La Cassazione fa il punto sui reati informatici consumati con l’illecita attività di phishing.

Si segnala ai lettori del blog la sentenza numero 24211.2021, resa dalla V Sezione penale della Corte di Cassazione, in merito ai rapporti tra le distinte fattispecie di reato ipotizzabili a carico dell’autore di condotte antigiuridiche denominate come phishing.

In particolare, la Suprema Corte, con la sentenza in commento, enuncia il principio di diritto secondo cui il delitto di detenzione e diffusione abusiva di codici di accesso a sistemi informatici può essere assorbito nel reato di accesso abusivo a sistema informatico laddove i due illeciti siano posti in essere nel medesimo contesto spazio-temporale, nel quale il primo reato costituisce l’antecedente logico necessario per la realizzazione dell’altro.

Inoltre, precisa il Collegio del diritto, che integra il reato di falsificazione del contenuto di comunicazioni informatiche o telematiche la condotta riconducibile al fenomeno del cd. phishing, consistente nel riprodurre i loghi dei siti ufficiali di istituti di credito ed effettuare comunicazioni ai clienti, riproducendo i portali ove i clienti sono chiamati ad inserire i propri dati personali.

In tale fattispecie non può ritenersi assorbito il delitto di sostituzione di persona di cui all’art. 494 c.p., trattandosi di figura di reato distinta, che può essere integrata dall’utilizzo del conto corrente online altrui, tramite i relativi codici identificativi, trattandosi di condotta idonea a rappresentare un’identità digitale non corrispondente a quella della persona che ne fa realmente uso.

Per una migliore comprensione dell’argomento qui trattato, di seguito al commento della sentenza il lettore troverà:

(i) il testo delle fattispecie incriminatrici;

(ii) la rassegna delle più recenti massime riferite alle pronunce di legittimità relative ai reati ex artt. 615 ter, 615 quater, 617 sexies, 494 c.p., oltre agli approfondimenti sui reati informatici che il lettore può trovare nell’area del sito dedicata all’argomento.

 

I reati contestati all’imputato e il doppio giudizio di merito

Nel caso di specie all’imputato erano stati addebitati i delitti di falsificazione del contenuto di comunicazioni informatiche, accesso abusivo a sistema informatico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici, frode informatica e sostituzione di persona, previsti e puniti rispettivamente dagli artt. 617 sexies, 615 ter, 615 quater, 640 ter, 494 cod. pen.

In particolare, al prevenuto, la locale Procura della Repubblica aveva contestato di aver formato falsamente il contenuto di comunicazioni relative a sistemi informatici di istituti di credito, attraverso operazioni di cd. phishing, di essersi procurato abusivamente i codici di accesso ai conti correnti on line delle persone offese, introducendosi abusivamente nei relativi sistemi informatici e compiendo operazioni commerciali utilizzando la loro identità.

La Corte di appello di Firenze, riformando parzialmente, in punto di trattamento sanzionatorio, la sentenza resa dal Tribunale di Pisa, confermava la condanna del giudicabile per i delitti ascrittigli.

Il ricorso per cassazione, il giudizio di legittimità e il principio di diritto

La difesa dell’imputato proponeva ricorso per cassazione avverso la decisione della Corte distrettuale, articolando plurimi motivi di impugnazione.

La Suprema Corte ha rigettato il ricorso.

Di seguito si riportano i passaggi più significativi tratti dalla trama argomentativa della pronuncia in commento:

(i) Rapporti tra i delitti ex artt. 615 ter e 615 quater

“Si osserva che il precedente richiamato dalla Difesa, fissa un principio che opera in astratto, ma che non appare riferibile al — diverso — caso di specie.

In quella pronuncia (Sez. 2, n. 21987 del 14/01/2019, Rv. 276533) invero, si afferma che il delitto di cui all’art. 615-quater cod. pen. non può concorrere e, dunque, deve essere dichiarato assorbito in quello, più grave, di accesso abusivo a sistemi informatici di cui all’art. 615-ter cod. pen., del quale costituisce naturalisticamente un antecedente necessario, quando questo risulti integrato nel medesimo contesto spazio-temporale in cui sia stato perpetrato l’antefatto ed in danno della medesima persona offesa.

