Conferenza su Frode informatica, furto di identità digitale e Phishing

La frode informatica è disciplinata dall’art. 640ter c.p. e punisce fino a tre anni di reclusione:

  • Chiunque,
  • alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico
  • o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi
  • procura a sé o ad altri un ingiusto profitto
  • con altrui danno

La pena è aggravata fino a sei anni se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.

La frode informatica mediante il furto o indebito utilizzo dell’identità dunque (Art. 640ter c.p. III co.) è una forma aggravata della frode informatica ed è, a differenza di quest’ultimo, procedibile d’ufficio.

La frode informatica è un delitto contro il patrimonio ma, tuttavia, non è l’unico delitto informatico (v. reati informatici).

La frode informatica, invero, è un delitto introdotto nel codice penale italiano nel 1993; tuttavia solo nel 2013, (legge n.119 del 2013) è stato inserito il concetto di furto o indebito utilizzo dell’identità digitale.

Prima del 1993, nonostante nella pratica già accadesse spesso che venissero commessi frodi informatiche, l’unica fattispecie di reato applicabile in diritto era quella della truffa (art. 640 c.p.)

Essa, tuttavia, presentava il problema tecnico giuridico che, fra i suoi elementi essenziali, richiede l’induzione in errore della persona offesa.

Tuttavia, spesso nella frode informatica la persona offesa non viene indotta in errore perché il delitto viene commesso attraverso un’alterazione di un sistema informatico.

In ogni caso, la giurisprudenza di merito applicava comunque la truffa seguendo percorsi argomentativi articolati, praticamente “creavano” diritto, invece di “applicare” il diritto; ad esempio secondo alcune sentenze di merito l’impiegato di banca che prelevava minime somme da numerosissimi conti correnti dei clienti correntisti avrebbe indotto in errore i soggetti verificatori dei conti stessi e, dunque, commetteva il delitto di truffa.

La frode informatica (art 640ter c.p.) prevede due tipi di condotte alternative:

  • l’alterazione in qualsiasi modo dell funzionamento di un sistema informatico o telematico;
  • oppure l’intervento senza diritto in qualsiasi modalità su dati, informazioni, programmi, contenuti in un sistema informatico o telematico o ad esso pertinenti.

Con riferimento all’alterazione, la Cass pen (sez I, 15.04.2011 n.17748) ha chiarito che per alterazione si intende “un intervento modificativo o manipolativo del funzionamento del sistema che viene distratto dai suoi schemi predefiniti”.

Ed inoltre, sempre la Cassazione (pen sez II 24.02.2011 n.9891) ha specificato che “per alterazione deve intendersi:

  • ogni attività od omissione che,
  • attraverso la manipolazione dei dati informatici
  • incida sul regolare svolgimento del processo di elaborazione dei dati
  • in altri termini il sistema continua a funzionare
  • ma in modo alterato rispetto a quello programmato”.

l’intervento senza diritto, invece, consiste non in una alterazione ma piuttosto in un uso da darte di chi non è autorizzato.

La Cassazione, anche in questo caso, ha avuto modo di chiarire il concetto giuridico (pen sez I, 15.04.2011 n.17748), specificando che l’intervento senza diritto si ha quando:

  • attraverso una condotta a forma libera
  • si penetra abusivamente all’interno del sistema informatico
  • e si opera senza che il sistema stesso o una sua parte risulti in se alterato”

Il delitto richiede il Dolo generico, e consiste:

  • nella consapevolezza e volontà di alterare un sistema informatico
  • o di intervenire su di esso senza diritto,
  • ed inoltre è necessaria la consapevolezza e volontà di conseguire un profitto ingiusto con danno altrui.

Il legislatore, quando ha legiferato sull’aggravante del furto della identità digitale, ha chiaramente tenuto a mente la tristemente nota tecnica del “phishing”.

Esso consiste nel carpire, dal titolare, mediante inganno, le chiavi elettroniche o codici di accesso che consentono di accedere a servizi di home banking o servizi in materia di commercio elettronico per sottrarre poi somme al titolare.

Di solito, il phishing consiste nell’inviare delle email, che appaiono provenire da enti, come istituti di credito o le poste, o addirittura in alcuni casi le forze dell’ordine.

Sono email contenenti messaggi allarmanti che traggono in errore ed inducono a chi ha ricevuto l’email a collegarsi ad un sito web; questo sito web è uguale a quello dell’ente che appare aver inviato l’email ma in realtà è un sito falso dove l’utente inserisce le proprie credenziali, ad esempio, perché magari gli viene chiesto di cambiare la password dispositiva inserendo quella vecchia.

