Il reato di frode informatica


Quando pensi ad una truffa molto probabilmente ti sovvengono alla mente le immagini di Paul Newman e Robert Redford che barano giocando al poker; oppure quelle dei furfanti che ingannano le persone anziane spacciandosi per parenti al fine di farsi elargire cospicue somme di danaro. In effetti, se tutto questo è vero, è altrettanto indubitabile che la società si è evoluta e, con essa, il modo di fare il crimine. L’avvento delle nuove tecnologie ha favorito il fiorire di una serie di tecniche prima sconosciute che consentono di ingannare la vittima e di rubarle non solo danaro, ma anche dati e informazioni utili. Insomma, un nuovo modo di frodare la gente. In particolare, la nascita di internet e la sua diffusione capillare hanno favorito il sorgere delle frodi informatiche, oggi più che mai in gran voga tra malfattori e delinquenti. Il reato di frode informatica può essere definito come un particolare tipo di truffa perpetrato attraverso strumenti informatici, ad esempio utilizzando un computer e sfruttando la rete internet. Si tratta di un inganno particolarmente subdolo, in quanto la vittima viene attaccata spesso a sua insaputa, venendo a conoscenza del fatto solamente molto tempo dopo. Altra caratteristica della frode informatica è che il truffatore agisce a distanza, in forma tendenzialmente anonima, almeno fino a che le autorità non riescano a risalire alla sua identità. Ciò premesso, se sei stato vittima di un inganno del genere oppure semplicemente ne vuoi sapere di più, con questo articolo spiegheremo in maniera diffusa cos’è il reato di frode informatica.

Frode informatica: cos’è?

La frode informatica è un particolare tipo di truffa che consiste nel fatto di chi, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, procura a sé o ad altri un ingiusto profitto con altrui danno. La pena è la reclusione da sei mesi a tre anni e il reato è procedibile a querela della persona offesa [1].

Il reato di frode informatica, quindi, punisce tutte quelle condotte che, modificando il regolare svolgimento di un processo di elaborazione o di trasmissione di dati, ovvero interferendo in qualsiasi modo nella trasmissione degli stessi, arrecano un danno al fine di ottenerne un profitto. Si pensi alla classica condotta degli hackers, i quali si “intrufolano” nei computer altrui per estrapolarne informazioni riservate (numero i carta di credito, password, credenziali, ecc.).

Frode informatica: come avviene?

Come abbiamo appena visto, la frode informatica presuppone che l’oggetto materiale della condotta sia rappresentato da un sistema informatico o telematico, ovvero da dati, informazioni o programmi. Secondo la giurisprudenza, il reato di frode informatica è posto a tutela sia della riservatezza e della regolarità dei sistemi informatici che del patrimonio altrui. Trattasi di reato a forma libera che prevede alternativamente una condotta consistente nell´alterazione del funzionamento del sistema informatico o telematico, ovvero in un intervento non autorizzato (che è possibile effettuare con qualsiasi modalità) sui dati, informazioni e programmi ivi contenuti [2].

Pur trattandosi di un reato comune, cioè di un illecito che può essere commesso da chiunque, per commettere una frode informatica è necessaria una competenza almeno minima nel settore tecnologico.  Innanzitutto, chiariamo che per sistema informatico o telematico si intende il sistema tanto nella sua componente materiale (cosiddetto hardware) quanto in quella immateriale (software). Da quest’ultimo punto di vista, il truffatore può agire in svariati modi, anche se tendenzialmente opera quasi sempre attraverso particolari programmi che gli consentono di “entrare” nella rete altrui: classico esempio sono i programmi virus che, introdotti nel sistema (di nascosto viaggio attraverso le linee telefoniche, oppure celandosi nei softwarenormalmente utilizzati), non solo danneggiano i dati e gli altri programmi, ma sono in grado di infettare anche gli altri, propagandosi proprio come un’influenza.

In pratica, quindi, la frode informatica può avvenire in una molteplicità di modi: attraverso l’immissione di virus che possano captare informazioni riservate; mediante l’alterazione del normale processo informatico di una macchina grazie all’utilizzo di schede false; per mezzo della manomissione, anche fisica (cioè riguardante l’hardware), del computer; ecc.

Frode informatica: elemento soggettivo

Il requisito soggettivo del reato di frode informatica è il dolo generico: ciò significa che l’autore dell’illecito deve essere consapevole del fatto che la sua condotta sta danneggiando altri per favorire sé. Il fine è quello di trarre un vantaggio dall’indebita intrusione o alterazione del sistema altrui: il vantaggio non deve necessariamente essere di natura economica, potendo la frode avere tranquillamente ad oggetto l’assunzione di dati riservati o l’appropriazione di un particolare programma.

Frode informatica: quando si consuma?

Il reato di frode informatica ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia perché, come vedremo nel prossimo paragrafo, l´attività fraudolenta dell´agente investe non la persona (soggetto passivo), di cui difetta l´induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Anche la frode informatica, pertanto, si consuma nel momento in cui l´agente consegue l´ingiusto profitto con correlativo danno patrimoniale altrui [3].