Nel caso di specie, invece, […] emerge che i diversi reati di cui all’art. 615-quater cod. pen. ascritti all’imputato, si sono perfezionati attraverso l’abusiva riproduzione di parole chiave o altri mezzi di accesso a sistemi informatici, con il fine di procurarsi un profitto, in questo caso peculiare, messa a segno mediante le condotte di cui al capo a), cioè con attività di cd. phishing, mediante inoltro di messaggi ai clienti, riproducenti richieste di dati personali, sensibili o bancari, o creando portali clonati, situati su server controllati da [omissis], con utilizzo di grafica e simboli che richiamavano i siti web ufficiali delle società e istituti di credito da cui, apparentemente, provenivano i messaggi di posta elettronica. Con tale condotta, creando mezzi idonei ad accedere al sistema informatico relativo ai vari conti correnti on line delle diverse persone offese indicate nelle imputazioni. Diversamente, i reati di accesso abusivo ai sistemi informatici cui all’art. 615-ter cod. pen. contestati nel caso al vaglio, sono risultati perfezionati in momenti diversi, attraverso l’abusiva introduzione nel sistema informatico delle varie società (istituti di credito o anche delle società Paypal, Mastercard, Visa, Carta Si) già protetto da misure di sicurezza, così accedendo, attraverso la (diversa) condotta descritta, al conto corrente on line dei singoli clienti e contro la volontà di questi, con distinta attività posta in essere ai danni delle società titolari dei sistemi informatici violati. Sicché, a fronte dell’esistenza di condotte poste in essere in momenti e nei confronti di persone offese diverse, non può concludersi per il prospettato assorbimento delle fattispecie, come indicato dal ricorrente.

(ii) Rapporti tra i delitti ex artt. 494 e 617 sexies c.p.

“I reati di cui all’art. 494 cod. pen. contestati, non possono considerarsi assorbiti nel reato di cui all’art. 617-sexies cod. pen. di cui al capo a). Si tratta, invero, come emerge dalla mera lettura delle imputazioni, oltre che dalla motivazione del provvedimento censurato, di condotte distinte, sia con riferimento ai tempi di esecuzione che in relazione ai destinatari dell’attività delittuosa.

Ed invero, la condotta punita dall’art. 617-sexies cod. pen., contestata sub capo a), risulta diretta agli intestatari dei conti correnti: dopo aver assunto simboli e loghi che riproducevano i siti ufficiali degli istituti di credito o altre società, l’imputato faceva comunicazioni ai singoli clienti, all’apparenza riferibili al medesimo istituto di credito, inducendo i clienti medesimi a fornire i propri dati, con modalità truffaldine o agiva attraverso la creazione di portali in cui invitava gli utenti ad inserire i propri dati personali. Diversamente, le condotte di cui all’art. 494 cod. pen. contestate, risultano eseguite ai danni dei singoli istituti di credito, verso i quali [omissis], utilizzando le credenziali del conto corrente on line delle diverse persone offese, impartiva ordini di pagamento, in vari contesti temporali e ai danni di soggetti differenti. […]

Va, poi, condiviso l’assunto dei giudici di merito secondo il quale l’uso del conto corrente on line, servendosi dei codici personali identificativi di altra persona inconsapevole, al fine di procurarsi un ingiusto profitto, con danno del titolare dell’identità abusivamente utilizzata, integra il delitto di sostituzione di persona di cui all’art. 494 cod. pen. (Sez. 2, n. 23760 del 02/07/2020, Rv. 279585; Sez. 5, n. 42572 del 22/06/2018, D., Rv. 274008). Si tratta, invero, di condotta idonea a rappresentare un’identità (digitale) non corrispondente al soggetto che ne fa uso, tenuto conto dell’attribuzione dei codici personali identificativi del conto corrente a soggetto determinato e corrispondente all’intestatario del medesimo conto, nel nome del quale, poi, venivano effettuate transazioni e sul quale, soprattutto, venivano fatte ricadere le obbligazioni conseguenti all’avvenuto acquisto di beni”.

