La frode informatica

La frode informatica è uno dei reati informatici che si realizza con maggiore frequenza: nel periodo tra il 1 agosto 2019 e il 31 luglio 2021 si è registrato un aumento percentuale pari al 10,7%

Che cos’è la frode informatica?

La frode informatica è punita dall’art. 640 – ter del nostro codice penale, il quale prevede la reclusione da 6 mesi a 3 anni e la multa da € 51 a € 1.032 per colui che “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinente, procura a sé o ad altri un ingiusto profitto con altrui danno”.

È stato l’art. 10 dalla legge 547/1993 ad inserire tale reato all’interno del codice penale. Si tratta di un reato in cui l’elemento informatico rappresenta il mezzo attraverso il quale si compie la condotta incriminata dalla norma.

Come si realizza il reato di frode informatica?

Dal punto di vista oggettivo, l’elemento che costituisce l’evento del reato che ne realizza la consumazione è il conseguimento di un ingiusto profitto[1].

La frode informatica, tra l’altro, è un reato a forma libera: non è prevista la modalità attraverso la quale deve avvenire l’intervento non autorizzato su un sistema informatico. Tuttavia, deve consistere necessariamente in un’alterazione del funzionamento del sistema ovvero in un intervento non autorizzato su dati, programmi o informazioni.

Infine, l’elemento soggettivo richiesto è il dolo, che consiste nella consapevolezza e volontà dell’agente di porre in essere le condotte tipiche previste dalla fattispecie, procurando a sé o ad altri un ingiusto profitto con altrui danno.

Frode informatica e truffa: due fattispecie a confronto

Prima che la frode informatica fosse introdotta nel nostro codice penale, i giudici, accertando caso per caso se i dati che venivano manipolati fossero stati successivamente oggetto di un controllo umano, verificavano se poteva trattarsi di una truffa. Ciò in quanto, solo in questi casi, poteva dirsi che il risultato dell’elaborazione fosse la conseguenza dell’aver indotto una persona in errore.

Era necessario questo passaggio logico perché l’articolo dedicato alla truffa recita: «Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito».

Si comprende dunque, che l’introduzione del reato di frode informatica si è resa necessaria, in quanto risultava difficoltoso attrarre nella sfera di punibilità della truffa tutte quelle ipotesi in cui vi fosse la manomissione di un elaboratore e non l’induzione in errore di una persona fisica.

Come emerge dalla lettura della norma, affinché un soggetto sia passabile di sanzione, occorre che induca “taluno” in errore, attraverso l’inganno e procurando a sé o ad altri un ingiusto profitto con altrui danno.

Considerare il computer come indotto in errore, al pari di un individuo, risulterebbe frutto di una forzatura.

L’art. 640 – ter ha quindi riproposto lo stesso evento tipico della truffa, ossia l’aggressione al patrimonio della vittima, tuttavia, non ha introdotto il riferimento all’induzione in errore della vittima, il quale presuppone un rapporto interpersonale fra chi agisce e la vittima, impossibile da riprodursi nel caso in cui l’atto di disposizione patrimoniale dipenda da un’operazione automatica.

Come confermato dalla Cassazione infatti: “il delitto di frode informatica di cui all’art. 640-ter c.p. ha la medesima struttura ed i medesimi elementi costitutivi della truffa, dalla quale si differenzia solamente perché l’attività fraudolenta dell’agente investe non la persona, di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza di quest’ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui.”[2] .

Le modalità della condotta fraudolenta

Tale figura di reato prevede due differenti ipotesi di condotta fraudolenta:

la prima, si realizza «alterando in qualsiasi modo il funzionamento di un sistema informatico^[3] o telematico^[4].»

Secondo la Cassazione “per alterazione del funzionamento di un sistema informatico o telematico deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei dati e, quindi, sia sull’hardware che sul software.”[5].

Tale alterazione può essere ottenuta:

intervenendo sulla componente logica del computer, cioè su programmi, dati e informazioni;
intervenendo sulla componente fisica, ossia sull’hardware, cioè sulle parti elettroniche, meccaniche e magnetiche che ne consentono il funzionamento.

la seconda, si realizza «intervenendo senza diritto su dati, informazioni o programmi».

Per “intervento senza diritto” s’intende ogni azione in grado di produrre una modifica ai regolari processi svolti dal computer, che avviene senza il consenso del titolare dei dati, informazioni e programmi, oltre che con una modalità di azione non consentita dalla legge.

