L’illecita attività di phishing e i reati informatici

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram
Condividi su email

La Quinta sezione penale della Corte di Cassazione, con sentenza n. 24211 depositata il 21 Giugno 2021, fa il punto sulla consumazione dei reati informatici.

phishing

Occorre, preliminarmente, rilevare che l’addentellato giuridico utile alla repressione dei diletti in esame si rinviene nella L. 547/93 e, più recentemente, nella legge recettiva della Convenzione di Budapest sulla criminalità informatica, ossia la L. 48/2008.
Sono queste le basi che hanno fornito un corpo normativo armonico per il contrasto al crimine informatico, che pone l’attenzione sull’analisi della vulnerabilità, del rischio, delle minacce e delle relative protezioni all’integrità di un sistema informatico e dei relativi dati in esso contenuti o scambiati con ulteriori sistemi.
In particolare, il legislatore sovranazionale, ha individuato due differenti e autonome liste di fattispecie penali: da un lato, un elenco “minimo” contenente le condotte che gli Stati aderenti avrebbero dovuto perseguire, dall’altra, la lista “facoltativa”, cioè contenente condotte solo eventualmente sanzionabili.
La Convenzione di Budapest ha senza dubbio favorito la cooperazione tra gli Stati aderenti e ha agevolato l’armonizzazione dei sistemi giuridici penali in materia, facendo leva sulla portata transnazionale delle condotte che caratterizzano la commissione di illeciti informatici penalmente rilevanti.
Un ulteriore aspetto giustamente valorizzato dalla Convenzione risiede nella corretta individuazione del soggetto agente, il quale è considerato generalmente un tecnico o comunque un esperto nell’utilizzo dei sistemi informatici.
Passando all’analisi della struttura di tali peculiari reati, ci si sofferma in primis sul bene giuridico tutelato delle norme che, secondo consolidata giurisprudenza, ha ad oggetto il sistema informatico, ossia una pluralità di apparecchiature destinate alla commissione di qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie informatiche. Tramite una siffatta definizione, dunque, si escluderebbero dalla tutela i singoli personal computer, che assurgono a parti di un sistema informatico solo con l’impiego di periferiche per l’interconnesione – anche solo parziale – con altri sistemi elettronici.
Tuttavia, una tale impostazione è stata criticata dalla dottrina proprio con l’accusa di sottovalutare il notevole sviluppo tecnologico che oggi consente anche ai personal computer di uso domestico di contenere ed elaborare una notevole quantità di dati e informazioni.
Di talché, seguendo tale impostazione, sarebbero oggetto di tutela anche i normali pc, se dotati di potenzialità di elaborazione di notevole portata, con una pluralità di pacchetti applicativi istallati.
Ebbene, al fine di definire l’oggetto materiale dei reati de quibus occorre soffermarsi sul concetto di sistema informatico, ossia un insieme combinato di apparecchiature capaci di trasmettere a distanza dati e informazioni, con l’impiego di tecnologie deputate alla telecomunicazione.
Non vi è dubbio che la tendenza ad una convergenza tecnologica multimediale e interattiva si traduca in una maggiore vulnerabilità del sistema.
Per quel che concerne il locus commissi delicti, la giurisprudenza di legittimità si è più volte pronunciata affermando che il reato si consuma non al momento della diffusione del messaggio offensivo bensì al momento della percezione dello stesso da parte di soggetti che siano terzi rispetto all’agente e alla persona offesa.
I reati informatici – anche detti cyber crimes – sono incardinati nel II libro, titolo XII del Codice Penale dedicato ai delitti contro la persona, e sono così rubricati:

  • Articolo 612 ter: Diffusione illecita di immagini o video sessualmente espliciti (revenge porn);
  • Articolo 615 bis: Interferenze illecite nella vita privata;
  • Articolo 615 ter: Accesso abusivo ad un sistema informatico o telematico;
  • Articolo 615 quater: Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • Articolo 615 quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • Articolo 616: Violazione, sottrazione e soppressione di corrispondenza;
  • Articolo 617: Cognizione, interruzione o impedimento illeciti di comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 bis: Installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 ter: Falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
  • Articolo 617 quinquies: Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
  • Articolo 617 sexies: Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
  • Articolo 618: Rivelazione del contenuto di corrispondenza;
  • Articolo 619: Violazione, sottrazione e soppressione di corrispondenza commesse da persona addetta al servizio delle poste, dei telegrafi o dei telefoni;
  • Articolo 620: Rivelazione del contenuto di corrispondenza, commessa da persona addetta al servizio delle poste, dei telegrafi o dei telefoni;
  • Articolo 623 bis: Altre comunicazioni e conversazioni.

