Reati informatici contro il patrimonio.

La l. n. 547/1993 ha ampliato la disciplina dei delitti contro il patrimonio, prevista dal Titolo XIII del Libro II del codice penale, estendendo la tutela penale anche ai beni immateriali come i software o i dati contenuti in un sistema informatico.

Un forte impulso alla innovazione della materia è stato di certo fornito dalla ratifica della Convenzione di Budapest del 2001 sulla criminalità informatica che ha inteso reprimere gli attacchi al patrimonio digitale di aziende e privati nonché l’utilizzo fraudolento di sistemi informatici.

In quanto reati contro il patrimonio (seppur i beni aggrediti siano di natura “virtuale”), presupposto indefettibile affinché sia integrata la fattispecie penale è che sussista un effettivo depauperamento, dunque un venir meno dell’integrità patrimoniale del soggetto passivo.

Art. 635-bis c.p. “Danneggiamento di informazioni, dati e programmi informatici”

Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.

Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.

Elemento oggettivo: la norma, modificata a seguito della Convenzione di Budapest, reprime tutte quelle condotte lesive (in parte pedissequamente riprese dalla fattispecie generale di danneggiamento, all’art. 635 c.p.) nei confronti di informazioni, dati informatici e programmi informatici (c.d. software) altrui. La fattispecie ha carattere sussidiario, in quanto la sua applicazione è prevista in caso il fatto non costituisca più grave reato.

Le medesime condotte lesive sono sanzionate anche dall’art. 635-quater c.p., quando esse siano però dirette a danneggiare o ad ostacolare il funzionamento di un “sistema informatico”, ossia di una apparecchiatura per la elaborazione di dati.

Elemento soggettivo: il reato è punibile a titolo di dolo generico, quindi in caso sussista coscienza e volontà di alterare i dati informatici, nonché la conoscenza dell’altruità di tali dati, indipendentemente dal fine specifico di tale azione.

Quadro giurisprudenziale di riferimento:

Cassazione penale, sez. II, 01/12/2016, n. 54715.

Il reato di frode informatica si differenzia da quello di danneggiamento di dati informatici, di cui agli artt. 635 bis e ss. cod. pen., perché, nel primo, il sistema informatico continua a funzionare, benché in modo alterato rispetto a quello programmato, mentre nel secondo l’elemento materiale è costituito dal mero danneggiamento del sistema informatico o telematico, e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni.

Cassazione penale, sez. II, 29/04/2016, n. 38331.

Non commette il reato di danneggiamento di informazioni, dati e programmi informatici il lavoratore dipendente che sopprime messaggi di carattere professionale destinati al datore di lavoro, i quali siano stati ricevuti sulla casella di posta elettronica che gli è riservata nell’ambito del sistema informatico aziendale.

Cassazione penale, sez. II, 14/12/2011, n. 9870.

L’oggetto materiale del delitto di danneggiamento di sistema informatico è costituito dal complesso di apparecchiature interconnesse o collegate tra loro, in cui una o più di esse effettui il trattamento automatico di dati mediante un programma (nella specie, è stato qualificato sistema informatico il sistema di videosorveglianza di un ufficio giudiziario, composto da apparati di videoregistrazione e da un componente dedicato al trattamento delle immagini e alla loro memorizzazione).

Cassazione penale, sez. II, 14/12/2011, n. 9870.

Ai fini dell’integrazione del reato di danneggiamento di sistemi informatici ex art. 635 quater c.p., per sistema informatico deve intendersi qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali, secondo un programma, svolga un trattamento automatico dei dati, sicché vi rientra un sistema di videosorveglianza che, composto di alcune videocamere che registrano le immagini e le trasformano in dati, si avvalga anche di un hard disk che riceve e memorizza immagini, rendendole estraibili e riproducibili per fotogrammi.

Cassazione penale, sez. V, 18/11/2011, n. 8555.

È ravvisabile il reato di cui all’art. 635 bis c.p., in caso di cancellazione di file da un sistema informatico sia quando la cancellazione sia stata provvisoria, mediante lo spostamento dei files nel cestino, sia quando la cancellazione sia stata definitiva, con il successivo svuotamento del cestino, essendo comunque irrilevante che anche in tale ultima evenienza i files cancellati possano essere recuperati, attraverso una complessa procedura tecnica che richiede l’uso di particolari sistemi applicativi e presuppone specifiche conoscenze nel campo dell’informatica. Il reato di danneggiamento informatico, infatti, deve ritenersi integrato dalla manomissione e alterazione dello stato del computer, rimediabili solo con postumo intervento recuperatorio, che, comunque, non sarebbe reintegrativo dell’originaria configurazione dell’ambiente di lavoro.

Art. 640-ter c.p. “Frode informatica”

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro.

La pena è della reclusione da uno a cinque anni e della multa da 309 euro a 1.549 euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un’altra circostanza aggravante.

Elemento oggettivo: la fattispecie si distingue da quella generica della truffa (art. 640 c.p.) in quanto il profitto del reato non deriva dall’induzione in inganno di una persona fisica, bensì dall’alterazione di un sistema informatico. Dunque viene sanzionato il comportamento di chiunque alteri il funzionamento di un sistema informatico o telematico oppure ne alteri il contenuto al fine di ottenere un profitto o di provocare un danno.