L’intervento senza diritto può, quindi, avvenire:

sui dati informatici, ossia qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione[6].
suiprogrammi, cioè successioni di istruzioni per l’elaboratore espresse in forma di dati.
sulle informazioni, concetto che risulta problematico da definire.

Il loro richiamo permette di fare venire in rilievo anche una condotta fraudolenta che consiste, per esempio, nella manipolazione di informazioni contenute in un documento cartaceo, tale da condizionare (in un secondo momento) il risultato di un processo di elaborazione dati. Questo in quanto quelle informazioni, nel momento in cui saranno inserite nel pc, verranno tradotte in dati. Possiamo definire informazioni, quelle espresse in un linguaggio alfanumerico comprensibile all’uomo, che non siano ancora state convertite in dati. Occorre tuttavia fare una precisazione: tali informazioni devono essere pertinenti ad un sistema.

Per essere imputabili del reato di frode informatica, quindi, occorre intervenire su dati, informazioni e programmi e modificarli.

Ma cosa accade se la frode si realizza inserendo dei dati che siano nuovi e falsi oppure altrui ma non modificati?

Per quanto riguarda i dati nuovi, affinché si intenda realizzata la condotta di cui all’art. 640 – ter c.p., occorre spostare l’attenzione ad un momento successivo rispetto a quello in cui avviene l’effettivo inserimento del dato, ossia quello in cui il dato nuovo, venendosi ad aggiungere a quelli già esistenti nella memoria del pc, li modifica.
Per ciò che attiene ai dati altrui, pensiamo al sistema di home banking. Colui che inserisce nel portale le credenziali altrui, di cui è illegittimamente in possesso, avvia un processo di elaborazione dati che non presenta nulla di irregolare: i dati sono corretti e non sono stati modificati. Tuttavia, colui che li ha inseriti non è legittimato a effettuare delle transizioni finanziarie e nel momento in cui effettua un’operazione economica i dati vengono modificati (ad esempio, la situazione del conto). Anche in questo caso, quindi, è necessario spostare l’attenzione ad un momento successivo rispetto a quando il dato viene introdotto per poter ricomprendere tali comportamenti all’interno della frode.

Circostanze aggravanti

Le circostanze aggravanti previste per il reato di frode informatica sono indicate al 2° e 3° comma dell’art. 640 – ter.

La pena è della reclusione da 1 a 5 anni e della multa da € 309 a € 1.549 qualora la frode informatica sia commessa:

abusando della qualità di operatore del sistema[7].L’aumento di pena per un operatore del sistema è giustificato dai maggiori poteri a lui attribuiti in quanto, a differenza di un utente qualsiasi, può con maggiore facilità intervenire su dati, programmi ed informazioni, i quali sono ancora più vulnerabili.
a danno dello Stato o di altro ente pubblico o col pretesto di fare esonerare taluno dal servizio militare.

La pena è della reclusione da 2 a 6 anni e della multa da € 600 a € 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.

I fenomeni di indebita sostituzione nei processi di identificazione dell’utente informatico possono avvenire tramite username e password, smartcard o informazioni biometriche.

Ma quando si parla di identità digitale, a cosa ci si riferisce?

La nozione più condivisa di identità digitale si concentra sull’insieme delle caratteristiche essenziali e uniche di un soggetto informatico ovvero la rappresentazione virtuale dell’identità reale.

Merita un richiamo l’art. 30-bis del decreto legislativo n. 141/2010 in materia di credito al consumo, il quale, per furto d’identità intende: a) l’impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto; b) l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto, nell’ambito di quelli di cui alla lettera a).

Reati di phishing e smishing

Il phishing consiste nell’invio casuale di e-mail ad un elevato numero di destinatari che, nel messaggio, riproducono la grafica e i loghi ufficiali di siti bancari, postali, oppure di noti siti e-commerce e captano dati personali della vittima, che, convinta di accedere al sito o al proprio conto, inserisce i propri dati, la password o i numeri di carte di credito necessari per autorizzare i pagamenti.

Talvolta, i dati possono venire captati tramite l’utilizzo di software autoinstallanti che sono capaci di registrare e trasmettere clandestinamente i dati mentre l’utente usa il proprio computer.

Le e-mail di phishing presentano spesso le seguenti caratteristiche, che le rendono facilmente individuabili:

indirizzo del mittente con un dominio differente rispetto ai classici .it o .com;
oggetto del messaggio generico e poco chiaro;
errori di battitura o di grammatica contenuti nel testo del messaggio;
avvisi di urgenza rispetto alla scadenza della password;
contengono link fasulli.