Ancora, rientrano nel novero dei reati dei computer crimes anche:

  • Cyberstalking: ossia, lo stalking, ovvero la persecuzione di una persona condotta attraverso la rete, ad esempio, inviando dei messaggi in chat.
  • Frode e falsa identità: dal 1993 la legge ha equiparato la frode informatica a quella tradizionale, con l’unica differenza che la prima è condotta mediante l’uso di attrezzature informatiche.
  • Information warfare: consistente in una guerra d’informazioni condotta allo scopo di ottenere un vantaggio militare rispetto al nemico.
  • Phishing: consistenti in truffe online attraverso le quali la vittima è portata a comunicare i propri dati sensibili.

Ebbene, è evidente come il sistema penale odierno sia dotato di fattispecie di reato adeguatamente formulate, tali da assurgere a rango di deterrente efficace contro condotte potenzialmente lesive. Ciononostante, l’evoluzione giurisprudenziale non supporta altrettanto efficacemente alcune di queste norme.
Con precipuo riguardo alla sentenza in commento, il Supremo Collegio sancisce il principio di diritto secondo il quale il delitto di detenzione e diffusione abusiva di codici di accesso a sistemi informatici può essere assorbito nel reato di accesso abusivo a sistema informatico solo laddove i due illeciti siano posti in essere nel medesimo contesto spazio-temporale, nel quale il primo reato costituisce l’antecedente logico necessario per la realizzazione dell’altro.
Inoltre, ciò che integra il reato di falsificazione del contenuto di comunicazioni informatiche o telematiche è la condotta riconducibile al fenomeno del cd. phishing, ovvero una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli. Nello specifico, attraverso e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Secondo il Supremo Collegio in tale fattispecie non può ritenersi assorbito il delitto di sostituzione di persona di cui all’art. 494 c.p., trattandosi di figura di reato distinta, che può essere integrata dall’utilizzo del conto corrente online altrui, tramite i relativi codici identificativi, trattandosi di condotta idonea a rappresentare un’identità digitale non corrispondente a quella della persona che ne fa realmente uso.
I passaggi più significativi tratti dalla trama argomentativa della pronuncia in commento riguardano i rapporti tra i delitti di cui agli artt. 615 ter e 615 quater c.p. e sul punto emerge “che i diversi reati di cui all’art. 615-quater cod. pen. ascritti all’imputato, si sono perfezionati attraverso l’abusiva riproduzione di parole chiave o altri mezzi di accesso a sistemi informatici, con il fine di procurarsi un profitto, in questo caso peculiare, messa a segno mediante le condotte di cui al capo a), cioè con attività di cd. phishing, mediante inoltro di messaggi ai clienti, riproducenti richieste di dati personali, sensibili o bancari, o creando portali clonati, situati su server controllati da [omissis], con utilizzo di grafica e simboli che richiamavano i siti web ufficiali delle società e istituti di credito da cui, apparentemente, provenivano i messaggi di posta elettronica. Con tale condotta, creando mezzi idonei ad accedere al sistema informatico relativo ai vari conti correnti on line delle diverse persone offese indicate nelle imputazioni. Diversamente, i reati di accesso abusivo ai sistemi informatici cui all’art. 615-ter cod. pen. contestati nel caso al vaglio, sono risultati perfezionati in momenti diversi, attraverso l’abusiva introduzione nel sistema informatico delle varie società (istituti di credito o anche delle società Paypal, Mastercard, Visa, Carta Si) già protetto da misure di sicurezza, così accedendo, attraverso la (diversa) condotta descritta, al conto corrente on line dei singoli clienti e contro la volontà di questi, con distinta attività posta in essere ai danni delle società titolari dei sistemi informatici violati. Sicché, a fronte dell’esistenza di condotte poste in essere in momenti e nei confronti di persone offese diverse, non può concludersi per il prospettato assorbimento delle fattispecie, come indicato dal ricorrente”.
Mentre, in riferimento ai rapporti tra i delitti ex artt. 494 e 617 sexies c.p., è illuminante la precisazione secondo cui “i reati di cui all’art. 494 cod. pen. contestati, non possono considerarsi assorbiti nel reato di cui all’art. 617-sexies cod. pen. …… Si tratta, invero, come emerge dalla mera lettura delle imputazioni, oltre che dalla motivazione del provvedimento censurato, di condotte distinte, sia con riferimento ai tempi di esecuzione che in relazione ai destinatari dell’attività delittuosa. Ed invero, la condotta punita dall’art. 617-sexies cod. pen., contestata sub capo a), risulta diretta agli intestatari dei conti correnti: dopo aver assunto simboli e loghi che riproducevano i siti ufficiali degli istituti di credito o altre società, l’imputato faceva comunicazioni ai singoli clienti, all’apparenza riferibili al medesimo istituto di credito, inducendo i clienti medesimi a fornire i propri dati, con modalità truffaldine o agiva attraverso la creazione di portali in cui invitava gli utenti ad inserire i propri dati personali. Diversamente, le condotte di cui all’art. 494 cod. pen. contestate, risultano eseguite ai danni dei singoli istituti di credito, verso i quali [omissis], utilizzando le credenziali del conto corrente on line delle diverse persone offese, impartiva ordini di pagamento, in vari contesti temporali e ai danni di soggetti differenti. […] Va, poi, condiviso l’assunto dei giudici di merito secondo il quale l’uso del conto corrente on line, servendosi dei codici personali identificativi di altra persona inconsapevole, al fine di procurarsi un ingiusto profitto, con danno del titolare dell’identità abusivamente utilizzata, integra il delitto di sostituzione di persona di cui all’art. 494 cod. pen. Si tratta, invero, di condotta idonea a rappresentare un’identità (digitale) non corrispondente al soggetto che ne fa uso, tenuto conto dell’attribuzione dei codici personali identificativi del conto corrente a soggetto determinato e corrispondente all’intestatario del medesimo conto, nel nome del quale, poi, venivano effettuate transazioni e sul quale, soprattutto, venivano fatte ricadere le obbligazioni conseguenti all’avvenuto acquisto di beni”.
Appare evidente come detta pronuncia, nel rigettare il ricorso dell’imputato già condannato dai giudici del merito, costituisca un’ulteriore importante decisione alla più ampia tutela dei dati personali, il cui illecito trattamento è chiaramente collegato alla commissione dei reati in questione.

