E’ aggravata la frode informatica dall’indebito utilizzo dell’identità digitale perpetrata con l’utilizzo illecito delle credenziali del banking online.

Segnalo la recente sentenza numero 40862/2022 – depositata il 28/10/2022, resa dalla sezione seconda penale della Corte di Cassazione che si è pronunciata sulla sussistenza o meno dell’aggravante dell’indebito utilizzo dell’identità digitale per il reato di frode informatica, quando l’autore del reato ha operato sul conto corrente online dell’ignaro titolare persona offesa dal reato.

La Suprema Corte ha ritenuto sussistente l’aggravante di cui all’art. 640 ter comma 3, cod. pen. disattendendo la tesi difensiva secondo la quale l’utilizzo illecito delle password dell’avente diritto ad accedere al conto corrente telematico non richiedeva la spendita dell’identità digitale richiesta dalla norma incriminatrice.

L’imputazione provvisoria ed il giudizio cautelare personale.

Dalla lettura della sentenza in commento si ricava che il Tribunale del Riesame di Venezia aveva rigettato l’istanza ex art. 309 c.p.p. proposta dall’indagato avverso il provvedimento custodiale emesso dal Gip in sede applicando la misura degli arresti domiciliari in relazione ai delitti di cui agli artt. 110, 640ter, comma 3, cod. pen. ; 497 bis, comma 2, cod. pen; 648 ter.1 cod. pen. e 648 cod. pen..

Il ricorso per cassazione ed il principio di diritto.

Contro l’ordinanza resa dal Collegio cautelare di Venezia interponeva ricorso per cassazione la difesa dell’imputato che articolava plurimi motivi di ricorso per denunciare vizio di legge e di motivazione del provvedimento impugnato in relazione a tutte le ipotesi di reati oggetto di incolpazione.

Per quanto qui di interesse, con una articolazione difensiva, veniva censurato il capo dell’ordinanza che aveva ritenuto sussistente la frode informatica aggravata contestandone in fondamento giuridico atteso che per accedere alla piattaforma del banking on -line non era richiesta l’autenticazione dell’identità digitale ma solo le password personali di acceso.

La Corte regolatrice ha rigettato il ricorso.

Di seguito si riportano i passaggi tratti dal costrutto argomentativo della sentenza in commento di interesse per la presente nota:

“Ad esiti reiettivi deve pervenirsi anche in relazione alle censure svolte nel settimo motivo in punto di qualificazione giuridica dei fatti contestati al capo c), dubitando il difensore della ravvisabilità nella specie dell’aggravante di cui al comma 3 dell’art. 640ter cod. pen.

In particolare opina il ricorrente che non può configurarsi l’indebito utilizzo dell’altrui identità digitale nell’accesso al conto corrente della p.o. mediante l’uso di credenziali carpite con l’inganno.

Le considerazioni difensive in punto di definizione a fini penali del concetto di identità digitale non persuadono.

L’art. 9 D.L. 93/2013, convertito con modif. nella L. 119/2013, ha introdotto il comma dell’art. 640ter cod. pen. che prevede una circostanza aggravante ad effetto speciale del delitto di frode informatica allorché il fatto ” è commesso con furto o indebito utilizzo dell’identità digitale”.

Il legislatore non ha fornito alcuna definizione dell'”identità digitale”, concetto utilizzato in plurime e diversificate accezioni.

La dottrina ha evidenziato come la traslazione in sede penale di definizioni tratte da fonti esterne, quali quella contenuta all’art. 1 comma 1, lett. u quater, del d.lgs 82/2005 ovvero quella introdotta ai fini della creazione del Sistema pubblico per la gestione delle identità digitali dei cittadini e imprese, di cui al DPCM del 24/10/2014, trova un evidente ostacolo nel fatto che si tratta di concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente.

L’Ufficio del Massimario nella relazione alla legge del 21/10/2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che “L’identità digitale è comunemente intesa come l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett. u-ter del d.lgs.7 marzo 2005 n. 82) per l’appunto nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”.

Sebbene si tratti di un concetto attendibilmente destinato ad una più esatta perimetrazione per effetto dell’elaborazione dottrinaria e giurisprudenziale, non è revocabile in dubbio che la tesi difensiva che pretende di limitare l’identità digitale alle procedure di validazione adottate dalla P.A. ( SPID, CIE ,firma digitale),debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita on line, è destituita di giuridico fondamento in quanto si pone in rotta di collisione con la constatazione empirica circa l’esistenza di diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale, e con la ratio legis, intesa a rafforzare la fiducia dei cittadini nell’utilizzazione dei servizi on-line e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumo mediante il furto di identità”.