Dopodiché i malintenzionati utilizzano tali credenziali per sottrarre somme di danaro.

Seppur questo sia un fenomeno di cui si parla da molti anni, non è strano che molti utenti caschino ancor oggi in errore poiché gli autori di questi fatti inviano centinaia di migliaia di email phishing e, di conseguenza, dal punto di vista statistico, numerosi soggetti cadono nell’inganno.

L’aggravante richiede altresì che la condotta produca un danno di uno o più soggetti.

In questa accezione per il legislatore il danno può consistere in un pregiudizio sia patrimoniale, sia anche non patrimoniale, come ad esempio:

  • nell’offesa dell’onore e della reputazione,
  • nella lesione al diritto alla privacy,
  • nella lesione al diritto al nome o all’identità personali.

Vediamo un paio di casi ai quali si può applicare il delitto in parola:

1. Un caso molto noto è quello di phishing nei confronti di clienti di poste italiane e Banca Intesa.

In questo caso erano stati inviati numerosi messaggi email ai clienti di Poste e Banca Intesa i quali invitavano i clienti a collegarsi tramite il link presente nell’email stessa.

Il link non inviava al sito effettivo, bensì ad altro identico nelle sembianze, ove veniva chiesto di cambiare le credenziali di accesso e dispositive inserendo tuttavia quelle da cambiare.

In realtà l’operazione era simulata e permetteva poi ai truffatori di utilizzare le credenziali inserite dall’utente, che ovviamente non erano state modificate, per entrare nel sito reale e fare le operazioni volute.

Per questa fattispecie si è proceduto per vari reati, si è infatti ipotizzato:

  • l’associazione per delinquere,
  • il reato di falsificazione di comunicazioni telematiche,
  • il reato di truffa,
  • il reato di accesso abusivo a sistema informatico e telematico
  • il reato di utilizzo indebito di carte di credito e di mezzi di pagamento.

Ad avviso della dottrina, l’ipotesi giusta di reato era proprio quella del delitto in parola, e cioè della frode informatica con furto di identità digitale.

2. Altro caso che potrebbe costituire ambito di applicazione del delitto in parola è quello di un noto caso del 2011 (Cass Pen Sez.II 24.2.2011 n.9891).

In questo processo era stata contestata una frode informatica perché l’imputato, si era introdutto abusivamente nel sistema informatico delle Poste Italiane Spa contro la volonta tacita delle stesse, ed interveniva abusivamente sui dati informatici del conto corrente postale della persona offesa e trasferiva fraudolentemente sul proprio conto corrente mediante bonifico la somma di € 9.037,00.

In questa sentenza la Cassazione, innanzitutto individua la differenza tra truffa e frode informatica, dicendo che la seconda è diversa proprio perché l’attività fraudolenta non investe la persona offesa, e non induce in errore la persona, bensì investe solo il sistema informatico di quella persona attravero la manipolazione di detto sistema.

3. Un altro caso molto interessante è stato quello di una frode informatica commessa ai danni di clienti di CartaSI, BNL e VISA.

Anche qui è stata utilizzata la classica tecnica del Phishing; in particolare, gli autori del fatto, attraverso un apposito programma, avevano estrapolato i numeri di cellulare di privati da siti di commercio elettronico in cui mettevano il loro numero di cellulare per lo scambio di autoveicoli ed immobili.

Ai numeri di cellulare veniva inviato un messaggio SMS con un allarme esca, che segnalava un utilizzo abusivo della carta di credito.

Molti di questi utenti, allarmati, venivano indotti a chiamare il numero di telefono indicato nel messaggio stesso, al quale rispondeva una voce elettronica che chiedeva di inserire i dati della carta di credito e, naturalmente, subito dopo questi venivano utilizzati per sottrargli denaro.

4. Si consideri che, in ogni caso, alle truffe su Ebay anche oggi la la giurisprudenza continua ad applicare il delitto di truffa, non il delitto di frode informatica.

La condotta è quella di chi offre un bene su Ebay senza esserne in possesso, si fa pagare la somma e poi non consegna il bene.

Ebbene questo soggetto risponde di truffa convenzionale, e non di frode informatica, perché come ha chiarito la Giurisprudenza, in casi come questi, non c’è alcuna alterazione del sistema informatico, e si ha invece il classico inganno di una persona anche se questo inganno è fatto online.