phishing

Occorre, preliminarmente, rilevare che l’addentellato giuridico utile alla repressione dei diletti in esame si rinviene nella L. 547/93 e, più recentemente, nella legge recettiva della Convenzione di Budapest sulla criminalità informatica, ossia la L. 48/2008.
Sono queste le basi che hanno fornito un corpo normativo armonico per il contrasto al crimine informatico, che pone l’attenzione sull’analisi della vulnerabilità, del rischio, delle minacce e delle relative protezioni all’integrità di un sistema informatico e dei relativi dati in esso contenuti o scambiati con ulteriori sistemi.
In particolare, il legislatore sovranazionale, ha individuato due differenti e autonome liste di fattispecie penali: da un lato, un elenco “minimo” contenente le condotte che gli Stati aderenti avrebbero dovuto perseguire, dall’altra, la lista “facoltativa”, cioè contenente condotte solo eventualmente sanzionabili.
La Convenzione di Budapest ha senza dubbio favorito la cooperazione tra gli Stati aderenti e ha agevolato l’armonizzazione dei sistemi giuridici penali in materia, facendo leva sulla portata transnazionale delle condotte che caratterizzano la commissione di illeciti informatici penalmente rilevanti.
Un ulteriore aspetto giustamente valorizzato dalla Convenzione risiede nella corretta individuazione del soggetto agente, il quale è considerato generalmente un tecnico o comunque un esperto nell’utilizzo dei sistemi informatici.
Passando all’analisi della struttura di tali peculiari reati, ci si sofferma in primis sul bene giuridico tutelato delle norme che, secondo consolidata giurisprudenza, ha ad oggetto il sistema informatico, ossia una pluralità di apparecchiature destinate alla commissione di qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie informatiche. Tramite una siffatta definizione, dunque, si escluderebbero dalla tutela i singoli personal computer, che assurgono a parti di un sistema informatico solo con l’impiego di periferiche per l’interconnesione – anche solo parziale – con altri sistemi elettronici.
Tuttavia, una tale impostazione è stata criticata dalla dottrina proprio con l’accusa di sottovalutare il notevole sviluppo tecnologico che oggi consente anche ai personal computer di uso domestico di contenere ed elaborare una notevole quantità di dati e informazioni.
Di talché, seguendo tale impostazione, sarebbero oggetto di tutela anche i normali pc, se dotati di potenzialità di elaborazione di notevole portata, con una pluralità di pacchetti applicativi istallati.
Ebbene, al fine di definire l’oggetto materiale dei reati de quibus occorre soffermarsi sul concetto di sistema informatico, ossia un insieme combinato di apparecchiature capaci di trasmettere a distanza dati e informazioni, con l’impiego di tecnologie deputate alla telecomunicazione.
Non vi è dubbio che la tendenza ad una convergenza tecnologica multimediale e interattiva si traduca in una maggiore vulnerabilità del sistema.
Per quel che concerne il locus commissi delicti, la giurisprudenza di legittimità si è più volte pronunciata affermando che il reato si consuma non al momento della diffusione del messaggio offensivo bensì al momento della percezione dello stesso da parte di soggetti che siano terzi rispetto all’agente e alla persona offesa.
I reati informatici – anche detti cyber crimes – sono incardinati nel II libro, titolo XII del Codice Penale dedicato ai delitti contro la persona, e sono così rubricati:

  • Articolo 612 ter: Diffusione illecita di immagini o video sessualmente espliciti (revenge porn);
  • Articolo 615 bis: Interferenze illecite nella vita privata;
  • Articolo 615 ter: Accesso abusivo ad un sistema informatico o telematico;
  • Articolo 615 quater: Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • Articolo 615 quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • Articolo 616: Violazione, sottrazione e soppressione di corrispondenza;
  • Articolo 617: Cognizione, interruzione o impedimento illeciti di comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 bis: Installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 ter: Falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche;
  • Articolo 617 quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
  • Articolo 617 quinquies: Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
  • Articolo 617 sexies: Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
  • Articolo 618: Rivelazione del contenuto di corrispondenza;
  • Articolo 619: Violazione, sottrazione e soppressione di corrispondenza commesse da persona addetta al servizio delle poste, dei telegrafi o dei telefoni;
  • Articolo 620: Rivelazione del contenuto di corrispondenza, commessa da persona addetta al servizio delle poste, dei telegrafi o dei telefoni;
  • Articolo 623 bis: Altre comunicazioni e conversazioni.

Ancora, rientrano nel novero dei reati dei computer crimes anche:

  • Cyberstalking: ossia, lo stalking, ovvero la persecuzione di una persona condotta attraverso la rete, ad esempio, inviando dei messaggi in chat.
  • Frode e falsa identità: dal 1993 la legge ha equiparato la frode informatica a quella tradizionale, con l’unica differenza che la prima è condotta mediante l’uso di attrezzature informatiche.
  • Information warfare: consistente in una guerra d’informazioni condotta allo scopo di ottenere un vantaggio militare rispetto al nemico.
  • Phishing: consistenti in truffe online attraverso le quali la vittima è portata a comunicare i propri dati sensibili.