 

Le fattispecie incriminatrici:

Art. 615 ter c.p. – Accesso abusivo ad un sistema informatico o telematico.

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

 La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

 

Art. 615 quater c.p. – Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5.164 euro.

La pena è della reclusione da uno a due anni e della multa da 5.164 euro a 10.329 euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617-quater.

 

Art. 617 sexies c.p. – Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. 

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell’articolo 617-quater.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa.

 

Art. 494 c.p. – Sostituzione di persona

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno [496; 1133 c. nav].

 

La rassegna delle più recenti massime relative al reato ex art. 615 ter c.p:

Cassazione penale sez. V, 20/11/2020, n.72

In tema di accesso abusivo ad un sistema informatico, ai fini della configurabilità della circostanza aggravante di cui all’art. 615-ter, comma 2, n. 1, c.p. non è sufficiente la mera qualifica di pubblico ufficiale o di incaricato di pubblico servizio del soggetto attivo, ma è necessario che il fatto sia commesso con abuso dei poteri o violazione dei doveri inerenti alla funzione, di modo che la qualità soggettiva dell’agente abbia quanto meno agevolato la realizzazione del reato. (In applicazione del principio la Corte ha annullato con rinvio la sentenza che aveva ritenuto l’aggravante nel caso di reiterato accesso non autorizzato, da parte di un carabiniere in servizio, ad un indirizzo di posta elettronica privato a mezzo del proprio dispositivo mobile o del computer in dotazione dell’ufficio).

 

Cassazione penale sez. V, 02/10/2020, n.34296

Per giudicare della liceità dell’accesso effettuato da chi sia abilitato ad entrare in un sistema informatico occorre riferirsi alla finalità perseguita dall’agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché, in contrasto con le regole dettate dal titolare o dall’amministratore del sistema. Tanto vale per i pubblici dipendenti ma, stante l’identità di ratio, anche per i privati, allorché operino in un contesto associativo da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici. In tal caso la limitazione deriva non già da norme pubblicistiche, che non esistono, ma dai principi della collaborazione associativa, che hanno, come base necessaria, il conferimento di beni, utilità, diritti e quant’altro funzionali al perseguimento dello scopo comune e impongono l’utilizzo degli stessi in conformità allo scopo suddetto. Anche l’accesso ai sistemi informatici predisposti a servizio dell’attività comune deve avvenire, quindi, in conformità alla ratio attributiva del potere, configurandosi come abusivo, ai sensi dell’art. 615 ter, ogni accesso che risulti con esso incompatibile.

 

Cassazione penale sez. V, 09/07/2020, n.25944

In tema di delitto di accesso abusivo ad un sistema informatico o telematico, la fattispecie di cui l’art. 615-ter, comma primo, cod. pen., che punisce la condotta del soggetto che, abilitato all’accesso, violi le condizioni ed i limiti dell’autorizzazione, non è integralmente sovrapponibile all’ipotesi aggravata di cui al comma secondo, n. 1) del medesimo articolo, che richiede che tale violazione sia commessa da un pubblico ufficiale o un incaricato di pubblico servizio.

 

Cassazione penale sez. V, 19/02/2020, n.17360

Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il cosiddetto domicilio informatico sotto il profilo dello “ius excludendi alios”, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla e sanziona l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto (nella specie, la condotta specificamente addebitata all’imputato era quella di aver proceduto, in concorso con ignoto, ad aprire, con propri documenti di identità, conti correnti postali sui quali affluivano, poco dopo, somme prelevate da conti correnti o da carte poste pay di altri soggetti).

