Penale.it  
 Michele Di Iesu, la Cassazione interviene sul fenomeno del phishing

Delitti contro il patrimonio - Frode informatica - individuazione della punibilità delle condotte del phisher nel reato di frode informatica – concorso formale con il reato di accesso abusivo ad un sistema informatico o telematico - sussistenza - ragioni.

 

 

 

 

Cassazione Penale, Sez. II, 24.02/11.03.2011 n° 9891

LA CORTE SUPREMA DI CASSAZIONE          
SEZIONE SECONDA PENALE

Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. MACCHIA  Alberto, Presidente
Dott. CAMMINO  Matilde, Consigliere
Dott. TADDEI   Margherita, Consigliere
Dott. CHINDEMI Domenico, Consigliere
Dott. RAGO     Geppino, rel. Consigliere
ha pronunciato la seguente:

Sentenza

sul ricorso proposto da: D.L.P.M.C., nato il (omissis);
avverso la sentenza del 18/01/2010 della Corte di Appello di Lecce;
Visti gli atti, la sentenza ed il ricorso;
udita la relazione fatta dal Consigliere Dott. Geppino Rago;
udito il Procuratore Generale in persona del Dott. Antonio Gialanella, che ha concluso per il rigetto;
udito, per la  parte civile, l'avv.to Marchio Francesco, in sostituzione avv. Petrarchi Lilia Lucia, che ha concluso per il rigetto del ricorso;
udito il difensore avv.to Ruggero Raffaele che ha concluso per l'accoglimento del ricorso.    
Fatto
1. Con sentenza del 18.01.2010, la Corte di Appello di Lecce confermava, in punto di responsabilità, la sentenza del 14.03.2008 con la quale il Tribunale della medesima città aveva ritenuto D.L.P.M.C. responsabile del delitto di frode informatica aggravata "perché, al fine di procurarsi un ingiusto profitto, introducendosi abusivamente nel sistema informatico delle Poste Italiane spa, contro la volontà tacita di chi ha diritto ad escluderlo, interveniva senza diritto sui dati informatici del conto corrente postale n. (omissis) di C.V., utilizzando la postazione informatica avente indirizzo IP (omissis) mediante inserimento dei codici di accesso personali della predetta C.V., e trasferiva fraudolentemente sul proprio conto corrente n (omissis) mediante bonifico la somma di € 9.037,00; in tal modo cagionava alla persona offesa un danno patrimoniale di rilevante gravità. In (omissis)".
2. Avverso la suddetta sentenza, l'imputato, a mezzo del proprio difensore, ha proposto ricorso per Cassazione deducendo i seguenti motivi:
1. Violazione dell'art. 640 ter c.p.: sostiene il ricorrente che il fatto addebitatogli (consistente nell'impiego abusivo dei dati personali di accesso) non è configurabile come frode informatica in presenza di un normale funzionamento del sistema ed in assenza di un'alterazione, atteso che "l'oggetto della contestazione non sono fatti di c.d. hackeraggio, ma l'utilizzo di codici di accesso personali che non costituisce certamente l'alterazione del sistema necessaria alla sussistenza del reato contestato".
2. violazione dell'art. 192 c.p.p.: ad avviso del ricorrente la Corte non avrebbe congruamente motivato, sotto il profilo logico giuridico, in ordine alla sua responsabilità. Infatti, dalla mera presenza del denaro sul conto di esso ricorrente e dal fatto storico dell'avvenuta esecuzione del bonifico non potrebbe dedursi che esso ricorrente aveva commesso il reato contestatogli, atteso che non vi era alcuna prova che era stato lui ad inserire, tramite un computer nella sua disponibilità o connesso alla sua linea telefonica, i codici di accesso personali della parte offesa, non essendovi alcun collegamento fra la persona di esso ricorrente e la postazione informatica avente indirizzo IP (omissis). Nè la motivazione poteva dirsi soddisfacente nella parte in cui, per giustificare la suddetta carenza probatoria era ricorsa all'escamotage di ritenere la responsabilità di esso ricorrente come concorrente "eventualmente" con terze persone. La suddetta ipotesi, però, non solo era rimasta priva di alcun riscontro probatorio, ma doveva ritenersi anche effettuata in violazione dell'art. 521 c.p.p. non risultando che fosse stata mai contestata. 