La nozione di “identità digitale” nel reato di frode informatica

28 Agosto 2024

Nella pronuncia in esame, la Suprema Corte si è occupata di definire la nozione di identità digitale inserita dal legislatore del 2013 nel reato di frode informatica.

Massima

Anche le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica, quale i servizi di home banking o le piattaforme di vendita online rientrano nella nozione di identità digitale, poiché anch'essi individuano in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata dal solo titolare o da soggetto da questi autorizzato.

Il caso

Il tribunale di Napoli condannava in primo grado l'imputato per il reato di riciclaggio (art. 648-bis c.p.) poiché colpevole di aver messo a disposizione di ignoti il proprio conto corrente ove era confluito denaro proveniente dai delitti di accesso abusivo ad un sistema informatico e frode informatica (artt. 612-ter c.p. e 640-ter c.p.). La Corte d'appello di Napoli, in parziale riforma della sentenza di primo grado, riqualificava il reato ai sensi dell'art. 640-ter c.p. Ricorre per cassazione l'imputato, deducendo violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza dell'aggravante di cui all'art. 640-ter, comma 3 c.p. (furto o indebito utilizzo di identità digitale). Secondo la difesa, le risultanze processuali non proverebbero la sussistenza del furto o dell'indebito utilizzo dell'identità digitale, poiché nel caso in esame ci si era serviti di una chiavetta elettronica in grado di comunicare il codice di accesso da utilizzare di volta in volta per effettuare gli accessi fraudolenti nel conto corrente della vittima.

La Suprema Corte, con la pronuncia in commento, ha ritenuto il ricorso infondato, sposando quel principio ormai consolidato secondo cui, in tema di frode informatica la nozione di “identità digitale” che integra l'aggravante in oggetto, non presuppone una procedura di validazione adottata dalla P.A (SPID, CIE, firma digitale) ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati (home banking e simili).

La questione

Occorre in primo luogo definire la nozione di identità digitale inserita dal legislatore del 2013 nel reato di frode informatica (art. 640-ter).

Cercheremo poi di rispondere ai seguenti quesiti.

Quali sono le caratteristiche del delitto di frode informatica?

Quali gli elementi distintivi rispetto ad altri “contigui”? Come ad es. le fattispecie di cui agli art. 640 c.p., 494 c.p., 493-ter c.p.

Quando si può considerare integrata l'aggravante dell'indebito utilizzo dell'identità digitale (art. 640-ter, comma 3, c.p.)?

In particolare, fatte salve le procedure di validazione adottate dalla Pubblica Amministrazione, è possibile far rientrare nella nozione di “identità digitale” anche l'utilizzo di credenziali di accesso a sistemi informatici gestiti da privati?

Le soluzioni giuridiche

Il delitto di frode informatica è stato introdotto nel codice penale con l'art. 10 l. n. 547/1993, recante modifiche al codice penale e di procedura in tema di criminalità informatica. Con questa novella sono stati tipizzati e disciplinati anche ulteriori cyber crime (reati commessi con l'utilizzo di tecnologie informatiche o telematiche): si tratta in particolare delle fattispecie di cui agli artt. 615-ter, 615-quater, 615-quinquies, 617-quater, 617-quinquies e sexies.

La frode informatica, come vedremo, a carattere plurioffensivo: due infatti sono gli interessi protetti dalla norma.

Da un lato la salvaguardia del patrimonio del soggetto passivo, dall'altro la sicurezza del sistema informatico nonché l'integrità dei dati in esso contenuti.

Si tratta di un reato comune, come del resto la truffa, che può tuttavia diventare reato proprio nell'ipotesi aggravata di cui al comma 2 n. 1), allorquando lo stesso sia commesso da soggetto che abusi della qualità di operatore del sistema.

La fattispecie in esame mutua (in realtà solo in parte) la propria struttura dal delitto di truffa di cui all'art. 640 c.p.

A ben vedere infatti nel delitto di cui all'art. 640-ter c.p. l'attività fraudolenta dell'agente investe non la persona (soggetto passivo), di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione dello stesso.

Come la truffa, la frode informatica è un reato istantaneo a forma vincolata che si configura tramite la realizzazione di due condotte alternative: l'alterazione di un sistema informatico o telematico, attuabile con differenti modalità, attraverso le quali il sistema viene modificato o manipolato oppure l'intervento senza diritto, con qualsiasi modalità attuativa, su dati, informazioni o programmi contenuti nel sistema informatico. Le due condotte appena descritte devono realizzarsi, ed ecco il tratto comune con la fattispecie generale di cui all'art. 640 c.p., in modo da realizzare (per sé o per altri) un ingiusto profitto con altrui danno. Il delitto si consuma pertanto solo a seguito della verificazione dell'evento dannoso.