Ebbene, è evidente come il sistema penale odierno sia dotato di fattispecie di reato adeguatamente formulate, tali da assurgere a rango di deterrente efficace contro condotte potenzialmente lesive. Ciononostante, l’evoluzione giurisprudenziale non supporta altrettanto efficacemente alcune di queste norme.
Con precipuo riguardo alla sentenza in commento, il Supremo Collegio sancisce il principio di diritto secondo il quale il delitto di detenzione e diffusione abusiva di codici di accesso a sistemi informatici può essere assorbito nel reato di accesso abusivo a sistema informatico solo laddove i due illeciti siano posti in essere nel medesimo contesto spazio-temporale, nel quale il primo reato costituisce l’antecedente logico necessario per la realizzazione dell’altro.
Inoltre, ciò che integra il reato di falsificazione del contenuto di comunicazioni informatiche o telematiche è la condotta riconducibile al fenomeno del cd. phishing, ovvero una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli. Nello specifico, attraverso e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Secondo il Supremo Collegio in tale fattispecie non può ritenersi assorbito il delitto di sostituzione di persona di cui all’art. 494 c.p., trattandosi di figura di reato distinta, che può essere integrata dall’utilizzo del conto corrente online altrui, tramite i relativi codici identificativi, trattandosi di condotta idonea a rappresentare un’identità digitale non corrispondente a quella della persona che ne fa realmente uso.
I passaggi più significativi tratti dalla trama argomentativa della pronuncia in commento riguardano i rapporti tra i delitti di cui agli artt. 615 ter e 615 quater c.p. e sul punto emerge “che i diversi reati di cui all’art. 615-quater cod. pen. ascritti all’imputato, si sono perfezionati attraverso l’abusiva riproduzione di parole chiave o altri mezzi di accesso a sistemi informatici, con il fine di procurarsi un profitto, in questo caso peculiare, messa a segno mediante le condotte di cui al capo a), cioè con attività di cd. phishing, mediante inoltro di messaggi ai clienti, riproducenti richieste di dati personali, sensibili o bancari, o creando portali clonati, situati su server controllati da [omissis], con utilizzo di grafica e simboli che richiamavano i siti web ufficiali delle società e istituti di credito da cui, apparentemente, provenivano i messaggi di posta elettronica. Con tale condotta, creando mezzi idonei ad accedere al sistema informatico relativo ai vari conti correnti on line delle diverse persone offese indicate nelle imputazioni. Diversamente, i reati di accesso abusivo ai sistemi informatici cui all’art. 615-ter cod. pen. contestati nel caso al vaglio, sono risultati perfezionati in momenti diversi, attraverso l’abusiva introduzione nel sistema informatico delle varie società (istituti di credito o anche delle società Paypal, Mastercard, Visa, Carta Si) già protetto da misure di sicurezza, così accedendo, attraverso la (diversa) condotta descritta, al conto corrente on line dei singoli clienti e contro la volontà di questi, con distinta attività posta in essere ai danni delle società titolari dei sistemi informatici violati. Sicché, a fronte dell’esistenza di condotte poste in essere in momenti e nei confronti di persone offese diverse, non può concludersi per il prospettato assorbimento delle fattispecie, come indicato dal ricorrente”.
Mentre, in riferimento ai rapporti tra i delitti ex artt. 494 e 617 sexies c.p., è illuminante la precisazione secondo cui “i reati di cui all’art. 494 cod. pen. contestati, non possono considerarsi assorbiti nel reato di cui all’art. 617-sexies cod. pen. …… Si tratta, invero, come emerge dalla mera lettura delle imputazioni, oltre che dalla motivazione del provvedimento censurato, di condotte distinte, sia con riferimento ai tempi di esecuzione che in relazione ai destinatari dell’attività delittuosa. Ed invero, la condotta punita dall’art. 617-sexies cod. pen., contestata sub capo a), risulta diretta agli intestatari dei conti correnti: dopo aver assunto simboli e loghi che riproducevano i siti ufficiali degli istituti di credito o altre società, l’imputato faceva comunicazioni ai singoli clienti, all’apparenza riferibili al medesimo istituto di credito, inducendo i clienti medesimi a fornire i propri dati, con modalità truffaldine o agiva attraverso la creazione di portali in cui invitava gli utenti ad inserire i propri dati personali. Diversamente, le condotte di cui all’art. 494 cod. pen. contestate, risultano eseguite ai danni dei singoli istituti di credito, verso i quali [omissis], utilizzando le credenziali del conto corrente on line delle diverse persone offese, impartiva ordini di pagamento, in vari contesti temporali e ai danni di soggetti differenti. […] Va, poi, condiviso l’assunto dei giudici di merito secondo il quale l’uso del conto corrente on line, servendosi dei codici personali identificativi di altra persona inconsapevole, al fine di procurarsi un ingiusto profitto, con danno del titolare dell’identità abusivamente utilizzata, integra il delitto di sostituzione di persona di cui all’art. 494 cod. pen. Si tratta, invero, di condotta idonea a rappresentare un’identità (digitale) non corrispondente al soggetto che ne fa uso, tenuto conto dell’attribuzione dei codici personali identificativi del conto corrente a soggetto determinato e corrispondente all’intestatario del medesimo conto, nel nome del quale, poi, venivano effettuate transazioni e sul quale, soprattutto, venivano fatte ricadere le obbligazioni conseguenti all’avvenuto acquisto di beni”.
Appare evidente come detta pronuncia, nel rigettare il ricorso dell’imputato già condannato dai giudici del merito, costituisca un’ulteriore importante decisione alla più ampia tutela dei dati personali, il cui illecito trattamento è chiaramente collegato alla commissione dei reati in questione.

Metti in mostra la tua 
professionalità!

Scarica il pdf

Gli ultimi articoli

I più letti