Frode informatica e truffa: qual è la differenza?

Abbiamo detto sin dall’inizio che la frode informatica non è altro che una truffa commessa attraverso i moderni sistemi tecnologici. In realtà, questa affermazione merita qualche approfondimento. Innanzitutto, la frode informatica non presuppone la condotta tipica della truffa, cioè gli artifici e raggiri che servono ad indurre in inganno la vittima. Ed infatti, molto spesso la frode informaticaassume più i connotati di un furto perpetrato con mezzi fraudolenti che quelli di una truffa. Quest’ultimo reato, come detto, presuppone che la vittima si impoverisca mediante un atto volontario di disposizione del proprio patrimonio: si pensi a colui che, credendo di acquistare un bene prezioso, spenda una fortuna per una patacca; oppure l’individuo che elargisca danaro ad una persona che si spaccia per un’altra (per un approfondimento completo sulle principali truffe, si rinvia alla lettura di questo articolo).

Nel reato di frode informatica, invece, non si può parlare di raggiro o di induzione in errore veri e propri, in quanto l’oggetto della condotta riguarda delle macchine (i computer, ad esempio), per i quali sarebbe errato parlare di raggiro. Nel reato di frode informatica c’è l’impiego fraudolento di un sistema informatico al fine di trarne un profitto; nella truffa, invece, l’autore del reato tenta di ingannare la vittima per farsi dare qualcosa (soldi, beni, ecc.). Con la frode informatica, quindi, la persona offesa non acconsente alla disposizione del proprio patrimonio, essendo vittima unilaterale dell’attacco informatico.

Anche secondo la giurisprudenza è così: la frode informatica si differenzia dalla truffa per la specificazione delle condotte fraudolente da tenere e per il fatto che l’attività fraudolenta investe non un determinato soggetto passivo, di cui difetta l’induzione in errore, bensì il sistema informatico attraverso la sua manipolazione [4].

Non è un caso, quindi, che il reato di frode informatica sia stato introdotto dal legislatore allo scopo di evitare forzature interpretative della tradizionale figura della truffa: quest’ultima, infatti, mal si presta a reprimere le frodi commesse mediante l’utilizzazione abusiva dei computer.

Frode informatica e accesso abusivo: qual è la differenza?

Apparentemente simile al reato di frode informatica è quello di accesso abusivo ad un sistema informatico o telematico, il quale punisce con la reclusione fino a tre anni chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo [5]. Classico esempio di accesso abusivo è quello di colui che riesce ad entrare nell’account personale di un altro individuo utilizzando le sue credenziali.

Secondo la giurisprudenza, trattasi di reati totalmente diversi, in quanto la frode informatica presuppone necessariamente la manipolazione del sistema, elemento costitutivo non necessario per l’accesso abusivo: la differenza fra le due ipotesi criminose si ricava, inoltre, dalla diversità dei beni giuridici tutelati, dall’elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso abusivo solo nei riguardi di sistemi protetti, caratteristica che non ricorre nel reato di frode informatica [6].

A proposito della duplicazione dei dati presenti in un altro computer, la giurisprudenza ha detto che il reato di accesso abusivo ad un sistema informatico o telematico si perfeziona sia quando l’autore, nel momento di introdursi nel sistema informatico, già abbia maturato la decisione di duplicare abusivamente i dati in esso contenuti, sia nel caso in cui, possedendo per ragioni di servizio una duplicazione di quei dati, decida di farne uso, pur conoscendo la contraria volontà del titolare del diritto. La duplicazione dei dati acquisiti in occasione dell’accesso abusivo a sistema informatico o telematico non integra il reato di frode informatica, in quanto quest’ultimo punisce solo gli interventi che consistono nell’adibire l’apparato a scopi diversi da quelli per cui era stato destinato o nel manipolarne arbitrariamente i contenuti. Al contrario, la duplicazione è da considerarsi condotta tipica del reato di accesso abusivo, potendo l’intrusione informatica sostanziarsi sia in una semplice lettura dei dati, che nella copiatura degli stessi [7].

Phishing: è frode informatica?

Da quanto abbiamo illustrato sinora si evince la difficoltà di inquadrare alcuni fenomeni delittuosi. Si pensi al ben noto phishing: si tratta di truffa, di frode informatica oppure di accesso abusivo? Anche la giurisprudenza non è concorde, dovendo ogni volta verificarsi in concreto il tipo di condotta fraudolenta. Ricordiamo che per phishing deve intendersi quella condotta consistente nell’invio di un grande numero di e-mail atte a simulare lo svolgimento di un’attività lecita o una comunicazione da parte di enti di fiducia, quali banche, società di credito, poste, ecc., allo scopo di ottenere da parte dell’utente l’inserimento dei propri dati personali e/o delle proprie credenziali.

