La differenza tra frode informatica e truffa: analisi degli elementi costitutivi dei reati previsti dagli artt. 640 ter e 640 c.p.

 

La differenza tra frode informatica e truffa: le disposizioni di riferimento

Le frodi informatiche rappresentano uno dei reati informatici più diffusi[1] al giorno d’oggi. Tale reato, seppur riconducibile alla categoria delle frodi, è differente rispetto alla truffa comune. Per affrontare le problematiche relative alla differenza tra truffa e frode informatica, però, occorre dapprima analizzare brevemente le disposizioni codicistiche che disciplinano i due reati.

Il delitto di frode informatica[2] è previsto dall’art. 640 ter c.p.. Esso punisce chi altera, in qualsiasi modo, il funzionamento di un sistema informatico o interviene senza alcun diritto e con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinente, procurando a sé o ad altri un ingiusto profitto.

Si tratta di un reato comune, come suggerisce la locuzione “chiunque” utilizzata in apertura della disposizione, e quindi di illecito che può essere commesso da qualsiasi soggetto, senza la necessità che ricopra una particolare funzione e qualifica[3].

Con riferimento al bene giuridico tutelato, l’interpretazione prevalente è nel senso di ritenere il reato di natura plurioffensiva, poiché posto a tutela del patrimonio del soggetto danneggiato, della sua riservatezza, nonché della regolarità dei sistemi informatici e della speditezza del traffico giuridico e informatico[4].

Il delitto di truffa, invece, è previsto dall’art. 640 c.p., che punisce chi, con artifizi o raggiriinducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno.

Si tratta di un reato comune che, però, si realizza attraverso una cooperazione artificiosa della vittima in quanto la condotta consiste in una particolare forma di aggressione al patrimonio altrui realizzata attraverso l’inganno, che induce la vittima a concorrere alla causazione dello stesso in ragione dell’errore derivante dalla condotta tenuta dal soggetto agente.

Proprio per questo motivo, la truffa non comporta solamente un danno al patrimonio della vittima, ma anche un pregiudizio alla libertà di autodeterminazione della stessa. Dunque, anche in questo caso ci si trova davanti a un reato plurioffensivo[5].

 

Gli elementi costitutivi e le modalità delle condotte fraudolente

L’art. 640 ter c.p. si riferisce espressamente a due categorie di condotte commissive:

  • l’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico;
  • l’intervento, senza autorizzazione, su dati, informazioni o programmi contenuti in un sistema informatico o telematico.

 

Le condotte di alterazione hanno l’obiettivo di alterare, all’insaputa del titolare del sistema, il corretto e logico funzionamento dello strumento informatico, di modo da asservirlo alla esecuzione di operazioni diverse da quelle programmate e a produrre risultati non voluti dal suo titolare e vantaggiosi per l’agente.

Nell’ambito di queste condotte, poi, è possibile distinguere:

  • l’alterazione o immissione di dati;
  • l’alterazione di software finalizzata alla frode;
  • l’alterazione delle informazioni, intese come correlazione tra dati.

 

L’alterazione, in altri termini, comprende operazioni di manipolazione della componente fisica (hardware) o della componente logica (software) del sistema, funzionali a produrre un diverso processo informatico che comprometta i risultati prodotti o ne comporti, in ogni caso, la distrazione dallo schema predefinito.

La seconda tipologia di condotta, invece, può avere ad oggetto qualunque file registrato nei sistemi informatici o telematici, oppure su supporti ad essi pertinenti e destinati a essere utilizzati sul sistema informatico (ad esempio, hard disk, chiavette USB e memorie esterne), e può concretarsi sia in una condotta espressamente vietata, sia in una condotta che esula dall’autorizzazione concessa ad un determinato soggetto che opera su un sistema informatico o telematico[6].

Con riferimento all’elemento soggettivo, il delitto di frode informatica è punito a titolo di dolo generico, nel senso che, ai fini della sua configurazione, è sufficiente che vi sia, da parte del soggetto agente, la coscienza e la volontà di porre in essere le condotte fraudolente descritte dalla norma incriminatrice, così cagionando ad altri un danno con ingiusto profitto per sé o per altri.

Per quanto riguarda la truffa ex art. 640 c.p., invece, il nucleo centrale della condotta incriminata risiede in un’attività diretta a persuadere con l’inganno, tipizzata nei termini di una induzione mediante artifizi o raggiri, che costituiscono, quindi, requisiti fondamentali nella descrizione della fattispecie in esame.

