1. Introduzione
L’esponenziale diffusione del fenomeno
phishing ha messo in risalto i problemi di adeguamento del diritto penale positivo rispetto agli abusi dei “profili identitari” nel
cyberspace, che nell’odierna “epoca di Internet”
[2] diviene l´ ambiente ideale per la realizzazione di molteplici forme di
cyber crime.[3]In Europa è assente una definizione legale e/o criminologica comune di “
Identity theft”, “Identity abuse” e “
Identity-related fraud”.
[4] Inoltre, tali termini sono utilizzati talvolta come sinonimi oppure sono ricondotti alla categoria generale “
Identity crime”
[5].
In questa sede è sufficiente evidenziare che per Identity-related fraud si può intendere l’ uso dell’identità acquisita senza il consenso del legittimo titolare, per commettere reati o per ottenere beni o servizi con l’inganno.
Tutti i rapporti e le ricerche condotte da organismi nazionali ed internazionali sul c.d. “furto di identità” hanno incluso i
phishing attacks fra le principali tecniche utilizzabili per realizzare una “frode identitaria”
[6].
Il phsihing, quindi, è una metodologia di comportamento sociale indirizzata a carpire informazioni personali, abitudini e stili di vita ed un metodo per realizzare un Identity-related fraud.
Non vi è dubbio che il fulcro della sua dimensione offensiva debba essere individuato nel c.d. Identity theft, ossia nel “furto di dati” personali e latu sensu riservati dell’utente, finalizzato al successivo uso non autorizzato (Identity abuse).
La decisione che si commenta, sul c.d. caso “Poste italiane e Banca Intesa”, costituisce una delle prime e più importanti sentenze della giurisprudenza italiana riguardanti i “
phishing attacks”
[7].
La pronuncia del G.I.P. di Milano, infatti, ha affrontato le questioni di fatto e di diritto, ma dopo una preliminare e sintetica “indagine” sul fenomeno, unitariamente inteso, evidenziandone il carattere intrinsecamente “sovranazionale”, dovuto principalmente al suo manifestarsi in rete attraverso la raccolta illecita di dati personali dell´utente, il loro utilizzo “abusivo” e la realizzazione di un evento “materiale” quale conseguenza causale dei fatti criminosi realizzati on line.
Il caso concreto è riconducibile alla modalità “standard” di manifestazione del fenomeno, che comporta l´ invio di e-mail, apparentemente provenienti da enti o istituzioni reali, contenenti messaggi, immagini e informazioni formulati per influenzare la psicologia dell´utente e per indurlo a connettersi ad una pagina web non autentica, ma molto simile a quelle di Poste italiane e Banca Intesa, volta a “pescare” i dati riservati del fruitore del servizio on line.
La “strumentazione tecnica” a disposizione degli imputati era comprensiva, inoltre, di e-mail – “collettori” per l’acquisizione delle credenziali di autenticazione per l´ accesso abusivo ad aree informatiche riservate, al fine di trasferire illegittimamente i fondi dai conti correnti postali e/o dalle carte di credito delle persone offese.
L’organizzazione criminale, infatti, non solo ha abusato tali user names e passwords per ottenere indebiti profitti, ma ha anche reclutato altri soggetti a cui ha attribuito il compito di acquistare carte pre-pagate delle istituzioni coinvolte, successivamente utilizzate sia per la realizzazione degli illeciti, che per aprire conti correnti per il medesimo scopo e, infine, per far circolare i profitti dei reati posti in essere.
In sostanza, le somme di denaro presenti sui conti correnti delle vittime o sulle loro carte pre-pagate venivano fatti confluire verso i conti correnti appositamente attivati o le altre carte pre-pagate acquisite dall’associazione criminale (rispettivamente, sistema “da conto corrente a postepay” e “da postepay a postepay”).
2. Il caso Poste italiane e Banca Intesa: i reati contestati
In sintesi, il caso oggetto di giudizio riguarda il fatto di più soggetti che, associati tra di loro, hanno dato vita ad un’associazione criminale volta alla realizzazione di truffe finalizzate all’uso indebito di carte di credito di correntisti di Poste Italiane e Banca Intesa mediante accessi abusivi ai sistemi informatici di home banking
Come anticipato, gli imputati hanno anzitutto ottenuto da tali istituti l’attivazione di carte di credito e di pagamento (anche a favore di altri soggetti, compartecipi consapevoli, nonché intestate a persone fittizie) su cui erano destinati a confluire i fondi illeciti.
In secondo luogo, al fine di procurarsi le credenziali di autenticazione dei correntisti, hanno formato falsamente il contenuto di un’ e-mail, simulandone la provenienza da parte di istituti bancari reali, che è stata successivamente inviata tramite tecniche di spam ad un elevato numero di utenti.
Il messaggio di posta elettronica è stato formulato in modo tale da indurre l’utente a visitare una web page simile a quella di Poste Italiane, a cui veniva reindirizzato nel momento in cui tentava di accedere al relativo link (con url http://www.poste.it) dei servizi on line di Poste.it. Inoltre, sono state usate e-mail appositamente aperte in “funzione di collettori” di credenziali di autenticazione.