 

Cassazione penale sez. V, 15/07/2019, n.37339

Integra il reato di abusiva introduzione in un sistema informatico, aggravato ai sensi dell’art. 615-ter, comma 2, n. 1, c.p., per la qualità di incaricato di pubblico servizio, la condotta del conducente di automezzi e commesso, formalmente assegnato all’ufficio del registro generale della procura della repubblica, che con le proprie credenziali si introduca nel S.I.C.P. (Sistema Informativo della Cognizione Penale) dell’ufficio inquirente al fine di fornire informazioni relative a procedimenti in fase di indagini – non ostensibili a terzi.

Cassazione penale sez. II, 29/05/2019, n.26604

Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello “ius excludendi alios“, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto. (Fattispecie relativa a frode informatica realizzata mediante intervento “invito domino”, attuato grazie all’utilizzo delle “password” di accesso conosciute dagli imputati in virtù del loro pregresso rapporto lavorativo, su dati, informazioni e programmi contenuti nel sistema informatico della società della quale erano dipendenti, al fine di sviarne la clientela ed ottenere, così, un ingiusto profitto in danno della parte offesa). 

Cassazione penale sez. V, 24/04/2019, n.34803

Nell’interpretazione del requisito di c.d. illiceità speciale, espresso dall’avverbio “abusivamente” (ex art. 615-ter c.p.), le ragioni che legittimano l’accesso o il mantenimento nel sistema informatico delle notizie di reato non possono consistere nella mera pendenza di un procedimento presso l’ufficio giudiziario ove l’agente svolge servizio, ma devono essere specificamente connesse all’assolvimento delle proprie funzioni.

Cassazione penale sez. V, 25/03/2019, n.18284

In ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615-ter c.p. concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui agli artt. 635-bis e ss. c.p., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegue l’inutilizzabilità della casella di posta da parte del titolare.

Cassazione penale sez. II, 14/01/2019, n.21987

Il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici è assorbito in quello di accesso abusivo ad un sistema informatico o telematico, del quale il primo costituisce naturalisticamente un antecedente necessario, ove il secondo risulti contestato, procedibile e integrato nel medesimo contesto spaziotemporale in cui fu perpetrato l’antefatto e in danno dello stesso soggetto. 

Cassazione penale sez. V, 29/11/2018, n.565

Configura il reato di cui all’art. 615-ter c.p. la condotta di un dipendente (nel caso di specie, di una banca) che abbia istigato un collega – autore materiale del reato – ad inviargli informazioni riservate relative ad alcuni clienti alle quali non aveva accesso, ed abbia successivamente girato le e-mail ricevute sul proprio indirizzo personale di posta elettronica, concorrendo in tal modo con il collega nel trattenersi abusivamente all’interno del sistema informatico della società per trasmettere dati riservati ad un soggetto non autorizzato a prenderne visione, violando in tal modo l’autorizzazione ad accedere e a permanere nel sistema informatico protetto che il datore di lavoro gli aveva attribuito.

Cassazione penale sez. V, 02/10/2018, n.2905

Integra il reato di cui all’art. 615 ter c.p. la condotta del marito che accede al profilo Facebook della moglie grazie al nome utente ed alla password utilizzati da quest’ultima potendo così fotografare una chat intrattenuta dalla moglie con un altro uomo e poi cambiare la password, sì da impedire alla persona offesa di accedere al social network. La circostanza che il ricorrente fosse stato a conoscenza delle chiavi di accesso della moglie al sistema informatico – quand’anche fosse stata quest’ultima a renderle note e a fornire, così, in passato, un’implicita autorizzazione all’accesso – non esclude comunque il carattere abusivo degli accessi sub iudice. Mediante questi ultimi, infatti, si è ottenuto un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante rispetto a qualsiasi possibile ambito autorizzatorio del titolare dello ius excludendi alios, vale a dire la conoscenza di conversazioni riservate e finanche l’estromissione dall’account Facebook della titolare del profilo e l’impossibilità di accedervi.