In particolare, per artifizio si intende, generalmente, la simulazione o dissimulazione della realtà atta ad indurre in errore una persona per effetto della percezione di una falsa apparenza. In altri termini è artifizio ogni comportamento idoneo a far apparire ciò che non esiste, o a nascondere ciò che esiste, e che agisca sulla realtà esterna.

Il termine raggiro invece consiste in una menzogna corredata da ragionamenti idonei a farla scambiare per verità. Entrambi sono mezzi per creare un erroneo convincimento: il primo, però, passa attraverso un camuffamento della realtà esterna; il secondo, invece, opera direttamente sulla psiche del soggetto[7].

 

Lo strumento informatico e l’induzione in errore del soggetto passivo

L’art. 640 ter c.p. è stato introdotto dalla legge 23 dicembre 1993, n. 547 anche con l’obiettivo di superare le problematiche interpretative sorte in relazione all’applicazione del delitto di truffa comune alle fattispecie riconducibili alla categoria delle frodi informatiche.

Infatti, dalla breve analisi delle norme svolta nei paragrafi precedenti, emerge il principale elemento di differenza tra la truffa comune e la frode informatica: nella truffa comune, la condotta delittuosa comporta l’induzione in errore della persona offesa, mentre nella frode informatica essa s’incentra sull’impiego truffaldino dello strumento informatico.

Questa distinzione è stata posta in rilievo nell’applicazione pratica anche dalla stessa giurisprudenza, che non ha mancato di evidenziare che, “a differenza del reato di truffa, nel caso della frode informatica l’attività fraudolenta dell’agente investe non il soggetto passivo, di cui manca l’induzione in errore, ma il sistema informatico di pertinenza della stessa persona offesa che viene manipolato al fine di ottenere una penetrazione abusiva[8].

Si assiste, quindi, alla sostituzione della vittima fisica quale soggetto passivo della condotta con il sistema informatico il che determina una riconfigurazione della struttura del reato.

Un caso particolare di rapporto tra truffa e frode informatica riguarda la cd. alterazione esterna del sistema. Si pensi al caso delle slot machines alle quali viene applicata una scheda elettronica esterna attivabile a distanza e che ne manipola il normale funzionamento. La giurisprudenza, in casi del genere, ha ravvisato sia un’ipotesi di frode informatica, nel caso in cui l’oggetto di manipolazione sia il funzionamento dell’apparecchio nel suo complesso[9], sia di truffa aggravata ai danni dello Stato, ritenendo che l’inserimento di una scheda informatica attivabile a distanza nelle slot machines non incida sul sistema informatico stesso ma funzioni autonomamente condividendo esclusivamente le periferiche di ingresso e uscita[10].

Un’altra particolare questione interpretativa si è posta con riferimento alle truffe online. È il caso del c.d. phishing nel quale l’autore del fatto illecito induce la vittima a fornirgli informazioni personali – quali numeri di carta di credito, dati di accesso al proprio conto bancario o postale, informazioni relative ad account – generalmente mediante l’invio di false e-mail[11].

Per le sue modalità di attuazione tale condotta illecita orbita tendenzialmente intorno alle due figure della frode informatica e della truffa semplice. Inoltre, il legislatore, con la legge 15 ottobre 2013, n. 119, di conversione del d.l. 14 agosto 2013, n. 93, ha introdotto il comma 3 dell’art. 640 ter c.p., che prevede una circostanza aggravante del reato di frode informatica commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. Tale disposizione si occupa, dunque, proprio di punire le frodi informatiche attuate mediante pratiche di phishing.

Pertanto, alla luce delle norme penali oggi applicabili[12], nel caso in cui il soggetto agente sia venuto in possesso delle credenziali digitali della vittima mediante l’invio di false e-mail, link o altre condotte equivalenti si configurerà il reato di truffa secondo lo schema tipico dell’art. 640 c.p.[13]. Ove, viceversa, abbia fraudolentemente operato mediante programmi autoinstallanti sul sistema informatico o telematico della persona offesa, si configurerà il reato di frode informatica aggravato ai sensi del comma 3 dell’art. 640 ter c.p., stante l’alterazione del funzionamento dello strumento informatico o telematico del soggetto passivo[14].

Informazioni

F. Banfi, I reati informatici, in DirittoConsenso, 3 marzo 2023, consultabile al sito I reati informatici – DirittoConsenso.

F. Banfi, Quali sono i reati informatici più diffusi?, in DirittoConsenso, 4 aprile 2023, consultabile al sito Quali sono i reati informatici più diffusi? – DirittoConsenso.

S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021, consultabile al sito La frode informatica – DirittoConsenso.