3. violazione dell'art. 61 c.p., n. 7: ad avviso del ricorrente, il mero fatto dell'avvenuta ricezione di un bonifico sul conto, non consentirebbe, in assenza di partecipazione ad altre condotte, di imputargli la circostanza aggravante, alla stregua della previsione di cui all'art. 59 c.p. in quanto non era stata provata la conoscenza, la previsione o la prevedibilità della menzionata aggravante. L'aggravante in questione, poi, non avrebbe potuto essere ritenuta perchè la medesima tutela esclusivamente la persona offesa dal reato e tale non poteva ritenersi la C. ma le Poste Italiane ossia il titolare del sistema informatico violato.
Infatti, nei confronti della C., parte danneggiata, la suddetta aggravante avrebbe potuto, al più, essere contestata in relazione al reato di cui all'art. 615 ter c.p. per il quale, però, esso ricorrente era stato prosciolto. Di conseguenza, l'insussistenza dell'aggravante, avrebbe dovuto indurre la Corte territoriale a dichiarare l'improcedibilità per mancanza di querela.
Diritto
3. Violazione dell'art. 640 ter c.p..
L'incontestato fatto materiale è quello esattamente indicato nel capo d'imputazione (cfr. supra in parte narrativa).
Il ricorrente sostiene che quel fatto non è configurabile come frode informatica (art. 640 ter c.p.) bensì, al più, come accesso abusivo ad un sistema informatico (art. 615 ter c.p.).
La doglianza è infondata.
Come questa Corte ha reiteratamente stabilito, il reato di frode informatica si differenzia dal reato di truffa perchè l'attività fraudolenta dell'agente investe non la persona (soggetto passivo), di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema: ex plurimis Cass. 44720/2009 Rv. 245696 - Cass. 3065/1999 riv 214942. Anche nel reato di frode informatica, quindi, l'ingiusto profitto costituisce elemento costitutivo.
E' evidente, pertanto, l'inconfigurabilità dell'ipotesi delittuosa di cui all'art. 615 ter c.p., atteso che il fatto contestato prevede un'attività fraudolenta finalizzata all'appropriazione di una somma di denaro e, quindi, a procurarsi un ingiusto profitto ossia l'elemento materiale del tutto assente nell'ipotesi criminosa di cui all'art. 615 ter c.p. che, non a caso, si trova inserito fra i delitti contro l'inviolabilità del domicilio. Va, peraltro, osservato che, nel fatto così come contestato, ben avrebbe potuto essere contestato - in concorso con l'art. 640 ter c.p. - anche il reato di cui all'art. 615 ter c.p. atteso che i suddetti reati hanno diversi presupposti giuridici e, quindi, ben possono concorrere (in termini, Cass. 2672/2003 riv. 227816; Cass. 1727/2008 riv. 242938): non a caso, secondo quanto riferito dallo stesso ricorrente (pag. 3 ricorso), il reato di accesso abusivo al sistema informatico fu contestato ma dichiarato improcedibile per mancanza di querela. Il reato di cui all'art. 640 ter c.p., prevede, poi, due distinte condotte. La prima, consiste nell'alterazione, in qualsiasi modo, del "funzionamento di un sistema informatico o telematico": in tale fattispecie vanno fatte rientrare tutte le ipotesi in cui viene alterato, in qualsiasi modo, il regolare svolgimento di un sistema informatico o telematico.