Cassazione penale sez. II, 12/09/2018, n.5748     

Il fatto che non sia stato individuato il soggetto che materialmente abbia operato l’intrusione nel sistema informatico della Poste Italiane con illecito accesso personale al conto della persona offesa, non vale ad escludere la partecipazione, a titolo di concorso ex art. 110 c.p., alla consumazione dei reati di cui agli artt. 615-ter e 640-ter c.p. di colui che sia titolare della carta Poste Pay su cui venivano illegittimamente riversate le somme prelevate dal conto della persona offesa attraverso la tecnica di illecita intromissione in via informatica.

Cassazione penale sez. V, 21/05/2018, n.35792

L’articolo 54-bis del decreto legislativo 30 marzo 2001 n. 165, introdotto dall’articolo 1, comma 51, del decreto legislativo 6 novembre 2012 n. 190, nel testo aggiornato dall’articolo 1 della legge 30 novembre 2017 n. 179, recante disciplina della “segnalazione di illeciti da parte di dipendente pubblico” (whistleblowing), intende tutelare il soggetto, legato da un rapporto pubblicistico con l’amministrazione, che rappresenti fatti antigiuridici appresi nell’esercizio del pubblico ufficio o servizio, scongiurando, per promuovere forme più incisive di contrasto alla corruzione, conseguenze sfavorevoli, limitamento al rapporto di impiego, per il segnalante che acquisisca, nel contesto lavorativo, notizia di un’attività illecita, e ne riferisca al responsabile della prevenzione della corruzione e della trasparenza, al superiore gerarchico ovvero all’Autorità nazionale anticorruzione, all’autorità giudiziaria ordinaria o a quella contabile. La norma, peraltro, non fonda alcun obbligo di “attiva acquisizione di informazioni”, autorizzando improprie attività investigative, in violazione de limiti posti dalla legge (da queste premesse, la Corte ha escluso che potesse invocare la scriminante dell’adempimento del dovere, neppure sotto il profilo putativo, l’imputato del reato di cui all’articolo 615-ter del codice penale, che si era introdotto abusivamente nel sistema informatico dell’ufficio pubblico cui apparteneva, sostenendo che lo aveva fatto solo per l’asserita finalità di sperimentazione della vulnerabilità del sistema).

Cassazione penale sez. VI, 11/01/2018, n.17770

La ricezione di un Cd contenente dati illegittimamente carpiti, costituente provento del reato di cui all’articolo 615-ter del Cp, pur se finalizzata ad acquisire prove per presentare una denuncia a propria tutela, non può scriminare il reato di cui all’articolo 648 del Cp, così commesso, invocando l’esimente della legittima difesa, giusta i presupposti in forza dei quali tale esimente è ammessa dal codice penale. L’articolo 52 del Cp, infatti, configura la legittima difesa solo quando il soggetto si trovi nell’alternativa tra subire o reagire, quando l’aggredito non ha altra possibilità di sottrarsi al pericolo di un’offesa ingiusta, se non offendendo, a sua volta l’aggressore, secondo la logica del vim vi repellere licet, e quando, comunque, la reazione difensiva cada sull’aggressore e sia anche, oltre che proporzionata all’offesa, idonea a neutralizzare il pericolo attuale. Ciò che non può configurarsi nella condotta incriminata, perché la condotta di ricettazione non è comunque rivolta, in via diretta e immediata, nei confronti dell’aggressore e non è, in ogni caso, idonea a interrompere l’offesa altrui, perché la ricezione del Cd di provenienza delittuosa, pur se finalizzata alla presentazione della denuncia difensiva, non risulta strutturalmente in grado di interrompere l’offesa asseritamente minacciata o posta in essere dalla controparte, né a elidere la disponibilità da parte di questa dei dati e dei documenti asseritamente carpiti in modo illegittimo e da fare oggetto della denuncia a fini difensivi.

Cassazione penale, sez. un., 18/05/2017, n. 41210.