In terzo luogo, ottenuti i nomi utenti e le passwords, gli imputati hanno avuto accesso, in modo abusivo, agli spazi informatici riservati dei correntisti ed hanno effettuato operazioni di ricarica delle citate carte, attraverso l’uso indebito delle credenziali dei clienti dei servizi on line.
Alcuni degli accessi abusivi a sistemi informatici o telematici tramite Internet sono avvenuti, inoltre, al solo fine di verificare la consistenza delle carte dei singoli utenti per poi procedere al trasferimento di fondi.
Infine, gli imputati hanno effettuato operazioni di ricarica attraverso l’uso indebito di carte di credito o di pagamento, identificate con il numero ed il nome del titolare abusivamente acquisiti.
Pertanto, oltre all’associazione a delinquere di cui all’art. 416 c.p., i reati contestati (realizzati in concorso fra diversi soggetti e con più condotte esecutive di un medesimo disegno criminoso) sono stati: art. 617 sexies c.p. (falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), art. 640 c.p (truffa), art. 615 ter c.p. (accesso abusivo ad un sistema informatico o telematico), art. 12 L. 5 luglio 1991, n. 197 (utilizzo indebito di carte di credito e di pagamento).
Sono state considerate applicabili anche le aggravanti previste dai nn. 2 e 7 dell’art. 61 c.p., ossia rispettivamente: aver commesso il reato per eseguirne od occultarne un altro o per conseguire o assicurare a sé o ad altri il prodotto, profitto o prezzo, ovvero l’impunità; aver cagionato un danno patrimoniale di rilevante gravità nei delitti contro il patrimonio o che offendono il patrimonio o nei delitti determinati da fini di lucro (nel caso di specie a danno sia del correntista che degli istituti bancari).
Infine, il delitto di associazione per delinquere nonché i reati previsti dagli artt. 615 ter c.p. e 12 L. 5 luglio 1991, n. 197 sono stati ricondotti alla definizione di “reato transnazionale”, essendo la relativa preparazione e pianificazione avvenuta (“per una parte sostanziale”) in Romania. L’art. 3, co. 1, lett. b, L. 16 marzo 2006, n. 146 (di ratifica ed esecuzione della convenzione e dei protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall’assemblea generale il 15 novembre 2000 ed il 31 maggio 2001), infatti, definisce “reato transnazionale” quello punito con la pena della reclusione non inferiore nel massimo a quattro anni, qualora sia coinvolto un gruppo criminale organizzato, nonché sia commesso in uno Stato, mentre una parte sostanziale della sua preparazione, pianificazione, direzione o controllo sia avvenuta in un altro Stato.
3. La decisione del G.I.P. di Milano
“La presente indagine […] costituisce forse il primo tentativo di affrontare in modo organico sul piano investigativo ed anche contestando reati associativi il fenomeno delle organizzazioni criminali dedite sistematicamente all’attività di phishing”. Questa constatazione del G.I.P. di Milano che ha provveduto sulla richiesta di adozione delle misure cautelari con l’ordinanza del 29 giugno 2007, è stata efficacemente richiamata nella parte iniziale della motivazione della sentenza, che ha riproposto la trattazione sulla definizione del fenomeno ed il metodo di attacco.
Il giudice di merito, dopo aver ripercorso dettagliatamente le fasi delle indagini preliminari ed averne riportato gli esiti, ha dedicato attenzione alla verifica degli elementi strutturali della fattispecie prevista dall’art. 416 c.p., concludendo sulla sussistenza della “formazione e permanenza di un vincolo associativo continuativo tra tre o più persone allo scopo di commettere una serie indeterminata di delitti, con la predisposizione comune dei mezzi occorrenti per la realizzazione del programma e con la permanente consapevolezza di ciascun associato di far parte del sodalizio criminoso”.
Tale esito positivo riguarda anche l’aggravante contestata e connessa alla categoria del “reato transnazionale”. In particolare, l’art. 4 della L. 16 marzo 2006, n. 146 prevede che “per i reati puniti con la pena della reclusione non inferiore nel massimo a quattro anni nella commissione dei quali abbia dato il suo contributo un gruppo criminale organizzato impegnato in attività criminali in più di uno Stato la pena è aumentata da un terzo alla metà”. Nel caso di specie, l’associazione per delinquere rientra, a parere del giudice, tra i reati cui la convenzione si riferisce e l’aggravante di cui all’art. 4 si applica tenendo presenti i parametri del medesimo art. 3.
Con riferimento ai reati fine, la difesa degli imputati aveva sostenuto la configurazione del solo reato (assorbente di tutte le altre ipotesi contestate) previsto dall’art. 640
ter c.p. Il giudice, invece, ha ritenuto, riportando le tesi dottrinali
in subiecta materia[8], che l’elemento oggettivo richiesto da tale ultima fattispecie richiede la necessaria realizzazione di una delle condotte tipiche (alterazione del funzionamento di un sistema informatico o intervento senza diritto su dati, informazioni o programmi ivi contenuti), di fatto non sussistenti.
In verità, il comportamento criminoso del phisher riproduce lo schema dell’induzione in errore del soggetto passivo, che rappresenta il modus operandi tipico della fattispecie prevista dall’art. 640 c.p.