G. Pica, Reati informatici e telematici, in Dig. pen., Agg. I, Torino, 2000;

G. Amato-V. S. Destito-G. Dezzani-C. Santoriello, I reati informatici. Nuova disciplina e tecniche processuali di accertamento, Padova, 2010;

F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, Milano, 2018;

A. Larussa, Truffa. L’analisi della fattispecie disciplinata dall’art. 640 c.p.: gli elementi costitutivi, le circostanze aggravanti, le pene e il regime processuale, in Altalex, 24 agosto 2017, consultabile al sito https://www.altalex.com/documents/altalexpedia/2017/06/12/truffa ;

M. Iaselli, Il phishing. Guida alla frode finalizzata al furto d’identità degli utenti della rete e suggerimenti per difendersi, in Altalex, 30 aprile 2020, consultabile al sito https://www.altalex.com/guide/phishing;

M. Martorana-Z. Sichi, Phishing: profili civili e penali delle truffe online, in Altalex, 5 luglio 2021, consultabile al sito https://www.altalex.com/documents/news/2021/07/05/phishing-profili-civili-penali-truffe-online.

Cass. pen., sez. II, 11 novembre 2009, n. 44720;

Cass. pen., sez. V, 3 luglio 2012, n. 43729;

Cass. pen., sez. II, 15 aprile 2011, n. 17748;

Cass. pen., sez. II, 10 settembre 2018, n. 48553;

Tribunale Milano, 7 ottobre 2011;

Cass. pen., sez. II, 1° dicembre 2016, n. 54715;

Cass. pen., sez. VI, 20 giugno 2017, n. 41767;

Cass. pen., sez. VI, 5 aprile 2018, n. 21318;

Cass. pen., sez. II, 9 febbraio 2017, n. 10060.

[1] Per un approfondimento in merito ai reati informatici in generale, si veda F. Banfi, I reati informatici, in DirittoConsenso, 3 marzo 2023, consultabile al sito https://www.dirittoconsenso.it/2023/03/03/i-reati-informatici/; Per un approfondimento invece in merito ai reati informatici più diffusi, si veda F. Banfi, Quali sono i reati informatici più diffusi?, in DirittoConsenso, 4 aprile 2023, consultabile al sito https://www.dirittoconsenso.it/2023/04/04/quali-sono-i-reati-informatici-piu-diffusi/.

[2] Per un approfondimento sul reato di frode informatica, si veda S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021, consultabile al sito https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/.

[3] Nondimeno, il comma 2 dell’art. 640 ter c.p. prevede una circostanza aggravante ad effetto speciale che disciplina la commissione del reato da parte di un “operatore del sistema”, ossia quel soggetto che sia stabilmente e ufficialmente preposto all’utilizzo del sistema informatico o telematico in virtù di un rapporto di natura anche privatistica. La dottrina, a proposito dell’esatta individuazione della figura dell’operatore di sistema, si divide tra chi ritiene che possa definirsi tale soltanto l’amministratore del sistema e chi, invece, ammette che anche il semplice addetto o l’operatore qualificato debbano considerarsi operatori di sistema (cfr. sul punto G. Pica, Reati informatici e telematici, in Dig. pen., Agg. I, Torino, 2000, 531). La giurisprudenza, invece, ha qualificato come operatore di sistema colui che, in qualità di operatore, programmatore o analista, deve necessariamente avvalersi del sistema informatico per espletare le mansioni del suo ufficio, utilizzandolo per una finalità diversa da quella ordinaria (cfr. Cass. pen., sez. II, 11 novembre 2009, n. 44720, in Dejure.it).