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017, n. 10060

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016, n. 11994

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016, n. 14546

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015, n. 13057

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

 Cassazione penale, sez. I, 23/07/2015, n. 36338

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015, n. 32666

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

Cassazione penale, sez. V, 18/12/2014, n. 10121

In tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall’art. 615 ter, comma 3, c.p., per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l’ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella “rete” del sistema bancomat di un istituto di credito privato).

Cassazione penale, sez. V, 31/10/2014, n. 10083.

Nel caso in cui l’agente sia in possesso delle credenziali per accedere al sistema informatico, occorre verificare se la condotta sia agita in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello jus excludendi per delimitare oggettivamente l’accesso, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti.

Cassazione penale, sez. V, 30/09/2014, n. 47105

In tema di accesso abusivo ad un sistema informatico o telematica (art. 615 ter c.p.), dovendosi ritenere realizzato il reato pur quando l’accesso avvenga ad opera di soggetto legittimato, il quale però agisca in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (come, in particolare, nel caso in cui vengano poste in essere operazioni di natura antologicamente diversa da quelle di cui il soggetto è incaricato ed in relazione alle quali l’accesso gli è stato consentito), deve ritenersi che sussista tale condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.

Cassazione penale, sez. VI, 11/07/2014, n. 37240

Integra il reato di accesso abusivo ad un sistema informatico o telematico (ex art. 615-ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso, l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (ex art. 319 c.p.), diventi la “longa manus” del promotore del disegno delittuoso – è in sé “abusivo” e integrativo della fattispecie incriminatrice sopra indicata, in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo (nella specie, l’imputato, addetto alla segreteria di una facoltà universitaria, dietro il pagamento di un corrispettivo in denaro, aveva registrato 19 materie in favore di uno studente, senza che questo ne avesse mai sostenuto gli esami).

 

La rassegna delle più recenti massime relative al reato ex art. 615 quater c.p:

Cassazione penale sez. II, 14/01/2019, n.21987

Il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici è assorbito in quello di accesso abusivo ad un sistema informatico o telematico, del quale il primo costituisce naturalisticamente un antecedente necessario, ove il secondo risulti contestato, procedibile e integrato nel medesimo contesto spaziotemporale in cui fu perpetrato l’antefatto e in danno dello stesso soggetto. 

 

Cassazione penale, sez. II, 03/10/2013, n. 47021

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici e telematici (art. 615 quater c.p.) e non quello di ricettazione la condotta di chi riceve i codici di carte di credito abusivamente scaricati dal sistema informatico, ad opera di terzi e li inserisce in carte di credito clonate poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat.

 

Cassazione penale, sez. VI, 16/07/2009, n. 35930

Integra il reato di cui all’art. 648 c.p. la condotta di chi riceve, al fine di procurare a sè o ad altri un profitto, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, provenienti da delitto, mentre devono ricondursi alla previsione incriminatrice di cui all’art. 12 del d.l. 3 maggio 1991 n. 143, conv. nella l. 5 luglio 1991 n. 197, che sanziona, con formula generica, la ricezione dei predetti documenti “di provenienza illecita”, le condotte acquisitive degli stessi, nell’ipotesi in cui la loro provenienza non sia ricollegabile a un delitto, bensì ad un illecito civile, amministrativo o anche penale, ma di natura contravvenzionale. (Fattispecie relativa all’acquisto di carte di credito contraffatte, in cui la S.C. ha ritenuto configurabile il delitto di ricettazione).

 

Cassazione penale, sez. II, 17/12/2004,  n. 5688

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di cui all’art. 615 quater c.p., la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche. Ne consegue che l’acquisto consapevole a fini di profitto di un telefono cellulare predisposto per l’accesso alla rete di telefonia mediante i codici di altro utente («clonato») configura il delitto di ricettazione, di cui costituisce reato presupposto quello ex art. 615 quater c.p.