In tal senso il giudicante ha ritenuto evidenti gli artifici e raggiri posti in essere da chi utilizza un’e-mail dove vengono riprodotti colori, marchi ed altre caratteristiche, compresi i segni distintivi, di enti reali.
Inoltre, ha considerato realizzati gli altri elementi costitutivi della fattispecie, compresi il danno e l’ingiusto profitto, oltre che la disposizione patrimoniale.
Il danno, in particolare, è risultato evidente e di rilevante gravità, sia per l’ente, che si è visto clonare i propri siti e loghi, che per gli stessi correntisti. Pertanto, a parere del giudice, si sono configurate, senza ombra di dubbio, le aggravanti contestate.
Con riferimento agli elementi costitutivi del delitto di accesso abusivo ad un sistema informatico o telematico, in specie ai sistemi dei titolari delle carte di credito e di pagamento e di
home banking per effettuare operazioni di ricarica sulle medesime carte acquistate dall’organizzazione criminale, il giudice di merito ha concluso affermando la sussistenza del reato, dopo aver ripercorso l’evoluzione dell’interpretazione giurisprudenziale relativa alle condotte tipiche di “introduzione” e di “mantenimento”, al bene giuridico protetto dalla norma ed all’ammissibilità del concorso con il reato di truffa
[9]. In specie, ha sottolineato la natura di “misura di sicurezza” dei nomi utenti e delle
passwords di accesso al sistema informatico.
Il giudice ha specificato, inoltre, che si tratta di accesso abusivo al sistema di home banking del correntista piuttosto che di un’introduzione senza diritto nel sistema informatico della banca, “non violabile, nella sua interezza, con la semplice disponibilità delle credenziali di alcuni utenti.”
Quanto alla verifica della sussistenza dei requisiti previsti dall’ art. 12 L. 5 luglio 1991, n. 197 (utilizzo indebito di carte di credito o di pagamento), il sistema “da postepay a postepay” permetteva il trasferimento di fondi, appunto, dalla carta del correntista a quella del phisher.
Per il giudice non vi è alcun dubbio che, come già sostenuto dal Tribunale del riesame di Milano, tali carte “siano documenti abilitanti al prelievo di denaro contante o all’acquisto di beni o servizi”.
Inoltre, ha ritenuto integrato tale reato, e non quello previsto dall’art. 640
ter c.p., in quanto la condotta dell’agente, nel caso concreto, è risultata diretta a “ricaricare” le citate carte attraverso l’uso indebito delle credenziali delle carte del legittimo titolare, fraudolentemente sottratte a chi le deteneva legittimamente
[10].
Sul piano, invece, del rapporto con la fattispecie di truffa comune, la diversità dell’elemento oggettivo e del bene giuridico protetto ha portato il giudicante a sostenere che si possa configurare il concorso formale di reati. Sul piano oggettivo, infatti, l’art. 12 , diversamente da quanto prevede l’art. 640 c.p., sanziona la condotta di uso indebito della carta di credito o di pagamento indipendentemente dal conseguimento di un profitto e dal verificarsi di un danno. Inoltre, tale condotta prescinde dal necessario uso di artifici o raggiri che inducano taluno in errore.
Riguardo al bene protetto, mentre la truffa è un delitto contro il patrimonio, il reato previsto dall’art. 12 L. 5 luglio 1991, n. 197 tutela l’interesse pubblico a che il sistema di pagamento venga utilizzato in modo corretto, a garanzia della fede pubblica e a prevenzione del riciclaggio
[11].
Il giudice, inoltre, ha affrontato la problematica questione del concorso apparente di norme e del concorso di reati fra le disposizioni in questione, riportando gli orientamenti della giurisprudenza.
Da un lato, infatti, gli artifici o raggiri costituiscono uno dei modi tramite cui si manifesta l’uso indebito della carte di credito e di pagamento, mentre, dall’altro lato, si ammette il concorso di reati quando la condotta del reo non si limiti a tale uso, ma sia connotata da un
quid pluris di attività ingannatoria. In sostanza, oltre a quanto sopra esposto, la truffa non è assorbita nel più grave reato di uso di indebito di carte di credito o di pagamento, mancando l’identità del bene alla cui tutela sono finalizzate le disposizioni in esame
[12].
E’ stato ritenuto configurabile anche l’art. 617 sexies c.p., con riferimento alla condotta di formazione del contenuto non veritiero di un’e-mail, apparentemente proveniente da enti o istituzioni reali.
Anche in questo caso, il giudice ha utilizzato il criterio della “diversità del bene giuridico” per affermare il possibile concorso con il reato previsto dall’art. 640 c.p., ritenendo che l’art. 617 sexies c.p. tuteli “l’integrità della comunicazione telematica nelle forme di autenticità della comunicazione, della conformità del contenuto originale e della esistenza stessa della comunicazione”.
4. Identity-related fraud, phishing e le prospettive applicative del diritto penale: riflessioni critiche
La lunga ed analitica motivazione del G.I.P., talvolta coinvolgente questioni non strettamente attinenti al caso concreto oggetto di decisione, è in larga parte condivisibile.
