Computer crimes: Il reato di frode informatica
I reati informatici, o computer crimes, rappresentano sicuramente il risvolto negativo del progresso tecnologico in ambito informatico e telematico.
Salvo precedenti sporadici interventi legislativi in materia, possiamo affermare che solo con Legge 23 dicembre 1993 n. 547 “Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura penale in tema di criminalità informatica” si prendono in considerazioni tali fattispecie delittuose, ponendo quindi le basi per una vera e propria lotta contro i crimini informatici.
Con la predetta normativa, il legislatore si è occupato di intervenire per reprimere le frodi informatiche, le falsificazioni, nonché tutelare l’integrità dei dati e dei sistemi informatici e la riservatezza dei dati e delle comunicazioni informatiche.
In tale articolo Vi parlerò dell’intervento legislativo in materia di frodi informatiche, riservando compiuta analisi in successivi articoli per quanto concerne le previsioni normative riguardanti la repressione delle falsificazioni, nonché la tutela dei dati e dei sistemi informatici e la riservatezza dei dati e delle comunicazioni informatiche.
All’interno del titolo VIII del Codice Penale “Dei delitti contro il patrimonio”, Capo II “Dei delitti contro il patrimonio mediante frode”, con Legge n. 23 dicembre 1993 n. 547 è stato introdotto l’art. 640 ter relativo alla Frode informatica ai sensi del quale:
“Chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro.
La pena è della reclusione da uno a cinque anni e della multa da 309 euro a 1.549 euro se ricorre una delle circostanze previste dal numero 1 del secondo comma dell’art. 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno ad uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante”.
Si tratta quindi di un’estensione del reato di truffa disciplinato dall’art. 640 codice penale ai sensi del quale:
“Chiunque, con artifici e raggiri, inducendo taluno in errore, procura sé od ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da € 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da € 309 ad euro 1.549:
1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o con pretesto di far esonerare taluno dal servizio militare;
2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’Autorità;
2 bis) se il fatto è commesso in presenza della circostanza di cui all’art. 61 n. 5.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o un’altra circostanza aggravante”.
Il legislatore ha ravvisato la necessità di introdurre il reato di frode informatica in quanto tale fattispecie delittuosa non avrebbe potuto essere ascritta al reato di truffa, per l’evidente ed inconfutabile insussistenza dell’elemento previsto invece per tale ultimo delitto e cioè l’induzione, con artifici e raggiri, in errore della parte offesa.
La fattispecie della frode informatica individua le seguenti condotte criminose alternative:
- l’alterazione “in qualsiasi modo” del “funzionamento di un sistema informatico o telematico”;
- l’intervento “senza diritto con qualsiasi modalità, su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti”.
Il legislatore ha poi precisato che l’alterazione può avvenire “in qualsiasi modo” e l’intervento “con qualsiasi modalità” e quindi si tratta di fattispecie alternative, entrambe a condotta libera che non richiedono particolari modalità di esecuzione.
Il reo deve intervenire “senza diritto” e quindi senza autorizzazione del titolare o senza autorizzazione eventualmente prevista dalla legge.
In entrambi i casi il bene giuridico leso è il patrimonio: di qui, quindi, la collocazione di tale fattispecie delittuosa tra i reati contro il patrimonio.
Il delitto di frode informatica si consuma allorquando l’agente procura a sé o ad altri un ingiusto profitto con altrui danno e quindi del tutto irrilevante il luogo ove si è verificato l’evento, nonché il momento in cui risulti posto in essere l’alterazione o l’intervento senza diritto sul sistema informatico. Il reato risulta quindi commesso nel luogo ove il soggetto detiene effettivamente quel bene.
Un esempio concreto di frode informatica è il phishing, che altro non è che un’attività finalizzata ad estorcere dati. Tale attività si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato appositamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Un altro esempio di frode informatica è rappresentato dalle tipologie di virus che hanno la finalità di carpire dati di accesso a servizi on-line al fine di ottenere profitti (come ad esempio “financial malware”, “trojan banking” e ransomware). Le modalità di infezione sono diverse, la più diffusa è il classico allegato al messaggio di posta elettronica celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.