In altre parole, il phishing si effettua inviando un’email con il logo contraffatto di un istituto di credito o di altra istituzione economica, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico. Solitamente nel messaggio, per rassicurare l’utente, è indicato un link che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è  stato preparato in modo da assomigliare a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei truffatori.

Che tipo di reato è il phishing? Dipende da come è attuato: se esso consiste solamente nell’invio di una email con la quale si richiedono le credenziali, allora verrà integrato il reato di truffa, in quanto sussistono gli artifici e i raggiri (il logo contraffatto dell’istituto di credito) idonei ad ingannare la vittima, nonché quello di sostituzione di persona e di accesso abusivo, nel momento in cui le passwordcapziosamente recuperate vengano utilizzate per effettuare l’accesso agli account personali [8]. È da escludersi la frode informatica ogni volta che non ci sia l’alterazione fraudolenta del sistema informatico: nel caso del phishing, infatti, la maggior parte delle volte il truffatore riesce nel suo intento perché è la vittima a comunicargli i dati utili, cioè le credenziali personali; se, al contrario, il reo riuscisse ad accedere a queste ultime violando il computer della vittima (ad esempio, accedendo attraverso un trojan, cioè un software maligno che si nasconde all’interno di un altro programma apparentemente utile e innocuo), allora sussisterebbe il reato di frode informatica.

Frode informatica: quando è aggravata?

Il codice penale prevede dei casi in cui la frode informatica è perseguibile d’ufficio ed è punita con sanzioni più severe. Si tratta delle seguenti ipotesi:

  • se la frode è commessa a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema (è operatore si sistema colui che colui che abbia un accesso privilegiato al sistema, grazie alla conoscenza delle sue caratteristiche di funzionamento, della password, ecc.), la pena è della reclusione da uno a cinque anni e della multa da 309 a 1.549 euro;
  • se la frode è commessa con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti, la pena è della reclusione da due a sei anni e della multa da 600 a tremila euro.

La frode informatica del certificatore di firma elettronica

La legge, dovendosi adeguare coi tempi, ha previsto una particolare ipotesi di frode informatica: quella commessa dal certificatore di firma elettronica. Il certificatore è un ente che, essendo in posizione di neutralità, garantisce che la firma elettronica sia attribuibile solo ed esclusivamente al suo titolare, cioè alla persona alla quale è stata rilasciata. La firma elettronica, invece, può essere definita come l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati, utilizzati come metodo di identificazione informatica [9].

Spiegato ciò, il reato di frode informatica di cui parliamo può essere commesso solamente dal soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato. La pena è la reclusione fino a tre anni e la multa da 51 a 1.032 euro [10].

Frode informatica del certificatore: caratteristiche

Innanzitutto, la frode informatica del certificatore può essere commessa solamente da chi rivesta tale qualifica: si tratta pertanto di un reato proprio, cioè di un illecito che non può essere commesso da chiunque.

La condotta consiste nella violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato: trattasi pertanto di un rinvio totale alla normativa che disciplina gli obblighi del certificatore. Tra i tanti ricordiamo: il dovere di provvedere con certezza all’identificazione della persona che fa richiesta della certificazione; il dovere di rilasciare e rendere pubblico il certificato elettronico; informare i richiedenti in modo chiaro sulla procedura di certificazione e sui requisiti tecnici per accedervi; garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo; assicurare la precisa determinazione della data e dell’ora del rilascio, della revoca e della sospensione dei certificati elettronici.

Orbene, la violazione degli obblighi imposti dalla legge al certificatore rileva penalmente se suddetta infrazione sia stata posta in essere per procurare a sé o ad altri un ingiusto profitto ovvero per arrecare danno ad altri. Dal punto di vista soggettivo, pertanto, occorre che vi sia il dolo specifico, cioè la precisa volontà di ottenere un determinato risultato (vantaggioso per sé o per altri, deleterio per la vittima) a seguito del venir meno agli obblighi di legge. Si pensi al certificatore che, su richiesta del titolare che ha smarrito la firma elettronica, non sospenda il certificato solamente per arrecargli un danno: in questo caso scatterebbe il reato di frode informatica del certificatore di firma elettronica. Se, al contrario, il disservizio dovesse essere meramente casuale, oppure frutto della disorganizzazione dell’ente certificatore, allora non si integrerebbe il reato di cui parliamo in quanto, come detto, occorre il dolo dell’autore.

note

[1] Art. 640-ter cod. pen.

[2] Cass., sent. n. 4576 del 24.11.2003.

[3] Cass., sent. n. 3065 del 04.10.1999.

[4] Cass., sent. n. 9191/2017.

[5] Art. 615-ter cod. pen.

[6] Cass., sent. n. 3067/19993.

[7] Trib. Torino, sent. del 04.12. 1997.

[8] Trib. Milano, sent. del 07.10.2011.

[9] D. lgs. n. 82/2005 (codice amministrazione digitale).

[10] Art. 640-quinquies cod. pen.

FONTE: LA LEGGE PER TUTTI

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...