Nulla quaestio sulla possibile configurazione degli elementi costitutivi dell’illecito previsto dall’ art. 416 c.p., nonchè dei reati di cui agli artt. 615
ter, 640 c.p. e art. 12 L. 5 luglio 1991, n. 197. Specie riguardo a questi ultimi, la dottrina
[13], a cui si rinvia, ha già approfondito i relativi limiti applicativi ed il rapporto fra le diverse norme.
Permangono comunque alcuni dubbi interpretativi.
Anzitutto, il giudice ha ritenuto che l’accesso abusivo è avvenuto al sistema informatico del correntista, e non della banca. In verità la questione sulla titolarità di tale spazio informatico doveva essere maggiormente approfondita. La concezione tradizionale di “domiclio informatico”, infatti, non coglie totalmente il contenuto dell’interesse all’eslcusione di terzi dalla sfera di disponibilità del titolare dello spazio informatico. Quest’ultimo deve essere inteso non tanto quale area riservata ed esclusiva in senso fisico, ma alla stregua di una zona virtuale delimitata rispetto alla quale il “detentore qualificato” può esercitare uno
jus excludendi alios condizionato, sino a non poterlo esercitare nei confronti di quei soggetti che, in base al suo legittimo consenso, egli abilita ad accedere.
[14]E’ necessario, pertanto, valutare caso per caso, sulla base degli accordi contrattuali, se esista o meno uno spazio virtuale esclusivo concesso all’utente per svolgere determinate operazioni. Il giudice ha, da un lato, correttamente ritenuto che vi sia l’esclusività in tal senso, dall’altro ha fatto riferimento all’ assenza di un’aggressione al sistema informatico dell’istituzione “nella sua interezza”, non violabile “con la semplice disponibilità delle credenziali di alcuni utenti”.
Quest’ultima affermazione non è, in realtà, condivisibile. Infatti, non rileva il fatto che l’accesso non sia avvenuto al sistema della banca nella sua interzza (e con le credenziali di autenticazione dei clienti), ma che sussista la violazione dello jus excludendi alios che, nel caso di specie, può essere di “titolarità” del cliente, al quale l’ente ha fornito le credenziali per l’uso di uno spazio informatico esclusivo.
Come già è stato evidenziato, un sistema informatico può ospitare al proprio interno una pluralità di spazi riservati, di pertinenza esclusiva di diversi soggetti, anche se individuati o collocati fisicamente in un’unica struttura tecnico informatica o in un “macro sistema” il cui “titolare” concede una limitata autonomia operativa e gestionale a terzi soggetti. Piuttosto, appare maggiormente corretto ritenere che il titolare del sistema informatico sia l’istituto di credito, che ha concesso ad altri soggetti, i clienti, degli spazi eslcusivi per la gestione di alcune risorse, fra cui il conto corrente (limitatamente ad alcune operazioni).
In secondo luogo, il giudice di merito ha ritenuto configurabile il reato di cui all’ art. 617 sexies c.p., in quanto gli agenti, al fine di “procurarsi il vantaggio di acquisire indebitamente le credenziali dei correntisti” avevano formato falsamente, “simulandone la provenienza da Poste Italiane”, il contenuto di un’e-mail, contenente il link di reindirizzamento ad un sito non autentico, ma del tutto simile a quello istituzionale.
In verità, è necessaria una precisazione. Ammesso che l´e-mail inviata avesse in sè contenuti falsi, essa può ritenersi una comunicazione relativa ad un sistema informatico o telematico o intercorrente fra più sistemi nella fase dinamica di trasmissione, fra l´effettuato invio del messaggio e prima del suo ricevimento da parte del destinatario
[15].
Contrariamente a quanto sostenuto dal giudice di merito, la formulazione letterale e la sintassi dell’art. 617 sexies c.p., portano a sostenere, a parere di chi scrive, l´ipotesi che il legislatore abbia ritenuto in re ipsa la normalità dell´intercettazione del flusso di dati, altrimenti non ne avrebbe specificato l´occasionalità.
In secondo luogo, l’e-mail, una volta ricevuta dal destinatario, assume il carattere di “corrispondenza telematica”, come definita dall’art. 616 cpv. c.p., In altri termini, si tratta di una “comunicazione fra persone”, realizzata attraverso la rete telematica ed il servizio di posta elettronica, e non (o non più, in questa seconda fase c.d. statica”) di una comunicazione “relativa ad un sistema informatico o telematico o intercorrente tra più sistemi”, che è oggetto della disposizione di cui all’art. 617 sexies c.p.
Altrimenti, non avrebbe senso la distinzione effettuata dal legislatore italiano fra “corrispondenza informatica e telematica”, che include l’ e-mail ricevuta o a disposizione dal destinatario, ovvero a disposizione del mittente, e “comunicazione relativa ad un sistema informatico o intercorrente fra sistemi”, diversa dalla “corrispondenza elettronica”.
Pertanto, data per corretta questa interpretazione sistematica, la formazione falsa del contenuto delle comunicazioni “fra sistemi” non può che riguardare la “fase di trasmissione” ed avere ad oggetto una comunicazione (ad esempio fra banca e cliente), anche “occasionalmente intercettata”, che viene “falsamente formata” od “alterata”.
