle volte. Focalizzandosi sulla possibile incertezza in tema di “Accesso abusivo ad un sistema informatico” – condotta che risulta prodromica a quella della frode informatica, il più delle volte – è piuttosto evidente che, qualificare la frode informatica come reato complesso non solo risulta legittimo, bensì opportuno. Non è improbabile – in un tentativo di destrutturare la fattispecie, astratta o concreta che sia – individuare l’accesso abusivo al sistema (con la tecnica del “pishing”, ad  esempio), seguita dalla “sostituzione di persona” (art. 494 c.p.) o dalla truffa – considerando anche che l’eventuale furto d’identità è previsto come ipotesi aggravata (si potrebbe azzardare anche autonoma fattispecie). Ma una delle criticità evidenti di questa fattispecie è proprio la capacità di atteggiarsi in modo atipico: talvolta come reato a natura complessa, altre volte come fattispecie semplice – si pensi al furto delle credenziali d’accesso avvenuto fisicamente (non mediante “pishing” o tecnica alternativa), e conseguente impiego delle stesse per operazioni di online banking; l’ipotesi in questione è senz’altro quella aggravata della “frode informatica”(comma 3), ma non si può parlare di vero e proprio reato complesso.

E si tenga presente, del resto, che le due fattispecie – “accesso abusivo ex art. 615 ter c.p. e “frode informatica” ex art. 640 ter – per ciò che proviene da giurisprudenza costante, possono assolutamente coesistere (per quanto sia altrettanto plausibile una prima condotta non autonomamente contestabile perché servente la prima); ciò è evidente se si tiene conto che per la frode informatica è necessaria quantomeno la “manipolazione” del sistema, non richiesta per l’accesso abusivo; mentre la frode informatica può configurarsi anche in relazione ad un sistema informatico non protetto da un programma ad hoc, presupposto necessario – quello del superamento della protezione – affinché si configuri l’accesso abusivo.

Questa innata fluidità del reato in questione – caratterizzato da un amorfismo tipico delle fattispecie in materia informatica – è la causa principale delle esitazioni sul tema. Ed è sufficiente guardare alle differenti situazioni concrete ricondotte al 640 ter c.p. da parte della giurisprudenza di legittimità: il dipendente dell’Agenzia dell’Entrate che manomette i dati del contribuente per effettuare sgravi non dovuti, utilizzando la password in dotazione (Cass. n. 13475/2013); l’utilizzo di una scheda che alteri il funzionamento delle c.d. “slot machine” (Cass. n. 27135/2010). In questo senso la giurisprudenza sta tentando – per quanto possibile, data la complessità del fenomeno e la velocità d’evoluzione dei mezzi utilizzati – di porre dei confini definiti alla condotta riconducibile al reato oggetto di analisi – si pensi, ad esempio, alle diverse pronunce che evidenziano la totale autonomia e possibile concorrenza della fattispecie di “accesso abusivo” con la “frode informatica”, pur non escludendo la sola contestazione del reato ex art. 640 ter.

Dott. Francesco Marangolo