Elemento soggettivo: il reato è punibile a titolo di dolo specifico, in quanto è necessario che il soggetto attivo agisca al fine di procurare per sé o altri un profitto o di cagionare ad altri un danno.

quadro giurisprudenziale di riferimento:

Cassazione penale, sez. II, 09/05/2017, n. 26229.

Integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi.

Cassazione penale, sez. II, 09/02/2017, n. 10060.

In relazione alle operazione di phishing, è configurabile il reato di riciclaggio, non potendo la condotta posta in essere ritenuta assorbita nel reato di frode informatica. Lo sostiene la Cassazione che respinge la tesi difensiva e conferma l’autonomia dei due reati. Per la Corte il phishing consiste in una truffa informatica effettuata inviando una mail con il logo contraffatto di una banca o di una società di commercio online, in cui si invita il destinatario a fornire dati riservati come il numero della carta di credito o la password di accesso al servizio di home banking, spiegando la richiesta con ragioni di ordine tecnico. Ebbene tali condotte si collocano in una fase successiva alla consumazione del reato presupposto di frode informatica.

Cassazione penale, sez. II, 02/02/2017, n. 9191.

La frode informatica si caratterizza rispetto alla truffa per la specificazione delle condotte fraudolente da tenere che investono non un determinato soggetto passivo, bensì il sistema informatico, attraverso la manipolazione. Si tratta di un reato a forma libera finalizzato sempre all’ottenimento di un ingiusto profitto con altrui danno ma che si concretizza in una condotta illecita intrusiva o alterativa del sistema informatico o telematico.

Cassazione penale, sez. II, 01/12/2016, n. 54715.

Integra il reato di frode informatica, previsto dall’art. 640 -ter c.p., l’introduzione, in apparecchi elettronici per il gioco di intrattenimento senza vincite, di una seconda scheda, attivabile a distanza, che li abilita all’esercizio del gioco d’azzardo (cosiddette “slot machine”), trattandosi della attivazione di un diverso programma con alterazione del funzionamento di un sistema informatico.

Cassazione penale, sez. II, 09/06/2016, n. 41435.

Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. (In applicazione di tale principio, la S.C. ha ritenuto sussistente la penale responsabilità dell’imputato in ordine ad una fattispecie di truffa, originariamente qualificata in termini di frode informatica, avvenuta mettendo in vendita tramite la piattaforma web eBay materiale di cui l’imputato non aveva l’effettiva disponibilità, ed utilizzando per le comunicazioni un account e-mail per la cui acquisizione l’imputato aveva sfruttato generalità di fantasia e per i pagamenti una carta prepagata che riportava le sue effettive generalità).

Cassazione penale, sez. I, 20/05/2016, n. 36359.

Il reato di frode informatica si consuma nel momento in cui il soggetto agente ottiene il profitto ingiusto, generando contestualmente un danno patrimoniale alla persona offesa. L’art. 9 c.p.p. indica dei parametri suppletivi per la corretta individuazione del foro competente e deve essere applicato in ossequio ad un principio di residualità.

Cassazione penale, sez. II, 13/10/2015, n. 50140.

Integra il delitto di frode informatica, e non quello di cui all’art. 55 n. 9 del D.Lgs. n. 231 del 2007, la condotta di colui che, servendosi di un codice di accesso fraudolentemente captato, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, al fine di trarne profitto per sé o per altri. (In motivazione, la S.C. ha ritenuto decisiva la sussistenza dell’elemento specializzante, costituito dall’utilizzo “fraudolento” del sistema informatico).

Cassazione penale, sez. II, 06/03/2013, n. 13475.

Integra il reato di frode informatica, nelle forme dell’intervento senza diritto su dati e informazioni contenuti in un sistema informatico, oltre che quello di accesso abusivo ad un sistema informatico, la condotta del dipendente dell’Agenzia delle entrate che, utilizzando la password in dotazione, manomette la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell’ufficio.

Cassazione penale, sez. III, 24/05/2012, n. 23798.

Ai fini della determinazione della competenza territoriale, nel reato di frode informatica il momento consumativo va individuato nel luogo di esecuzione della attività manipolatoria del sistema di elaborazione dei dati, che può coincidere con il conseguimento del profitto anche non economico.

Cassazione penale, sez. III, 24/05/2012, n. 23798.

Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Di conseguenza, anche la frode informatica si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui; con la particolarità, peraltro, in conseguenza del tipo particolare di condotta posta in essere con la truffa informatica, che con la manipolazione del sistema informatico l’agente consegue in simultanea il doppio risultato del proprio profitto ingiusto e della causazione del danno per il titolare del sistema.

Cassazione penale, sez. II, 15/04/2011, n. 17748.

È ravvisabile il reato di frode informatica (art. 640 ter c.p.) nella condotta di chi, attraverso l’utilizzazione di carte falsificate e la previa artificiosa captazione dei codici segreti di accesso (pin), penetri abusivamente all’interno dei vari sistemi bancari, alterando i dati contabili, mediante ordini abusivi di operazioni bancarie di prelievo di contanti attraverso i servizi di cassa continua.

Cassazione penale, sez. II, 24/02/2011, n. 9891.

Integra il reato di frode informatica, e non già soltanto quello di accesso abusivo ad un sistema informatico o telematico, la condotta di introduzione nel sistema informatico delle Poste italiane s.p.a. mediante l’abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro depositate sul conto corrente del predetto.