Per sistema informatico o telematico deve intendersi "un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un'attività di "codificazione" e "decodificazione" - dalla "registrazione" o "memorizzazione", per mezzo di impulsi elettronici, su supporti adeguati, di "dati", cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare "informazioni", costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente" Cass. 3067/1999 riv 214945. Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull'hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello programmato: il che consente di differenziare la frode informatica dai delitti di danneggiamento informatico (artt. 635 bis - ter - quater - quinquies c.p.) non solo perchè in quest'ultimi è assente ogni riferimento all'ingiusto profitto ma anche perché l'elemento materiale dei suddetti reati è costituito dal mero danneggiamento dei sistemi informatici o telematici e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni o perchè il medesimo è reso inservibile (attraverso la distruzione o danneggiamento) o perché se ne ostacola gravemente il funzionamento (cfr. sul punto, in particolare, l'art. 635 quater c.p.). La seconda condotta prevista dall'art. 640 ter c.p. è costituita dall'intervento "senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico (...)": si tratta di un reato a forma libera che, finalizzato pur sempre all'ottenimento di un ingiusto profitto con altrui danno, si concretizza in una illecita condotta intensiva ma non alterativa del sistema informatico o telematico.
Ora, applicando i suddetti principi al caso di specie, deve ritenersi che, correttamente è stato ritenuta la configurabilità del reato di cui all'art. 640 ter c.p., in quanto la condotta contestata è sussumibile nell'ipotesi "dell'intervento senza diritto su (...) informazioni (...) contenute in un sistema informatico" di cui alla seconda parte dell'art. 640 ter c.p., comma 1.
Infatti, anche l'abusivo utilizzo di codici informatici di terzi ("intervento senza diritto") - comunque ottenuti e dei quali si è entrati in possesso all'insaputa o contro la volontà del legittimo possessore ("con qualsiasi modalità") - è idoneo ad integrare la fattispecie di cui all'art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sè od altri un ingiusto profitto.
Nella fattispecie in esame, l'utilizzazione della password - illecitamente ottenuta - per entrare nel sistema informatico di home-banking del correntista (protetto da misure di sicurezza costituite, appunto, dai dati di accesso personali) e messo a sua disposizione dalle Poste Italiane, servì per stornare fondi dal conto corrente della C.: con il che si è verificata l'ipotesi di intervento (nella specie: ordine di bonifico dal conto corrente della C. a quello dell'imputato) senza diritto sui dati e/o informazioni (nella specie: sul saldo attivo del conto corrente) contenuti nel suddetto sistema informatico. Si può quindi concludere per l'infondatezza della prima censura atteso che la fattispecie, così come contestata, rientra nell'ipotesi criminosa di cui all'art. 640 ter c.p.
4. Violazione dell'art. 192 c.p.p.: la tesi del ricorrente, in pratica, è la seguente: non vi è alcuna prova che sia stato lui a perpetrare la truffa informatica perché, a ben vedere, si trattò di un caso di phishing nel quale egli stesso rimase incolpevolmente coinvolto in quanto lo sconosciuto hacker avrebbe utilizzato il conto corrente di esso ricorrente a sua insaputa. Anche la suddetta censura è infondata alla stregua delle seguenti considerazioni.
Il phishing è quell'attività illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell'accedere a conti correnti bancali o postali che vengono rapidamente svuotati.
La suddetta truffa presuppone, poi, anche un terzo "collaboratore", ed finacial manager, ossia colui che si presta a che le somme che l'hacker trafuga dal conto corrente nel quale è entrato abusivamente, vengano accreditate sul proprio conto corrente al fine poi di essere definitivamente trasferite all'estero con operazioni di money transfert. Orbene, la tesi del ricorrente è proprio questa;