E’ quindi prospettabile l’applicazione dell’art. 617
sexies, ma nei termini sopra descritti. La fattispecie penale non si configura
sic et simpliciter con l’invio di un’e-mail che riproduce loghi e simboli di enti o istituzioni reali. La struttura del reato, simile a quella delle falsità in scrittura privata (ex art. 485 c.p.), porta a ritenere che debba trattarsi della “falsificazione” del contenuto di una comunicazione comunque “intercettata”
[16].
Escludendo, inoltre, le ipotesi di impedimento o interruzione, le quali chiaramente non si verificano, essendo l’host, il form on line o il sito utilizzato dal phisher appositamente creati per ricevere le comunicazioni in oggetto, nel caso in cui l’ agente intercetti fraudolentemente il flusso dei dati intercorrenti fra il sistema informatico della vittima e quello dell’ istituto o dell’ ente reale, potrebbe trovare applicazione, eventualmente, anche l’ art. 617 - quater c.p. (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche).
Un’ ultima considerazione merita il reato di sostituzione di persona, previsto dall’art. 494 c.p. La dottrina ha già avuto modo di evidenziarne i limiti applicativi, fondati sul fatto che l’ invio di un’ e-mail che imiti il
look and feel di altri siti non significa che il riferimento sia indicativo di un mittente “persona fisica”: per cui non è possibile, in ipotesi negativa, parlare propriamente di “sostituzione” materiale della propria all’altrui “persona”.
[17] Diversamente, troverebbe applicazione la norma in esame se il mittente fosse, appunto, una persona fisica, e sostiuisse illegittimamente la propria all’altrui persona oppure si attribuisse qualità personali non veritiere. La giurisprudenza si è pronunciata in un caso simile sostenendo che è configurabile il reato di cui all’art. 494 c.p. nel caso, analogo al fatto oggetto di giudizio, di apertura di
accounts di posta elettronica intestati ad altri soggetti, da cui derivi l’induzione in errore dei “corrispondenti che si trovano ad interloquire con una persona diversa da quella che ad essi viene fatta credere”
[18].
5. Conclusioni anche alla luce della legge di ratifica della Convenzione Cybercrime
L’assenza di una specifica disposizione che sanzioni penalmente il fenomeno “
phishing” ha portato la dottrina, prima ancora della giurisprudenza, ad analizzare le prospettive applicative del diritto vigente
[19]. Sul piano metodologico, i “
phishing attacks”, sono stati scomposti in più fasi per comprendere quali di queste abbiano autonoma rilevanza penale.
La sentenza in commento ha il pregio di aver approfondito alcune importanti questioni interpretative, anche con riferimento alla categoria dei “reati transnazionali”, introdotta dalla L. 16 marzo 2006, n. 146.
In particolare, il giudice ha ampiamente motivato l’applicazione del delitto di associazione per delinquere e dei reati previsti dagli artt. 640 c.p. e 12 L. 5 luglio 1991, n. 197, nonché i rapporti fra queste ultime due disposizioni.
Il giudicante, però, ha sostenuto la sussistenza del reato di accesso abusivo a sistemi informatici o telematici individuando il bene giuridico nel c.d. “domicilio informatico”, senza prendere in considrazione l’evoluzione ermeneutica della dottrina in subiecta materia.
In secondo luogo, il giudice non ha compiutamente motivato l’applicazione del reato previsto dall’art. 617 sexies c.p. che, proprio per l’assenza di importanti precedenti giurisprudenziali, necessitava di maggiore attenzione.
Prima di concludere è necessario dedicare una breve rilfessione alle alle novità introdotte dalla L. 16 marzo 2006, n. 146, nonché alle prospettive applicative del diritto penale al fenomeno “
phishing” dopo la legge di ratifica della Convenzione
Cybercrime, L. 18 marzo 2008, n. 48. Quest’ultima normativa è intervenuta in quattro “macro settori”: a) codice penale; b) codice di procedura penale; c) D.lgs 30 giugno 2003, n. 196 (c.d. “Codice
Privacy”); d) D.lgs 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”)
[20].
Sul piano del diritto penale sostanziale la legge ha operato su tre livelli, introducendo nuove fattispecie incriminatrici, abrogando alcune norme e modificandone altre.
Alla luce delle nuove disposizioni, nel caso in cui gli
Identity-related fraud attacks e i
phishing attacks cagionino la distruzione, il danneggiamento, o rendano, in tutto o in parte, inservibili sistemi informatici o telematici altrui, o ne ostacolino gravemente il funzionamento ovvero procurino la cancellazione, la distruzione, l’alterazione, la soppressione o il deterioramento dei dati e delle informazioni in essi contenuti, in base alla natura di pubblica utilità o meno dei dati (o se siano o meno utilizzati dallo Stato o da altri enti pubblici) o dei sistemi in questione, sono astrattamente configurabili gli illeciti previsti dagli artt. 635
bis (Danneggiamento di informazioni, dati e programmi informatici), 635
ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), 635
quater (Danneggiamento di sistemi informatici o telematici) e 635
quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità)
[21].