[4] In questo senso si veda G. Amato-V. S. Destito-G. Dezzani-C. Santoriello, I reati informatici. Nuova disciplina e tecniche processuali di accertamento, Padova, 2010, 104. Diversamente, una parte della dottrina esclude che tra i beni giuridici tutelati vi siano anche il regolare funzionamento e la riservatezza dei sistemi informatici e telematici, stante la presenza degli artt. 635 bis e 615 ter c.p., che puniscono, rispettivamente, il danneggiamento di informazioni, dati e sistemi informatici e l’accesso abusivo ad un sistema informatico e telematico e, quindi, specificamente diretti a proteggere tali beni giuridici (si veda, ad esempio, F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, Milano, 2018, 233). La giurisprudenza, invece, opta per una ricostruzione più generica, riconoscendo che il delitto è posto a presidio «di una pluralità di beni giuridici, individuati, oltre che nella riservatezza e nella regolarità dei sistemi informatici, anche nel patrimonio altrui» (cfr. Cass. pen., sez. V, 3 luglio 2012, n. 43729, in Dejure.it). Si argomenta, infatti, che l’introduzione del reato di frode informatica ha rappresentato il frutto di una precisa scelta del legislatore, volta a porre un rimedio alla emersione di fatti di criminalità informatica e dedicata a colmare una lacuna normativa che poteva ripercuotersi in termini fortemente negativi su vari ed importati aspetti interferenti su diritti di primario risalto. Il bene giuridico tutelato dal delitto di frode informatica, pertanto, non può essere esclusivamente il patrimonio del danneggiato, come pure la collocazione sistematica lascerebbe presupporre, poiché viene evidentemente posta in risalto l’esigenza di salvaguardare la regolarità del funzionamento dei sistemi informatici, nonché la tutela della riservatezza dei dati e, infine, la stessa certezza e speditezza del traffico giuridico, fondata sui dati gestiti dai diversi sistemi informatici (in questo senso, si veda anche Cass. pen., sez. II, 15 aprile 2011, n. 17748, in Dejure.it).

[5] Cfr. sul punto A. Larussa, Truffa. L’analisi della fattispecie disciplinata dall’art. 640 c.p.: gli elementi costitutivi, le circostanze aggravanti, le pene e il regime processuale, in Altalex, 24 agosto 2017, consultabile al sito https://www.altalex.com/documents/altalexpedia/2017/06/12/truffa#_Toc463077854.

[6] Integra, ad esempio, il delitto di frode informatica «nelle forme dell’intervento senza diritto su dati e informazioni contenuti in un sistema informatico, oltre che quello di accesso abusivo ad un sistema informatico, la condotta del dipendente dell’Agenzia delle Entrate che, utilizzando la password in dotazione, manomette la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell’ufficio» (così Cass. pen., sez. II, 6 marzo 2013, n. 13475, in Dejure.it).

[7] Cfr. sul punto F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, cit., 212-213, in cui si afferma che non è necessaria una messa in scena alteratrice della realtà esterna, ma è sufficiente anche una menzogna ingannatrice, purché sorretta da adeguata argomentazione. Non basta, al contrario, il mero silenzio, né il silenzio violatore dell’obbligo giuridico di informare o del principio della buona fede. Allo stesso modo, non è sufficiente lo sfruttamento di un preesistente stato di errore della vittima e neppure il semplice l’approfittamento dell’ignoranza altrui, poiché non costituiscono un raggiro.

[8] In questo senso si veda, ad esempio, Cass. pen., sez. II, 10 settembre 2018, n. 48553, in Dejure.it.

[9] Si vedano, per esempio, Cass. pen., sez. II, 1° dicembre 2016, n. 54715 e Cass. pen., sez. VI, 20 giugno 2017, n. 41767, in Dejure.it.

[10] Cfr. Cass. pen., sez. VI, 5 aprile 2018, n. 21318, in Dejure.it.

[11] Per un approfondimento sul tema, si veda M. Iaselli, Il phishing. Guida alla frode finalizzata al furto d’identità degli utenti della rete e suggerimenti per difendersi, in Altalex, 30 aprile 2020, consultabile al sito https://www.altalex.com/guide/phishing.

[12] Cfr. sul punto M. Martorana-Z. Sichi, Phishing: profili civili e penali delle truffe online, in Altalex, 5 luglio 2021, consultabile al sito https://www.altalex.com/documents/news/2021/07/05/phishing-profili-civili-penali-truffe-online.

[13] Eventualmente da imputarsi in concorso con altre fattispecie delittuose, quali, per esempio, il reato di sostituzione di persona (art. 494 c.p.) e quello di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.). In merito all’applicazione di tali norma, si veda, anche se risalente, Tribunale Milano, 7 ottobre 2011, in Dejure.it: «chi utilizza tecniche di “phishing” per ottenere, tramite artifici e raggiri e inducendo in errore l’utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti on line) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie, può rispondere dei delitti di cui agli art. 494 (sostituzione di persona), 615 ter (accesso abusivo a sistemi informatici o telematici) e 640 c.p. (truffa)».

[14] Inoltre, la frode informatica potrà costituire reato presupposto di altre violazioni di carattere più grave, come nel caso del riciclaggio. Per un’applicazione, si veda Cass. pen., sez. II, 9 febbraio 2017, n. 10060, in Dejure.it, ove si ammette che, in relazione alle operazioni di phishing, è configurabile anche il reato di riciclaggio, non potendo quest’ultimo ritenersi assorbito nel reato di frode informatica.