 

Cassazione penale, sez. V, 14/10/2003,  n. 44362

Nella condotta del titolare di esercizio commerciale il quale, d’intesa con il possessore di una carta di credito contraffatta, utilizza tale documento mediante il terminale Pos in dotazione, sono ravvisabili sia il reato di cui all’art. 615 ter (accesso abusivo ad un sistema informatico o telematico) sia quello di cui all’art. 617 quater c.p, (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche): il primo perché l’uso di una chiave contraffatta rende abusivo l’accesso al Pos; il secondo perché, con l’uso di una carta di credito contraffatta, si genera un flusso di informazioni relativo alla posizione del vero titolare di essa diretto all’addebito sul suo conto della spesa fittiziamente effettuata, per cui vi è fraudolenta intercettazione di comunicazioni.

 

Cassazione penale, sez. II, 17/01/2003,  n. 3628

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici (art. 615 quater c.p.), la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (c.d. clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche. Ne consegue che l’acquisto consapevole a fini di profitto di un telefono cellulare predisposto per l’accesso alla rete di telefonia mediante i codici di altro utente (“clonato”) integra il delitto di ricettazione (art. 648 c.p.), di cui costituisce reato presupposto quello ex art. 615 quater c.p.

 

La rassegna delle più recenti massime relative al reato ex art. 617 sexies c.p:

Cassazione penale, sez. V, 29/05/2017, n. 39768

La fattispecie incriminatrice di cui all’art. 617-sexies cod. pen. configura un peculiare reato di falso che si caratterizza per il dolo specifico del fine di procurare a sé o ad altri un vantaggio, non necessariamente patrimoniale, o di arrecare ad altri un danno, nonché per la particolare natura dell’oggetto materiale, costituito dal contenuto di comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi. (Nella specie, la Corte di cassazione ha ravvisato la sussistenza del reato “de quo” nel caso della falsificazione della notifica di avvenuta lettura di una e-mail di convocazione per una procedura concorsuale indetta da un ente locale).

 

La rassegna delle più recenti massime relative al reato ex art. 494 c.p:

Cassazione penale sez. II, 20/01/2021, n.8614

Il reato di sostituzione di persona può concorrere formalmente con quello di truffa, stante la diversità dei beni giuridici protetti, consistenti rispettivamente nella fede pubblica e nella tutela del patrimonio (nella specie, l’imputato si era finto un corriere per rubare alcune lettere di vettura provenienti ed utilizzarle per commettere alcune truffe).

Cassazione penale sez. V, 18/12/2020, n.5432

Il delitto di sostituzione di persona è configurabile nella forma del tentativo quando l’agente abbia usato uno dei mezzi fraudolenti previsti dall’art. 494 c.p. senza riuscire nell’altrui induzione in errore, che individua il momento consumativo del reato per il quale non è necessario l’effettivo raggiungimento del vantaggio perseguito dall’agente, attinente al coefficiente psicologico del reato. (Fattispecie relativa alla spendita di una falsa identità per instaurare una relazione sentimentale con la vittima, al fine di farsi elargire somme di denaro).

Cassazione penale sez. II, 11/09/2020, n.26589

Il reato di sostituzione di persona può concorrere formalmente con quello di truffa, stante la diversità dei beni giuridici protetti, consistenti rispettivamente nella fede pubblica e nella tutela del patrimonio.

Cassazione penale sez. II, 20/07/2020, n.29636

Non integra il delitto di sostituzione di persona la condotta di chi si attribuisce una falsa qualifica professionale cui la legge non ricollega alcuno specifico effetto giuridico. (Fattispecie in cui gli imputati, autori di una truffa in concorso, si erano qualificati, rispettivamente, come marinaio e gioielliere).

Cassazione penale sez. V, 13/07/2020, n.25215

Integra il delitto di sostituzione di persona la condotta di colui che crei ed utilizzi una “sim-card” servendosi dei dati anagrafici di un diverso soggetto, inconsapevole, con il fine di far ricadere su quest’ultimo l’attribuzione delle connessioni eseguite in rete, dissimulandone così il personale utilizzo. (Fattispecie relativa all’uso di una pluralità di “sim card”, abusivamente intestate a terzi inconsapevoli, al fine di eseguire a nome degli stessi movimentazioni “on line” su conti correnti, per lo storno delle provviste ivi bonificate).