Inoltre, la legge di ratifica ha introdotto l’art. 495 bis c.p. (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri). La fattispecie è astrattamente applicabile ai casi di Identity-related fraud e phishing attacks, in particolare quando l’agente fornisca, in qualsiasi modo, false generalità al certificatore al fine di poter utilizzare abusivamente i profili indentitari altrui anche tramite documenti informatici “sottofirmati” con firma elettronica.
Potrebbe certamente trovare applicazione anche il delitto di “frode informatica del soggetto che presta servizi di certificazione di firma elettronica”, previsto dal nuovo art. 640
quinquies c.p., che sanziona il “soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sè o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato”.
[22]Infine, l’art. 4 della L. 18 marzo 2008, n. 48 ha sostituito l’originaria disposizione prevista dall’art. 615 quinquies c.p. con quella di “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematici”, che sanziona chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici. Tale norma trova certamente applicazione nel caso in cui, per ipotesi, vengano messi a disposizione dei kit per i phishing attacks, se sussiste l’elemento soggetto finalistico del reato.
Un’ulteriore novità introdotta con la legge di ratifica della Convenzione Cybercrime riguarda le modifiche al D.lgs 8 giugno 2001 n. 231, in cui è stato introdotto l’art. 24 bis che estende la responsabilità dell’ente anche per tutti i reati informatici (salvo che per quelli di cui agli artt. 495 bis e 640 ter, ipotesi base, c.p.). Tale disposizione assume rilevanza per gli illeciti commessi da insiders (dipendenti infedeli), anche se in concorso con outsiders (soggetti esterni), purchè ne derivi un vantaggio, anche minimo o solo indiretto, all’ente.
Con riferimento alla L. 16 marzo 2006, n. 146 (di ratifica ed esecuzione della convenzione e dei protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall’assemblea generale il 15 novembre 2000 ed il 31 maggio 2001), essaha introdotto nell’ordinamento giuridico italiano una nuova categoria, il “reato transnazionale”
[23]. Nel caso
de quo il giudice ha rienuto (correttamente) che la partecipazione ad un gruppo criminale organizzato volto alla commissione di reati in Italia, ma aventi una parte sostanziale della relativa preparazione e pianificazione in Romania, integri il carattere “transnazionale” dell’illecito, ai sensi e per gli effetti dell’art. 3, co. 1, lett. b) L. 16 marzo 2006, n. 146.
La sentenza del giudice di Milano, quindi, giungendo in un periodo di riforme sostanziali del diritto penale dell’informatica, oltre che successivamente alla ratifica della citata convenzione delle Nazioni Unite contro il crimine organizzato transnazionale, acquista ancor più rilevanza, considerando che ha ritenuto applicabili al fenomeno “phishing”, da un lato, le nuove norme previste dalla L. 16 marzo 2006, n. 146, dall’altro lato, disposizioni penali anteriori alla legge di ratifica della Convenzione Cybercrime.
Dott. Roberto Flor - Università degli Studi di Verona, Facoltà di Giurisprudenza - www.robertoflor.blogspot.com – novembre 2008
Creative Commons: Attribuzione-Non commerciale-Non opere derivate.
E' possibile l'utilizzo dei contenuti per fini leciti, nel rispetto della licenza, a condizione che venga sempre citata la fonte ed il suo autore.
[1]L’articolo costituisce il commento a G.I.P., Tribunale di Milano, sentenza 10 dicembre 2007, n. 888, pubblicato con il testo della decisione in
Rivista di Giurisprudenza ed Economia d’Azienda, 4/2008. Il comitato di redazione della Rivista, diretta dal Prof. Lorenzo Picotti, ha fornito l’autorizzazione per la pubblicazione in Penale.it. Questa versione, novembre 2008, © 2008 di Roberto Flor, è pubblicata con Creative Commons Attribuzione-Non commerciale-Non opere derivate, in quanto conforme alla cessione non in esclusiva dei diritti di pubblicazione al sito Penale.it.
Si riporta. Altresì, la massima elaborata dall’Autore
Sono penalmente responsabili coloro che, associandosi ed avvalendosi delle tecniche di phishing, realizzano furti di identità e truffe aggravate attraverso accessi abusivi a sistemi di home banking ai fini di utilizzare indebitamente carte di credito e di pagamento.
Il reato è da considerarsi transnazionale ai sensi dell’art. 3, co. 1, lett. b, l. 16 marzo 2006, n. 146, dal momento che trattasi di illeciti commessi in Italia ma aventi una parte sostanziale di preparazione e pianificazione in Romania.
(Nel caso di specie il giudice ha affermato la sussistenza di un vincolo associativo continuativo allo scopo di commettere una serie di delitti, ritenendo applicabili, al fenomeno “phishing”, gli artt. 615 ter c.p., 617 sexies c.p., 640 c.p. ed art. 12 L. 5 luglio 1991, n. 197)
Tribunale di Milano – Giudice per le indagini preliminari – Sentenza 10 dicembre 2007 – n. 888* – Giudice Gamacchio
[2] Sulla locuzione “epoca di Internet” cfr.
Picotti, (a cura di), Il diritto penale dell´ informatica nell´ epoca di Internet, Padova, 2004, Presentazione, VII e VIII, nonché Id., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, 21 e ss., ivi.
