Il reato di frode informatica dalla sostituzione di identità digitale nella legge di conversione del decreto n. 93 del 2013

La legge di approvazione del decreto n. 93 del 2013 – passato alle cronache con la cacofonica denominazione per il contrasto del femminicidio – si rivela, anche alla prima lettura, un atto complesso e variegato. Infatti, conta diverse previsioni – in materie prive di alcun evidente collegamento (che non sia l’emergenza – per casi  che richiedevano – a parere dei proponenti un’impellente legiferazione. Non è questa la sede per introdurre una discussione critica su questo tipo di atti meticcci , che in unico corpo disciplinano fenomeni tra loro non apparentati. Pare eloquente considerare che in quest’unico corpo si tratta: delle aggravanti dei maltrattamenti in famiglia; di norme procedurali per agevolare la persecuzione di questi reati, di provvedimenti urgenti sul terremoto o sui Vigili del Fuoco, di una nuova aggravante del reato di furto, manifestazioni sportive e contrasto alle rapine, del cyberbullismo ed, infine l’inserzione della nuova circostanza aggravante della frode informatica, ora in commento.

2. L’art. 9 del decreto legge prevedeva testualmente: “1. All’art. 640 ter del codice penale, sono apportate le seguenti modificazioni: a) dopo il secondo comma, è inserito il seguente: <la pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti> b) all’ultimo comma dopo le parole <di cui al secondo> sono inserite le seguenti <di cui al terzo> “. Segue il comma 2 (poi divenuto legge) per il quale “all’art. 24 bis, comma 1 del decreto legislativo 8 giugno 2001, n. 231 le parole <e 635 quinquies> sono sostituite dalle seguenti: <, 635 quinquies, e 640 ter, terzo comma> e dopo le parole <codice penale> sono aggiunte le seguenti: <nonché dei delitti di cui all’art. 55, comma 9 del decreto legislativo 21 novembre 2007, n. 231, e di cui alla parte II, Titolo II del decreto legislativo 30 giugno 2003, n. 196”.

Viene, dunque, introdotta una nuova fattispecie aggravante della frode informatica alla quale (già nella previsione del decreto) fa da corollario – come ormai diventato inveterato uso –la previsione della responsabilità amministrativa degli enti per la sola circostanza stessa (oltre che per altri delitti non affini previsti dall’art. 55, co. 9, d.l. 21.11.07 n. 231 e dalla parte III, titolo III, Capo II del  Codice della privacy). L’ultimo comma non è stato convertito.

 

3. Vale osservare che la legge non si sottrae alle critiche proprie dei provvedimenti di conversione di decreti d’urgenza che , come questo, assemblano materie eterogenee.

E’, innanzitutto, da censurare che in una materia così delicata, come i maltrattamenti in famiglia e nella congerie di altri fenomeni trattati si sia adottato lo strumento decreto legge, incorrendo nella tentazione ormai frequente di ricorrere al provvedimento d’urgenza, per il quale può dubitarsi (nonostante il contrario giudizio) della sussistenza  dei presupposti. Uno sguardo altrettanto sfavorevole destino, anche, alla miscellanea di argomenti trattati nel testo. A mio parere, sarebbe stato maggiormente opportuno rimettere al Parlamento un unico decreto per il tema principale: il femminicidio e redigere altri testi per le diverse ed eccentriche situazioni disciplinate ora congiuntamente. Ad esempio, le norme sulla criminalità telematica: il cyberbullismo e la frode con sostituzione d’identità digitale avrebbero forse meritato separata ed autonoma considerazione.

