Concorso nel reato di frode informatica per colui che mette a disposizione del correo il proprio conto corrente su cui far confluire l’ingiusto profitto conseguito con il phishing

Si segnala ai lettori del blog la sentenza 16023.2020, resa dalla II Sezione penale della Corte di Cassazione, con la quale il Collegio del diritto, esprimendosi in merito ad un caso di tentata frode informatica tramite un’operazione di phishing”, chiarisce il perimetro punitivo del delitto informatico e l’applicazione alla fattispecie oggetto di scrutinio dello schema del concorso di persone nel reato informatico contestato.

 

L’imputazione e la doppia conforme di merito

Nel caso di specie, all’imputato era contestato il delitto di frode informatica ex art. 640 ter c.p., nella forma tentata, per aver messo a disposizione di un terzo ignoto il proprio conto corrente per ricevere un bonifico mediante un’operazione di “phishing” volta ad acquisire le credenziali di accesso al sistema telematico di gestione del conto corrente della vittima del reato.

La Corte di appello di L’Aquila confermava la sentenza con la quale il Tribunale di Chieti sezione distaccata di Ortona aveva condannato il giudicabile per il reato ascrittogli.

 

Il ricorso per cassazione, il giudizio di legittimità e il principio di diritto

La difesa del prevenuto interponeva ricorso per cassazione avverso la decisione della Corte territoriale, articolando plurimi motivi di impugnazione.

In particolare, la difesa del ricorrente, denunciava vizio di legge e di motivazione in ordine alla sussistenza dell’art. 640 ter c.p., ritenendo  il delitto di frode informatica non integrato dalla condotta di semplice messa a disposizione del conto corrente sul quale versare il profitto conseguente dalla commissione del reato.

I Giudici di legittimità, nel dichiarare inammissibile il ricorso, chiariscono che la messa a disposizione del conto corrente da parte del soggetto attivo del reato sul quale era confluito l’ingiusto profitto rientra nella fase di esecuzione del delitto di frode informatica e che trattandosi di concorso nel reato per la punibilità del concorrente è sufficiente il contributo cosciente e volontario alla realizzazione della condotta tipica.

Di seguito si riportano i passaggi più significativi tratti dalla parte motiva della pronuncia in commento:

La corte ha sottolineato che il delitto in questione si consuma nel momento in cui il soggetto agente consegue l’ingiusto profitto con correlativo danno patrimoniale, sicché la condotta del [omissis], che ha messo a disposizione di terzi rimasti ignoti il proprio conto corrente per ricevere direttamente la somma di denaro sottratta utilizzando le credenziali della persona offesa, si è inserita nella fase di esecuzione del reato di frode informatica e non costituisce un evento successivo.

La difesa trascura di considerare che il delitto di frode informatica è stato contestato nella forma concorsuale e il concorso di persone in un reato realizza una fattispecie atipica, che non richiede necessariamente da parte di ciascuno dei concorrenti la realizzazione di tutti gli elementi della fattispecie tipica di reato, risultando sufficiente un contributo all’esecuzione della condotta tipica, determinato da una volontà consapevole.

Nel caso in esame, come correttamente evidenziato dal tribunale, l’autore della frode informatica si è avvalso del contributo dell’imputato, in forza di un necessario preventivo accordo e in vista di un successivo trasferimento o della divisione del profitto. Altrimenti si dovrebbe ipotizzare una condotta criminosa svolta ad esclusivo beneficio di un soggetto ignaro ed estraneo al reato che riceve sul proprio conto corrente una somma senza alcuna giustificazione. Poiché il contributo dell’imputato ha agevolato e reso possibile il conseguimento del profitto della frode informatica risponde a titolo di concorso del delitto. D’altronde non va trascurato che qualora l’imputato non avesse concorso nel delitto di frode informatica avrebbe posto in essere una condotta di riciclaggio, per il quale è previsto un trattamento sanzionatorio ben più grave>.

 

La norma incriminatrice:

Art. 640 ter c.p. – Frode informatica

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro.

 

La pena è della reclusione da uno a cinque anni e della multa da 309 euro a 1.549 euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. 

 

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. 

 

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o taluna delle circostanze previste dall’articolo 61, primo comma, numero 5, limitatamente all’aver approfittato di circostanze di persona, anche in riferimento all’età, e numero 7.

 

Quadro giurisprudenziale di riferimento:

Cassazione penale sez. II, 05/02/2020, n.10354

Il reato di frode informatica, che ha la medesima struttura ed elementi costitutivi della truffa, si differenzia da quest’ultima in quanto l’attività fraudolenta investe non il soggetto passivo (rispetto al quale manca l’induzione in errore), bensì il sistema informatico di pertinenza del medesimo. Il momento consumativo del reato di cui all’art. 640-ter c.p. coincide quindi con quello in cui il soggetto agente consegue l’ingiusto profitto. (Nel caso di specie, la S.C. ha dichiarato inammissibile il ricorso dell’imputato, condannato per il reato di frode informatica, avverso la sentenza con la quale la corte d’appello aveva correttamente identificato la competenza territoriale nel luogo in cui l’imputato aveva conseguito l’ingiusto profitto anziché in quello dove aveva sede il sistema informatico oggetto di manipolazione).

 

Cassazione penale sez. II, 12/09/2018, n.5748

Il fatto che non sia stato individuato il soggetto che materialmente abbia operato l’intrusione nel sistema informatico della Poste Italiane con illecito accesso personale al conto della persona offesa, non vale ad escludere la partecipazione, a titolo di concorso ex art. 110 c.p., alla consumazione dei reati di cui agli artt. 615-ter e 640-ter c.p. di colui che sia titolare della carta Poste Pay su cui venivano illegittimamente riversate le somme prelevate dal conto della persona offesa attraverso la tecnica di illecita intromissione in via informatica.

Cassazione penale sez. II, 09/02/2017, n.10060

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale sez. I, 20/05/2016, n.36359

Il reato di frode informatica si consuma nel momento in cui il soggetto agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui. (Fattispecie in tema di conflitto di competenza per territorio determinata da ragioni di connessione).

Cassazione penale sez. V, 19/02/2015, n.32383

Il reato di frode informatica si consuma nel momento in cui l’agente interviene sui dati del sistema informatico in modo da modificarne il funzionamento rispetto a quanto in precedenza possibile, non essendo necessaria una effettiva alterazione dei programmi inseriti nel “server”. (Fattispecie in cui la Corte ha ritenuto configurabile il delitto in questione nella condotta di un avvocato che, dopo aver comunicato la propria volontà di recedere da uno studio associato, si era impossessato di alcuni “files”, cancellandoli dal “server” dello studio).

Cassazione penale sez. II, 17/06/2011, n.25960

Sussiste il delitto di riciclaggio nel caso di ricezione sul proprio conto corrente, e di successivo trasferimento ad altro beneficiario all’estero con il sistema del “money transfer”, di somme di denaro prelevate fraudolentemente dal conto di un ignaro cliente di banca con il sistema del cd. “phishing”. L’elemento soggettivo del reato può essere integrato dal dolo eventuale in ordine alla provenienza illecita del denaro, non è sufficiente che l’imputato abbia agito sulla base di un mero sospetto, ovvero di disattenzione, di noncuranza o di mero disinteresse verso la provenienza illegale delle somme ricevute e trasferite.

By Claudio Ramelli© RIPRODUZIONE RISERVATA