Lo smishing (dalla combinazione delle parole SMS e phishing) è, invece, il tentativo da di acquisire informazioni personali, finanziarie o di sicurezza tramite SMS.

Conclusione e piccoli accorgimenti per evitare di essere frodati

Nel periodo tra il 1 agosto 2019 e il 31 luglio 2021, così come emerge dal Dossier Viminale, pubblicato a seguito della riunione del Comitato nazionale per l’ordine e la sicurezza pubblica (Cnosp) del 15 agosto, si è registrato un aumento percentuale pari al 10,7% dei reati di frode informatica[8].

Gli istituti bancari, per combattere le frodi e per rendere più sicuro l’utilizzo delle carte di credito, hanno previsto alcuni servizi utili per i possessori di carte di credito, come:

l’invio di SMS che indicano l’importo e il negozio presso cui si sta effettuando un acquisto;
la previsione di una password da utilizzare ogni volta che si deve effettuare un acquisto on line;
la creazione di una carta virtuale “usa e getta” che genera un IBAN e un codice di sicurezza temporanei validi solo per quell’acquisto.

Degli accorgimenti necessari, che possono scongiurare il pericolo di essere frodati online, possono essere:

non effettuare acquisti suggeriti da e-mail non richieste;
digitare direttamente nell’apposita barra il sito che si intende visitare;
controllare le e-mail sospette facendo attenzione all’indirizzo, al testo e all’oggetto dell’email;
non salvare password o username sul computer o su dispositivi online;
non rispondere i messaggi contenuti nello Spam;
fare acquisti online utilizzando carte di credito ricaricabili.

Informazioni

Bibliografia

Cybercrime, Alberto Cadoppi, Stefano Canestrari, Adelmo Manna, Michele Papa, UTET Giuridica, 2019;

Codice penale;

Diritto dell’informatica, Francesco Delfini, Giusella Finocchiaro, UTET Giuridica, 2014;

Diritto penale. Parte speciale Vol. 2, I delitti contro il patrimonio, Giovanni Fiandaca ed Enzo Musco, Zanichelli, 2021.

https://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=1993-12-30&atto.codiceRedazionale=093G0633&atto.articolo.numero=0&atto.articolo.sottoArticolo=1&atto.articolo.sottoArticolo1=10&qId=9435e3f4-b2ab-4508-b06a-5b49deabd21d&tabID=0.7295504731477636&title=lbl.dettaglioAtto

https://www.interno.gov.it/sites/default/files/2021-08/sicurezza_e_ordine_pubblico_14.08.2021.pdf

Note

[1] È opinione consolidata in dottrina e in giurisprudenza che per ingiusto profitto si intenda una qualunque utilità o vantaggio, sia di natura patrimoniale sia di natura non patrimoniale.

[2] Cassazione penale, Sez. II, 05.02.2020, n. 10354.

[3] Così come definito dalla Convenzione di Budapest del 2001: “indica qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati”.

[4] Si riferisce ad un sistema informatico connesso ad una rete di trasmissione dati.

[5] Cassazione penale, Sez. II, 06.03.2013, n. 13475.

[6] Definizione contenuta nella Convenzione di Budapest del 2001.

[7] Non esiste una qualifica tecnica univoca di “operatore di sistema”, né è data una definizione legislativa o normativa. La Corte di Cassazione, nel 2009, ha definito operatore del sistema “colui il quale in qualità di operatore, analista o programmatore deve necessariamente avvalersi del sistema informatico per espletare le mansioni del suo ufficio e lo utilizza per una finalità diversa da quella legittimante”.

[8] Per un approfondimento sulla delinquenza minorile, anche con riguardo ai crimini informatici, come la frode informatica: http://www.dirittoconsenso.it/2021/04/06/delinquenza-minorile-e-covid-19/

Sara Della Piazza

Ciao, sono Sara. Ho studiato presso l'Università degli Studi di Milano Bicocca e ho conseguito la laurea in Giurisprudenza con una tesi in diritto penale dell'informatica dal titolo "Rivoluzione digitale e diritto d'autore: evoluzione normativa, violazioni online e strumenti di protezione". Attualmente svolgo la pratica forense presso uno studio legale. Sono una persona dinamica, sempre alla ricerca di stimoli e appassionata del diritto in tutte le sue forme.