ossia che, a sua insaputa, il suo conto corrente fu utilizzato dall'ignoto hacker. da qui la doglianza secondo la quale la Corte lo avrebbe ritenuto responsabile sulla base di un insufficiente compendio probatorio. Sennonché va replicato che la Corte territoriale si è fatta carico della suddetta censura e l'ha disattesa rilevando che se fosse stata vera la tesi prospettata dal ricorrente "il reale autore del prelievo abusivo ai danni della C. non avrebbe mai lasciato la somma illecitamente carpita a giacere per un lungo periodo (quasi sette giorni) sul conto di un soggetto ignaro correndo il rischio, serio e concreto, che quest'ultimo, in virtù della titolarità esclusiva del conto, la utilizzasse in qualsiasi forma. D'Altra parte appare difficile che a pochi giorni dall'apertura del conto da parte del D.L.P. M. altre persone siano state in grado di carpire allo stesso i dati personali necessari per potervi accedere on line".
Orbene, a fronte di tale motivazione, il ricorrente, in questa sede nulla ha, in pratica obiettato, limitandosi a ribadire la propria tesi. Sennonché va replicato che il ricorrente, in modo surrettizio, tenta di introdurre, in modo inammissibile, in questa sede di legittimità, una nuova valutazione di quegli elementi fattuali già ampiamente presi in esame dalla Corte di merito la quale, con motivazione accurata, logica, priva di aporie e del tutto coerente con gli indicati elementi probatori, ha puntualmente disatteso la tesi difensiva del prevenuto. Pertanto, non avendo il ricorrente evidenziato incongruità, carenze o contraddittorietà motivazionali, la censura, essendo incentrata tutta su una nuova rivalutazione di elementi fattuali e, quindi, mero merito, va dichiarata inammissibile. Del tutto irrilevante, infine, ai fini processuali, è l'ipotesi prospettata dalla Corte in ordine ad un eventuale concorso del ricorrente con altri soggetti rimasti sconosciuti: infatti, la suddetta ipotesi non sposta minimamente la posizione processuale del ricorrente, né è ipotizzabile la lamentata violazione dell'art. 521 c.p.p. (in termini, Cass. 24438/2005 riv. 231855).
5. violazione dell'art. 61 c.p., n. 7: in ordine alla sussistenza della suddetta aggravante, la Corte, in fatto, ha motivato in modo ampio, congruo ed adeguato agli evidenziati elementi fattuali.
Il ricorrente ha sostenuto che:
a) la Corte avrebbe violato l'art. 59 c.p.;
b) l'aggravante non avrebbe potuto essere ritenuta perché la medesima tutela esclusivamente la persona offesa dal reato e tale non poteva ritenersi la C. ma le Poste Italiane ossia il titolare del sistema informatico violato.
In ordine alla censura sub a) va replicato che, secondo entrambi i giudici di merito, essendo il ricorrente responsabile dell'episodio di frode informatica contestatogli, egli, nel momento in cui si appropriava della somma di € 9.000,00 non poteva non sapere che arrecava alla vittima un danno di rilevante gravità essendo la suddetta somma, di per sé, di notevole importo: si tratta di una conclusione che, essendo coerente ed adeguata rispetto agli evidenziati elementi fattuali e logici, non si presta ad alcuna censura di legittimità.
In ordine alla censura sub b), va obiettato che parte offesa del reato di frode informatica, contrariamente a quanto ritenuto dal ricorrente, è proprio la C. sotto un duplice profilo: 1) perché l'intrusione abusiva fu effettuata nel suo sistema informatico, ossia nel sistema informatico di home-banking (protetto da misure di sicurezza costituite, appunto, dai dati di accesso personali) messo a sua disposizione dalle Poste Italiane; 2) perché fu la C. che subì il danno dell'illegittimo prelievo.
6. In conclusione, l'impugnazione deve rigettarsi con conseguente condanna del ricorrente al pagamento delle spese processuali, nonché alla rifusione delle spese a favore della costituita parte civile come da dispositivo.

