frode informatica

Il D.L. 14 agosto 2013 n. 93 (etichettato dai media come “Decreto sul femminicidio”) contiene in realtà disposizioni molto eterogenee tra loro e interviene in modo significativo anche sul diritto delle nuove tecnologie.

Tre le novità degne di

Leggi l'articolo su cindi.it

rilievo introdotte da tale normativa:
1) l’aumento della pena per il reato di stalking (612 bis c.p.) qualora venga commesso attraverso strumenti informatici o telematici;
2) l’inserimento nel d.lgs. 231/01 di nuove ipotesi di delitti informatici e, soprattutto, del trattamento illecito di dati personali;
3) l’introduzione di un’aggravante al delitto di frode informatica(640 ter c.p.).

Limitiamoci in questa sede a tale ultimo aspetto, rinviando la trattazione dei primi due punti a successivi post.

Il reato di frode informatica è stato inserito nel codice penale quasi venti anni fa’ dalla legge 23 dicembre 1993 n. 547, la cd. legge sui computer crimes approvata per fronteggiare il fenomeno della criminalità informatica.

L’art. 640 ter c.p. punisce chi procura a sé o ad altri un ingiusto profitto (con danno a un soggetto frodato), alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico ovvero intervenendo senza diritto su dati, informazioni o programmi informatici. Come evidenziato anche dalla Cassazione (cfr. sentenza 15 giugno 2012 n. 23798), la principale differenza rispetto alla “vecchia” truffa è che non vi sono raggiri alla persona, ma un’alterazione o un intervento su una macchina.

Solitamente il reato di frode informatica (punito con la reclusione da sei mesi a tre anni e con la multa da 51 a 1.032 euro) risulta contestato nei casi di phishing, tema già trattato in questo blog (10 regole per evitare frodi).

Come noto, nel phishing il malfattore carpisce indebitamente dalle vittime i codici di accesso personale al conto corrente (sistema telematico di home banking), che poi utilizza per il trasferimento fraudolento di somme di denaro depositate sul conto medesimo.

Ora, con il D.L. 93/13 approvato alla vigilia di ferragosto, si introduce un’ipotesi di aggravante (reclusione da due a sei anni e multa da 600 a 3.000 euro) se il reato di frode informatica è commesso con sostituzione dell’identità digitale.

Secondo le intenzioni del legislatore, tale norma mira a rendere più efficace il contrasto al preoccupante e crescente fenomeno del “furto d’identità digitale” al fine di aumentare la fiducia dei cittadini nell’utilizzazione dei servizi on-line e porre un argine al fenomeno delle frodi realizzate (soprattutto nel settore del credito al consumo) mediante il furto di identità.  Si tratta, pertanto, di una misura adottata proprio per reprimere il menzionato phishing prevedendo innalzamenti della pena (reclusione da due a sei anni e multa da 600 a 3.000 euro) e procedibilità d’ufficio.

Tuttavia la disposizione novellata non fornisce una definizione di “identità digitale”, lasciando all’interprete il compito di trovarne il significato.

Il primo tentativo di delineare il concetto di identità digitale risale al 1998 quando Abelson e Lessig del MIT (Massachusetts Institute of Technology) nel white paper “Digital Identity in Cyberspace” affermarono in proposito: “l’insieme delle caratteristiche essenziali e uniche di un soggetto sono ciò che è in grado di identificarlo”. Successivamente nel dicembre 2002 Norlin e Durand nell’articolo intitolato “Federated Identity Management” scrissero che “l’identità digitale è la rappresentazione virtuale dell’identità reale che può essere usata durante interazioni elettroniche con persone o macchine”.

In linea di principio si tratta di concetti riconducibili (ovvero connessi) al tema dell’autenticazione informatica necessaria a identificare il soggetto alla tastiera.
Ma in un’accezione più ampia per “identità digitale” si intende anche l’insieme di informazioni relative a un soggetto presenti on line, tematica afferente alla reputazione digitale, al diritto all’oblio e al trattamento dei dati (non a caso l’art. 2 d.lgs. 196/03 richiama il rispetto dell’identità personale quale diritto fondamentale).

Provando a cercare in altre disposizioni di legge, si scopre che il tema dell’identità digitale è stato affrontato dal D.L. 179/12 (il famoso “Decreto Crescita 2.0”) e più recentemente dal D.L. 69/13 (l’altrettanto celebre “Decreto del fare”). Ma anche in questi casi non c’è una definizione di “identità digitale”!

Nel primo testo si fa riferimento al documento digitale unificato (che dovrebbe accorpare carta d’identità elettronica e tessera sanitaria); mentre con il secondo viene istituito, a cura dell’Agenzia per l’Italia digitale (ex DigitPA), il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID).
Si tratta di norme che rispondono all’esigenza di diffondere i servizi online della Pubblica Amministrazione mediante l’utilizzo di strumenti per l’identificazione certa delle persone, sia nel mondo fisico che in quello digitale (la carta d’identità elettronica, la carta nazionale dei servizi e altri sistemi offerti dal medesimo sistema SPID).

L’accezione di identità digitale che si ricava da tali disposizioni può essere utilizzata in sede di applicazione dell’art. 640 ter c.p.?

Ad avviso dello scrivente, in considerazione della diversa finalità di quest’ultima norma penale, il concetto di identità digitale pare non possa essere limitato all’utilizzo dei menzionati strumenti elettronici, ma dovrà essere ampliato ricomprendendo l’insieme di dati e risorse relativi al processo di “identificazione informatica” (concetto introdotto nel d.lgs. 82/05 al posto della vecchia “autenticazione informatica”) che consiste nella validazione dell’insieme di dati attribuiti in modo esclusivo e univoco a un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso.

Questa esegesi risulta supportata dalla Cassazione che, nella Relazione n. III/01/2013 dello scorso 22 agosto, afferma che l’identità digitale viene comunemente intesa come l’insieme delle informazioni e delle risorse concesse da un sistema informatico a un particolare utilizzatore del suddetto sotto un processo di identificazione.

Anche la Suprema Corte, peraltro, evidenzia l’ambiguità della locuzione “sostituzione dell’identità digitale”, che pare evocare non l’indebito utilizzo dell’identità, ma la sua surrogazione con altra al fine di accedere ai dati raggiungibili con quella sostituita.

A ogni buon conto, appare ragionevole ritenere che la casistica della frode informatica aggravata dalla sostituzione di identità digitale possa ricomprenderà (a titolo esemplificativo) l’utilizzo fraudolento di:
a) credenziali di accesso (nome utente e password);
b) dispositivi elettronici di autenticazione (token, OTP, smart card, etc.);
c) firme elettroniche e digitali;
d) documenti attestanti l’identità digitale (carta d’identità elettronica, carta nazionale servizi, documento digitale unificato, etc.).

In questo elenco sono certamente ricompresi i casi di phishing, ma anche altre fattispecie di indubbio interesse (si pensi al dipendente che utilizzi la chiavetta OTP del conto aziendale per effettuare fraudolentemente un bonifico a sé stesso o a un complice).

Un tanto in attesa di eventuali modifiche in sede di conversione in legge del decreto o altre sorprese a cui il legislatore in questi anni ci ha abituato.