Sotto il profilo soggettivo invece è richiesto il dolo generico per il quale, tuttavia, a differenza della truffa comune, è sufficiente la coscienza e volontà di alterare il sistema informatico non estendendosi anche all'ulteriore elemento dell'induzione in errore del terzo. Ciò proprio in virtu' della sostituzione della persona fisica quale soggetto passivo della condotta con il sistema informatico.

Il comma 2 dell'art. 640-ter c.p. prevede due aggravanti ad effetto speciale: la prima (n. 1) si configura quando il fatto viene commesso ai danni dello Stato, la seconda (n. 2) consiste nel fatto commesso con abuso della qualità di operatore del sistema laddove per operatore si intende chiunque svolga qualsiasi mansione che implichi un'attività di utilizzazione di un elaboratore.

Il comma 3, introdotto dall'art. 9 d.l. 14 agosto 2013 n. 93, conv. nella l. 15 ottobre 2013, n. 119, prevede poi un'ulteriore circostanza aggravante ad effetto speciale nel caso in cui il fatto sia commesso «con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti». 

Ebbene, come detto, la fattispecie in esame incrimina una condotta fraudolenta agisce su un sistema informatico.

A livello normativo, viene definito “sistema informatico”, secondo l'espressione ricorrente utilizzata nella l. 23 dicembre 1993, n. 547, che ha introdotto nel codice penale i cosiddetti “computer's crimes”, «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo attraverso l'utilizzazione anche parziale di tecnologie informatiche caratterizzate dalla registrazione o memorizzazione per mezzo di impulsi elettronici, su supporti di dati effettuata attraverso simboli (bit), in combinazioni diverse, e dall'elaborazione automatica di tali dati in modo da generare informazioni costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente».

Il legislatore tuttavia non ha invece espressamente stabilito cosa debba intendersi per “identità digitale” ai fini dell'integrazione dell'aggravante di cui al comma III dell'art. 640-ter c.p.

Tale nozione è stata infatti desunta, sia in dottrina che in giurisprudenza, da altre fonti normative, nelle quali si faceva appunto riferimento al concetto di identità digitale, sia pur con finalità che nulla avevano a che vedere con il diritto penale.

La Suprema Corte in particolare, ha fatto propria la definizione utilizzata dall'ufficio del Massimario nella relazione al d.l. n. 93/2013 convertito con modificazioni nella l. n. 119/2013, il quale, partendo dalla definizione elaborata ai fini del Codice dell'amministrazione digitale ha affermato che: «l'identità digitale è comunemente intesa come l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore».

Processo di identificazione a sua volta definito «nella validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso» (dall'art. 1 lett. u-ter  d.lgs. 7 marzo 2005 n. 82). 

Un anno più tardi, il Decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014 n. 285, anche conosciuto come Decreto SPID, ha definito all'art. 1, lett. o), l'identità digitale più semplicemente come «la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale».

Secondo quest'ultima definizione quindi, l'identità digitale sarebbe costituita dall'insieme di dati che abilitano il soggetto a compiere le proprie attività in rete, ossia le tecniche di autenticazione e identificazione dell'utente (ad es. le credenziali di accesso). Ne deriva, quindi, che il concetto di “identità digitale” comprenderebbe, da un lato, la proiezione dell'identità personale di un individuo sul web, dall'altro, l'insieme delle tecniche di identificazione del soggetto che gli consentono di agire nella realtà virtuale tramite strumenti informatici.

Alla luce di tale quadro normativo in dottrina si è affermato che l'identità sarebbe l'espressione di una “verità” attinente alla persona, e cioè il fatto, obiettivamente non controvertibile, che ogni soggetto è simile, ma non uguale agli altri; in quanto espressione di una “verità” soggettiva, l'identità costituirebbe il contenuto di un diritto personale; sulla base di questo ragionamento si è detto che per identità digitale dovrebbe intendersi il diritto del singolo a non vedere alterata o manipolata la proiezione virtuale della sua identità, attraverso il riconoscimento, in rete, delle proprie specifiche caratteristiche e connotazioni intellettuali, politiche, sociali e religiose (L'identità personale nell'era telematica: l'identità digitale” di Calogero Leanza, in Il diritto di famiglia e delle persone, 2023, p. 1807).

Ritiene chi scrive che tale enucleazione del concetto di identità digitale da pare della dottrina civilistica sia utile per poter meglio specificare il concetto di identità digitale nel diritto penale, ed in particolare il suo contenuto alla luce della previsione dell'aggravate di cui al comma 3 dell'art. 640-ter.