P.Q.M.

Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali nonché alla rifusione delle spese sostenute nel grado dalla parte civile C.V. che liquida in complessivi € 3.000,00 oltre spese generali, I.v.a. e C.p.a.
Così deciso in Roma, il 24.02.2011.
Depositato in Cancelleria il 11.03.2011

Brevi riflessioni

Il “phishing” è un termine coniato dalla commistione del vocabolo inglese” fisching” che vuol dire pescare  con il termine “phreaking” che significa  intrusione nei sistemi telefonici. Esso può definirsi come una attività fraudolenta, finalizzata ad ottenere l’accesso a informazioni personali o riservate, per commettere furti di identità mediante l’utilizzo delle comunicazioni elettroniche. Si realizza, soprattutto, a mezzo di messaggi di posta elettronica falsi (più raramente anche a mezzo di contatti telefonici). Questi messaggi, invitano l’internauta a rivelare dati personali (numero di conto corrente o della carta di credito, codici di identificazione, PIN bancario, ecc.). Le motivazioni sottese a tali condotte sono tra le più svariate: un errore di sistema, la chiusura del conto, l’accettazione di un accredito a vostro favore, la perdita dei dati, l’autenticazione, e così discorrendo. Il nostro ordinamento penale  non prevede uno specifico precetto penale rubricato “phishing”, e la condotta del phisher, viene fatta rientrare dalla giurisprudenza  nelle fattispecie penali già disciplinate , ad  esempio, sotto la disciplina penale della  falsificazione di comunicazione telematica (art.617 sexies c.p.), della truffa (art. 640 c.p.),  del trattamento illecito di dati (art. 167 D.lg. 196/2003), dell’ accesso abusivo in un sistema informatico o telematico (art.615 ter c.p.), la frode informatica (art. 640 ter c.p.). Nell’attesa ( ad avviso dello scrivente non indispensabile ) che il legislatore provveda a “coniare”  una nuova figura criminosa tipizzata con le condotte in questione, la Corte di Cassazione con la pronuncia in commento, contribuisce all’arricchimento del dibattito giurisprudenziale sulla fattispecie penale relativa al delitto di  frode informatica,individuando nella sua struttura, anche la punibilità di colui che commette phishing, consentendo così  una notevole emersione di voci dottrinali  sul tema nell’armamentario penalistico. I Giudici di legittimità,  nella statuizione in disamina, cristallizzano due punti fermi in tema di phishing. Per prima cosa,  chiariscono i rapporti intercorrenti fra l’art. 615 ter c.p. e e l’art. 640 ter c.p. affermando che possono formalmente concorrere i reati di accesso abusivo a un sistema informatico e di frode informatica, atteso che,si legge nel testo della pronuncia “ i suddetti reati hanno diversi presupposti giuridici e, quindi, ben possono concorrere (in termini, Cass. 2672/2003 riv. 227816; Cass. 1727/2008 riv. 242938”. Si tratta, infatti, di fattispecie penali strutturalmente diverse, il secondo dei quali postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del primo. La differenza fra le due ipotesi criminose si sostanzia, inoltre, nella diversità dei beni giuridici tutelati, nell’elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso abusivo solo nei riguardi di sistemi protetti, caratteristica quest’ultima, che non ricorre nel reato di frode informatica .Nel secondo punto esplicitato nella parte motiva della statuizione, si sottolinea  come carpire informazioni finalizzate ad ottenere l’accesso ad informazioni personali o riservate  “pescando” fraudolentemente in rete attraverso fittizi e raggiranti messaggi configura l’ipotesi delittuosa  di cui all'art. 640 ter c.p., in quanto,si legge in sentenza “ la condotta contestata è sussumibile nell'ipotesi dell'intervento senza diritto su (...) informazioni (...) contenute in un sistema informatico di cui alla seconda parte dell'art. 640 ter c.p., comma 1.
Infatti, anche l'abusivo utilizzo di codici informatici di terzi ("intervento senza diritto") - comunque ottenuti e dei quali si è entrati in possesso all'insaputa o contro la volontà del legittimo possessore ("con qualsiasi modalità") - è idoneo ad integrare la fattispecie di cui all'art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sè od altri un ingiusto profitto.”  Ordunque, è onere dell’interprete, in assenza di una norma penale  tipizzata , quello
 di considerare il complessivo dipanarsi dell’avvenimento rifuggendo da automatismi sanzionatori , valutando con obiettività ,scevro da qualsiasi condizionamento, la “voluntas”  del soggetto agente. Questo consentirà, al Giudicante, di assolvere correttamente la funzione per la quale è chiamato ad operare: la corretta applicazione della legge al fatto reato in esame .

     Avv. Michele Di Iesu

 
© Copyright Penale.it - SLM 1999-2012. Tutti i diritti riservati salva diversa licenza. Note legali  Privacy policy