 

4. Tanto premesso, in via generale, la circostanza dell’art. 640 ter è stata introdotta per aggravare, in maniera alquanto severa (va rilevato) un fenomeno in via di espansione sul web: le frodi informatiche  con sostituzione d’identità digitali false od indebitamente sostituite. L’illecito delle sostituzioni di identità digitale si è andato allargando a dismisura, anche se spesso arrestato allo stadio del tentativo. Non possiedo statistiche aggiornate, ma credo che una larga percentuale di utenti di posta elettronica riceva, anche quotidianamente, tentativi di phishing dei propri dati o subisca scam (furto di dati informatici sensibili, come password) da parte di soggetti che operano hackeraggio, utilizzano account di posta di Banche, assicurazioni, carte di credito al fine di ottenere i dati relativi a conti, accounts o strumenti di pagamento e poterli utilizzare per ottenerne profitti indebitti. Indipendentemente dal fine preposto, la giurisprudenza del S. C. si era occupata dell’identità digitale ed aveva affermato che questa, nei suoi aspetti individualizzanti tipici del web (come nickname o simili) costituiva componente del reato di sostituzione di persona previsto dall’art. 494 cod. pen..

Senza dubitare che il fenomeno sia certamente illecito ed in via di espansione, nonché oltremodo pericoloso per numerosi interessi giuridici ed economici, mi viene spontaneo interrogarmi se lo strumento prescelto sia idoneo ed adeguato a sanzionarlo, per tre ordini di ragioni.

In primo luogo ,  la sostituzione d’identità digitale accompagna truffe di natura ordinaria (ex art. 640 cod. pen.). E’ infatti complesso prevedere che il fatto si coniughi con la fattispecie strutturata della frode informatica che, invece di affidarsi all’inganno sull’identità, si attua mediante manipolazioni del sistema o dei programmi. Se ciò risultasse confortato dalle statistiche, verrebbe meno la stessa necessità dell’aggravante. A questa prima osservazione ne segue una seconda: se così fosse, la nuova aggravante sarebbe stata più consono  accessorio del reato di truffa comune.

Infine, non si intende quale maggiore carica lesiva sussista fra la sostituzione ordinaria di persona – reato capace di produrre ingenti danni anche al di fuori di ambienti telematici – rispetto al furto d’identità digitale che forse ha soltanto maggiore capacità diffusiva per i mezzi del web.

Ritengo, perciò, che la previsione da un canto rischi di rimanere lettera morta e dall’altro lasci un vuoto di tutela per la truffa comune (e non informatica) ottenuta attraverso la sostituzione d’identità digitale.

Ove le osservazioni svolte fossero confortate dalla realtà processuale, la legge si paleserebbe affrettata e non attentamente meditata, avendo comunque prodotto delle discrasie sul profilo del dosaggio sanzionatorio in fenomeni illeciti dotati di apri intensità offensiva.

Un’ultima osservazione, mi pare opportuno, fuggendo dalla prospettiva modaiola, l’aver escluso la responsabilità amministrativa degli enti prevista nel decreto soltanto per il delitto aggravato – che nelle frodi informatiche costituisce comunque un modello di margine – e non per il reato principale.

Un commento al testo provvisorio, CORRIAS LUCENTE Il cyberbullismo nel decreto legge n. 93 del 2013 in Questa Rivista, agosto 2013.

Il decreto riguarda la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio e l’art. 55 contiene le sanzioni penali per la violazione degli obblighi di identificazione, la mancanza di informazioni, di registrazione, di comunicazioni per operazioni tipizzate dal decreto e l’uso indebito di carte di pagamento.

E’ il Codice della privacy, vengono tutelate con la responsabilità amministrativa tutti i reati previsti, sia quelli sostanziali come l’indebito trattamento o divulgazione dati, sia quelli strumentali a tutela delle prerogative del Garante della privacy.

Da ultimo: Cass., Sez. V penale 28 novembre 2012, n. 18826, con nota di commento in Questa Rivista, 23 luglio 2013, CORRIAS LUCENTE, Il reato di sostituzione di persona integrato con la diffusione dell’utenza cellulare attraverso un nickname; Cass., Sez. III, 15 dicembre 2011, n. 12479 partecipazione ad aste ondine con pseudonimo; Cass., Sez. V, 8 novembre 2007, n. 46674).falso account creato per far erroneamente credere che una persona fosse disponibile ad incontri a scopo personale.