[3] Per la definizione di “
phishing”, con riferimento alle indagini empiriche e socio-criminologiche e sulle prospettive applicative del diritto penale positivo si consenta di rinviare a
Flor, Phishing, identity theft e identity abuse: le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 e ss.; sulla distinzione fra Identity-related fraud, Identity theft e Identity abuse, cfr. Id., Identity-related fraud, Identity theft e phishing. Nuove forme di criminalità on line, in Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Quaderni per la riforma del codice penale, Padova (in corso di pubblicazione); Id, Identity-related fraud e diritto penale: un approcio comparatistico nella prospettiva di riforma dei Trattati Europei, in Picotti (ed.), Il diritto penale nella prospettiva di riforma dei trattati europei - Diritto penale europeo e protezione degli interessi finanziari dell’ Unione Europea (in corso di pubblicazione, 2008). Si veda, inoltre, Cajani, Profili penali del phishing, in Cass. pen., 2007, 2294 e ss. e, da ultimo, Cajani, Costabile, Mazzaraco, Phishing e furto di identità digitale. Indagini informatiche e sicurezza bancaria, Milano, 2008. Ulteriori riferimenti bibliografici e giurisprudenziali sono rinvenibili nella nota redazionale di Flor, Realizzare furti di identita’ tramite tecniche di phishing integra piu’ fattispecie penali e costituisce un “reato transnazionale”, in Riv. Giur. Ec. Az., 4/2008
[4] Sulla distinzione terminologica si veda
Flor, Identity-related fraud, Identity theft e phishing, cit. L’assenza di una definizione comune è stata evidenziata anche nell’ambito dei lavori del Convegno di Courmayeur, organizzato da ISPAC (International Scientific and Professional Advisory Council of the United Nations Crime Prevention and Criminal Justice Programme), 30 novembre – 2 dicembre 2007, sul tema “La sfida crescente della frode identitaria: come combaterre frode, abuso e falsificazione criminale dell’identità“. Si veda, inoltre, Gercke, Internet – related identity theft, Discussion paper preparato per il Consiglio d’Europa (Economic Crime Division, Project on Cybercrime, 22 novembre 2007, in http://www.coe.int/cybercrime) nonchè il Report on identity theft/fraud, del FPEG subgroup on identity theft, in http://ec.europa.eu/internal_market/fpeg/index_en.htm.
[5] Cfr quanto riportato nel
Report on identity theft/fraud, del FPEG
subgroup on identity theft, in http://ec.europa.eu/internal_market/fpeg/index_en.htm.
[6] Vedi
Flor, Identity-related fraud, Identity theft e phishing, cit., a cui si rinvia anche con riferimento all’analisi empirica del fenomeno ed ai diversi rapporti di organismi nazionali ed internazionali, fra cui quelli di: CIFAS (UK's Fraud Prevention Service), Identity Theft Resource Center (U.S.A.), International cooperation in the prevention, investigation, prosecution and punishment of fraud, the criminal misuse and falsification of identity and related crimes: results of the study on fraud and the criminal misuse and falsification of identity (O.N.U.), Identity fraud and theft – the logistic of organised crime (Consiglio d’Europa).
[7]Fra le precedenti decisioni in Italia vedi: Tribunale di Milano, 28 luglio 2006, in
Diritto dell’Internet, 2007, 62 e ss. (con commento di
Vaciago, Giordano); Tribunale di Milano, Ufficio G.I.P., 15 ottobre 2007 (con breve nota di Borsari, Utilizzo indebito di carte di credito, sostituzione di persona e truffa), in http://www.penale.it; si veda anche Perri, Lo smishing e il vishing, ovvero quando l'unico limite all'utilizzo criminale delle nuove tecnologie è la fantasia, in Diritto dell’Internet, 2008, 265 e ss., nonchè, con riferimento alla possibile rilevanza penale dell’identità virtuale, Catullo, Rilevanza penale dell'identita' virtuale, ivi, 250 e ss.
[8] Cfr. FLOR R.,
Phishing, identity theft e
identity abuse, cit., 899 e ss.; CAJANI F.,
Profili penali del phishing, cit., 2294 e ss
[9] In particolare, il bene giuridico “riservatezza informatica” è costituito dall’ interesse esclusivo, giuridicamente riconosciuto, di godere, disporre e controllare le informazioni, i procedimenti, i sistemi e “spazi” informatizzati e le relative utilità. La chiave di volta della fattispecie penale è lo
jus excludendi alios, inteso quale diritto del titolare di escludere l’accesso indesiderato di terzi dallo spazio informatico di sua pertinenza. Tale dirittosi manifesta con la predisposizione di mezzi di protezione, di carattere logico e/o fisico, che rappresentano un elemento obiettivo, la cui violazione prova (o indizia sino a prova contraria) la mancanza di un consenso esplicito o implicito del titolare dello
spatium operandi. Riguardo al delitto previsto dall’art. 615 ter c.p. si consenta di rinviare a
Flor., Phishing, identity theft e identity abuse, cit., 899 e ss.; Id., Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen. proc., 2008, 106 e ss. (anche per gli opportuni riferimenti bibliografici), nonché Id., Sull’accesso abusivo ad un sistema informatico o telematico: il concetto di domicilio informatico e lo jus excludendi alios, in Dir. Pen. Proc., 2005, 85 e ss. Per la “sistematica dei reati informatici” vedi Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell´ informatica nell´ epoca di Internet, cit.