Cassazione penale sez. V, 06/07/2020, n.22049

Integra il delitto di sostituzione di persona la condotta di colui che crea ed utilizza un “profilo” su “social network”, servendosi abusivamente dell’immagine di un diverso soggetto, inconsapevole, in quanto idonea alla rappresentazione di un’identità digitale non corrispondente al soggetto che ne fa uso (Fattispecie relativa alla creazione di falsi profili “facebook”).

Cassazione penale sez. II, 02/07/2020, n.23760

Integra il delitto di sostituzione di persona di cui all’art. 494 c.p., la condotta di colui che si inserisce nel sistema operativo di un servizio di home banking servendosi dei codici personali identificativi di altra persona inconsapevole, al fine di procurarsi un ingiusto profitto con danno del titolare dell’identità abusivamente utilizzata, mediante operazioni di trasferimento di denaro. (Fattispecie di frode informatica in danno di titolare di carta banco posta, commessa in epoca antecedente alla introduzione del comma terzo dell’art. 640-ter c.p., nella quale la Corte ha ritenuto esente da censure la sentenza che aveva ritenuto il concorso formale dei reati di cui agli artt. 640-ter e 494 c.p.).

Cassazione penale sez. V, 19/11/2019, n.652

Ai fini della configurabilità del reato di sostituzione di persona ex articolo 494 del codice penale attraverso la costituzione di profilo social a nome di altra persona, non basta l’invio di un post per far ritenere l’offensività del fatto sulla presunta ampiezza della diffusione su internet. A dirlo è la Cassazione considerando di lieve entità il fatto di creare un falso profilo social, attribuendosi quindi l’identità di un’altra persona, se il fatto è isolato. Per i giudici di legittimità se commesso una volta soltanto, il fatto può non essere punibile in base all’articolo 131-bis del codice penale che ha introdotto proprio una particolare causa di esclusione della punibilità quando la condotta nel suo complesso viene considerata lieve.

Cassazione penale sez. V, 21/06/2019, n.43569

Per la configurabilità del concorso di persone nel reato è necessario che il concorrente abbia posto in essere un comportamento esteriore idoneo ad arrecare un contributo apprezzabile alla commissione del reato, mediante il rafforzamento del proposito criminoso o l’agevolazione dell’opera degli altri concorrenti e che il partecipe, per effetto della sua condotta, idonea a facilitarne l’esecuzione, abbia aumentato la possibilità della produzione del reato. (Fattispecie in cui la Corte ha ritenuto configurabile il concorso nel delitto di sostituzione di persona di un soggetto che, pur non avendo mai dichiarato il falso nome e la falsa qualità, aveva inequivocabilmente prestato acquiescenza alla altrui dichiarazione falsa, utilizzando ripetutamente in concreto la falsa identità).

Cassazione penale sez. V, 22/06/2018, n.42572

Va condannato chi sostituisce online alla propria identità quella di altri per la generalità degli utenti in connessione, indipendentemente dalla propalazione all’esterno delle diverse generalità utilizzate.

Cassazione penale sez. V, 12/06/2018, n.38911

Integra l’ipotesi di sostituzione di persona la condotta di chi crea un falso profilo Facebook con il quale contatta i conoscenti della vittima per rivelarne l’orientamento sessuale

Cassazione penale sez. V, 08/06/2018, n.33862

Integra il delitto di sostituzione di persona la creazione ed utilizzazione di un profilo su social network, utilizzando abusivamente l’immagine di una persona del tutto inconsapevole, trattandosi di condotta idonea alla rappresentazione di una identità digitale non corrispondente al soggetto che lo utilizza (nella specie, l’imputato aveva creato un profilo Facebook apponendovi la fotografia di una persona minorenne per ottenere contatti con persone minorenni e scambio di contenuti a sfondo erotico).

By Claudio Ramelli© RIPRODUZIONE RISERVATA