È indubbio infatti che, più che di tutela di un diritto della personalità, in quest'ultimo caso verrà in rilievo la tutela di quei “presidi” che consentono a ciascun individuo, da un lato, di operare in maniera sicura sul web e, dall'altro, di esercitare implicitamente quello ius excludendi alios attraverso cui preservare la propria identità digitale.

Osservazioni

Abbiamo detto come la tutela dell'identità informatica coinvolge due profili collegati ma distinti:

  1. la tutela della Privacy, che mira a tutelare l'identità digitale dell'utente, specie per i profili reputazionali e dell'immagine;
  2. la sicurezza informatica, che protegge l'identità dell'utente sotto il profilo di autenticazione/identificazione informatica.

Quello che rileva ai fini dell'odierna analisi, sono in particolare gli approdi giurisprudenziali inerenti al secondo profilo, ovverosia quello della sicurezza informatica che, se violato, in taluni casi può integrare non solo la fattispecie (aggravata) di cui all'art. 640-ter c.p., ma anche ulteriori ipotesi delittuose.

Si pensi, ad esempio, al resto di sostituzione di persona (494 c.p.) in cui il furto d'identità consiste nel sostituirsi illegittimamente ad un'altra persona con il fine di indurre i terzi in errore e quindi di ricavare un vantaggio personale non necessariamente economico o procurare un danno alla persona sostituita. Un esempio potrebbe essere l'hacker che utilizzando un account social non suo, chieda ai contatti di quest'ultimo di fornirgli dati personali. Questi ultimi, indotti in errore, comunicheranno i loro dati credendo di essere in contatto con una persona amica e non con un malintenzionato. Da qui, la realizzazione dell'ingiusto profitto per l'hacker con conseguente danno sia per il titolare dell'account sia per i suoi amici.

Nel reato di frode informatica, invece, il furto o indebito utilizzo di identità digitale dell'utente integra un'aggravante ad effetto speciale.

Altra fattispecie in cui può venire in rilievo il concetto di identità digitale è quella di cui all'art. 493-ter c.p. (indebito utilizzo e falsificazione di strumenti di pagamento diversi dai contanti). In giurisprudenza si è in realtà osservato come tale reato si distingua dalla frode informatica non richiedendo la “penetrazione” senza diritto nel sistema informatico (come nel caso appunto del semplice utilizzo del PIN di una carta di credito incautamente lasciato nel portafoglio sottratto al titolare) (Cass. pen., sez. II, 17 giugno 2019, n. 30480). In una analoga ipotesi la Suprema Corte ha infatti avuto modo di sottolineare come integri il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi (Cass. pen., sez. II, 9 maggio 2017, n. 26229, Rv. 270182 - 01).

Tornando alla fattispecie di cui all'art. 640-ter c.p. ed in particolare alla configurabilità dell'aggravante di cui al comma 3, come giustamente sottolineato dalla sentenza in commento, deve escludersi che il raggio d'azione di tale aggravante sia limitato alle procedure di validazione che godono del bollino blu della pubblica amministrazione, come lo Spid, il Cie o la firma digitale. La tutela più stringente deve, infatti, essere estesa anche alle credenziali che servono per “entrare” nei sistemi informatici gestiti dai privati come i servizi della home banking o le piattaforme di vendita on line. Restringere il raggio di azione dell'aggravante, come pretendeva la difesa dell'imputato nel caso in esame, vorrebbe dire negare l'esistenza delle diverse tipologie di identità digitale, caratterizzata da soglie differenziate di sicurezza tarate sulla natura delle attività da compiere nello spazio virtuale.

La pronuncia della Suprema Corte ha adottato, ad avviso di chi scrive, una interpretazione estensiva della nozione di identità digitale in piena coerenza con la scelta del legislatore di inserire questa locuzione in un delitto contro il patrimonio mediante frode (Capo II del Titolo XIII del codice penale).

Legislatore che, con la novella del 2013, ha inteso rafforzare sia la tutela della certezza dei traffici giuridici, sia la fiducia dell'utente rispetto alle transazioni online.

In assenza di una definizione “penalistica” del concetto di identità digitale, sarebbe stato sicuramente contrario allo spirito della riforma limitare la portata di tale concetto in forza del richiamo a norme introdotte per finalità completamente diverse (che prevedono procedure di validazione certificate dalla P.A.).

E ciò in particolare se si considera che nella frode informatica, pure aggravata, l'agente più che alla mera identità digitale della vittima, è interessato al conseguimento di un ingiusto profitto.

Né si ritiene infine, così ragionando, che si possa considerare in alcun modo violato il principio di tassatività, essendo l'interprete di fronte ad un elemento normativo della fattispecie (quello di identità digitale appunto) desumibile dal sistema giuridico nel suo complesso.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.