[10]Si veda, anche per gli opportuni rinvii,
Flor, Phishing, identity theft e identity abuse, cit., 935 e ss.
[11]Così il G.I.P. di Milano nella sentenza in commento, che riprende un orientamento della giurisprudenza di legittimità. In merito vedi
Flor, op. ult. cit., nonché Cass., sez. I pen., 8 marzo 2006, in Cass. pen., 2007, 720 e ss.
[12] Cfr., sulla non sussistenza del concorso formale e sull’assorbimento
ex art. 15 c.p., Cass., sez. V pen., 12 dicembre 2005, n. 6695, in CED Cass. Pen., 233889.
Contra, seppur con riferimento alla condotta connotata da un
quid pluris rispetto alla mera utilizzazione indebita, vedi Cass., sez. I pen., 23 aprile 2004, n. 26300, in CED 2004, RV228128. In dottrina vedi già
Pittaro, Indebito utilizzo di una carta di credito e truffa: concorso di reati o concorso apparente?, in Dir. Pen. Proc., 1995, 945 e ss., nonchè Flor, Phishing, identity theft e identity abuse, cit., 939 e ss., nota 85. L’orientamento del Tribunale di Milano, quindi, è contrario a quello sostenuto dalla prevalente giurisprudenza di legittimità, secondo cui la condotta prevista dall'articolo 640 c.p. è una specie del genere “uso indebito”e non si può far leva, per affermare la diversità dei fatti, sugli elementi danno e profitto, giacché questi dati fattuali di evento non possono trasformare una tale situazione di identità ontologica dell'azione in totale diversità del fatto. Essi invece rappresentano i fattori di specialità di tale fattispecie incriminatrice rispetto a quella prevista dall'articolo 12, la quale a sua volta presenta l'elemento specializzante, rispetto alla truffa, del particolare oggetto materiale. Per la Corte si sarebbe fuori dell'ambito del concorso (formale) di reati, trattandosi di concorso apparente di norme (Cfr. Cass., S.U., 28 marzo 2001)
[13]Cfr.
Cajani, Profili penali del phishing, cit., 2294 e ss.; Flor, Phishing, identity theft e identity abuse, cit., 899 e ss.
[14] Vedi già
Flor, Art. 615 ter c.p., cit., 106 e ss.; Id., Phishing, identity theft e identity abuse, cit., 931, nota 66.
[15] Distingue fra “fase di trasmissione” e “fase statica”
Pecorella C., Diritto penale dell’informatica, Padova, rist. 2006, 292 e ss.
[16]In questo senso anche
Pecorella C., Diritto penale dell’informatica, cit., 163 e ss.
[17]Così già
Flor, Phishing, identity theft e identity abuse, cit.
[18]Così Cass., sez. V pen., 14 dicembre 2007, n. 46674, in
Riv. pen., 3, 2008, 258 e s. Cfr. in senso conforme anche Cass., sez. V pen., 31 ottobre 2006, in
Riv. pen., 2007, 923 e ss.
[19] Si vedano, infatti, i contributi già citati di
Cajani., Profili penali del phishing, cit., 2294 e ss.; Flor, Phishing, identity theft e identity abuse, cit. 899 e ss.; Id., Identity fraud, Identity theft e phishing, cit.
[20] Per i primi commenti alla legge di ratifica della Convenzione Cybercrime si veda
Picotti, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale, in Dir. pen. proc., 6, 2008, 700 e ss.; Id., Ratifica della Convenzione Cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo, in Dir. dell’Internet, 5, 2008, 437 e ss.
[21]Sull’irrazionale ampliamento delle fattispecie di “danneggiamento” vedi
Picotti, ibidem.
[22] Per ipotesi, si configurerebbe il reato se il certificatore, a seguito della promessa, da parte di un soggetto che partecipi alla realizzazione del fatto criminoso, di ricevere un compenso, non provveda con certezza all’identificazione della persona che fa richiesta della certificazione, oppure non assicuri la precisa determinazione della data e dell’ora di rilascio del certificato elettronico o, ancora, non tenga registrazione di tutte le informazioni relative al certificato qualificato. Il certificatore, infatti, è responsabile dell’identificazione del soggetto che richiede il certificato e deve raccogliere i dati personali solo presso la persona cui essi si riferiscono, o previo suo consenso, e solo nella misura necessaria al rilascio ed al mantenimento del certificato (fornendo l’informativa al trattamento dati prevista dall’art. 13 del D.lgs 30 giugno 2003, n. 196).
[23] Sulla definizione di “reato transnazionale” si rinvia a
Laudati, I delitti transnazionali. Nuovi modelli di incriminazione e di procedimento all’interno dell’Unione Europea, in Dir. pen. proc., 2006, 401 e ss. nonché a Astrologo, Prime riflessioni sulla definizione di reato transnazionale nella L. n. 146/2006, in Cass. pen., 2007, 1789 e ss.
