INTRODUZIONE: QUALI SONO LE FRODI BANCARIE OGGI?

Nello scenario degli ultimi anni sono emerse diverse e nuove tipologie di frodi attraverso le quali gli autori delle stesse inducono l’utente a fornire dati riservati a mezzo telefonate, sms, e-mail, malware ovvero accesso forzato da remoto al fine di ottenere un profitto patrimoniale. Tra le frodi online di ultima generazione è possibile rilevare: il sim swapping, il man in the browser, il phishing, il vishing, e lo spoofing.

COS’È IL SIM SWAPPING?           

Nonostante non sia precisamente una novità, il sim swapping è una frode attuata sfruttando una tecnologia nata per esigenze lecite. Occorre partire dalla premessa che la sim fisica è associata al numero di telefono. Tuttavia tale univocità non è senza eccezione, infatti è possibile trasferire da una sim card a un’altra questa corrispondenza con il numero di telefono (si pensi ad esempio ai casi di malfunzionamento o rottura della sim card ovvero cambio di provider telefonico con portabilità del medesimo numero). Su tali presupposti il soggetto autore del sim swapping clona il numero di telefono del legittimo proprietario e ottiene accesso agli account (conti bancari, wallet di criptovalute, profili social, cloud di backup) di quest’ultimo superando l’autenticazione a due fattori (2FA) ampiamente diffusa. L’autenticazione a due fattori si riferisce al requisito di due diverse credenziali per l’autenticazione (ad es. password + token fisico, ovvero password + token inviato tramite sms).Con la diffusione delle criptovalute tale pratica fraudolenta si è ulteriormente diffusa in quanto spesso l’accesso illecito ad alcuni di questi wallet ha comportato furti di milioni di euro. Inoltre, in considerazione della metodologia avanzata della truffa, è notevolmente difficoltoso provare il dolo o la colpa grave dell’utente, infatti l’orientamento prevalente vede l’intermediario quale responsabile del danno cagionato all’utilizzatore, insieme all’operatore telefonico (cfr., tra le altre, A.B.F. – Collegio di Roma, decisione n. 9504/2020). Ciononostante, una recente sentenza del Tribunale di Milano n. 3295/2022, in tema truffa con clonazione di sim card, ha escluso la responsabilità del prestatore del servizio di pagamento, ferma restando la responsabilità dell’operatore telefonico.

COS’È IL FENOMENO DEL “MAN IN THE BROWSER”?

Questa tipologia di frode aggredisce il client dell’utilizzatore per intercettare (sniffing) e modificare (tampering) il traffico ricevuto e inviato dal server, compromettendo il sistema operativo e il browser attraverso un trojan. L’interposizione del malware è in grado di operare tra il sistema centrale dell’intermediario e quello del singolo utente, pertanto l’accesso al conto dell’utilizzatore non avviene con l’acquisizione dei dati che quest’ultimo inavvertitamente fornisce a seguito di raggiro, bensì direttamente dal sistema informatico dell’istituto intermediario. Nell’ipotesi dello sniffing, cioè l’intercettazione dei dati senza alcuna modifica, l’applicazione web non ha possibilità di intervento se non ex post quando il soggetto agente proverà ad effettuare l’accesso (sono un classico esempio le segnalazioni: di accesso anomalo da device mai utilizzato prima o da un’area geografica diversa dal solito).Tuttavia i dati illecitamente acquisiti potranno essere sfruttati attraverso il credential stuffing, una pratica che si giova della pigrizia dell’utente, adoperando le credenziali ottenute illegittimamente per effettuare il login a diversi siti web. Mentre il tampering, cioè la modifica delle informazioni scambiate tra client e server. Il server riceverà una richiesta da un device già utilizzato (eventualmente certificato dall’utente), con geolocalizzazione ed operatore di rete conformi a quelli del reale proprietario, pertanto l’applicazione web non sarà in grado di comprendere l’illiceità dell’operazione.

COS’È IL PHISHING?

Il phishing è una truffa ampiamente diffusa fondata sul raggiro operato dal soggetto agente, il quale simulando una comunicazione di una istituzione induce l’utente a fornire credenziali di accesso o dati riservati per l’indebito utilizzo di carte di credito, bancomat e internet banking. Il phishing attiene a diverse metodologie utilizzate dai malintenzionati, che si concretizzano mediante l’invio di e-mail, sms, QR code, ovvero messaggistica WhatsApp. Le comunicazioni, effettuate in simulazione di un istituto o un ente, sono realizzate in modo tale da persuadere il destinatario della loro autenticità, e, avvisandolo generalmente di problemi con il proprio conto corrente o account, lo inducono ad effettuare un fake login in un sito artefatto creato ad hoc al fine di impossessarsi delle credenziali.

L’ORIENTAMENTO DELL’A.B.F. – COLLEGIO DI MILANO

Sul punto, nella seduta del 28 aprile 2022 l’A.B.F. – Collegio di Milano, dinanzi ad una frode realizzata attraverso le modalità del phishing, pone l’accento sul mancato rispetto da parte dell’intermediario delle procedure previste per l’operatività online, rendendo pleonastica ogni ulteriore indagine inerente al comportamento dell’utente e di conseguenza attribuire la responsabilità per l’operazione fraudolenta posta in essere sul conto corrente on line del cliente esclusivamente a carico del prestatore del servizio di pagamento, nello specifico un istituto di credito italiano. L’istituto non ha fornito prova sia relativamente alle modalità di accesso al sito per la operatività on line sul conto corrente del cliente, sia per l’autenticazione del bonifico disconosciuto. Poiché è assente la prova del fattore di autenticazione in concreto utilizzato, in ottemperanza alla richiesta di almeno due fattori minimi richiesti per l’autenticazione forte ai sensi dell’art. 1 co. 1 lett. q-bis del D. Lgs. n. 11/2010 che devono essere classificati nelle categorie della conoscenza o del possesso o dell’inerenza. L’attenzione del Collegio decidente si concentra sui log informatici forniti dall’intermediario che, privi di una “legenda esplicativa intellegibile” non consentono in concreto l’individuazione del fattore di autenticazione concretamente utilizzato per l’acceso al sito e per l’esecuzione del bonifico. Il Collegio di Milano ha ravvisato la responsabilità dell’intermediario ed ha disposto l’integrale risarcimento riconoscendo che la banca ha contribuito causalmente alla realizzazione dell’evento dannoso, in quanto incapace di ottemperare al dettato di cui all’ art. 10 d. Lgs. n. 11/2010 che al comma 2 pone a carico del prestatore di servizi di pagamento, compreso se del caso il prestatore di servizi di disposizione di ordine di pagamento, di fornire la prova della frode, del dolo o della colpa grave dell’utente, che nel caso di specie non viene provato.

COSA SONO IL VISHING E LO SMISHING?

Il vishing, o voice phishing, è una truffa che consiste in chiamate effettuate simulando un’assistenza clienti o un operatore di un istituto o ente ingannando il chiamato per ottenere informazioni personali o copie di documenti; lo smishing è, invece, una ulteriore variante del phishing che si riferisce alla sottrazione dei dati tramite sms (short message service)

COS’È LO SPOOFING?

Per spoofing s’intende la manipolazione dei dati trasmessi in una rete telematica, falsificando il proprio indirizzo IP, oppure nell’utilizzo abusivo di user name e password di altri utenti. Attraverso lo spoofing un hacker intercetta le comunicazioni ed inganna un utente convincendolo a credere che l’email o l’sms provenga da qualcuno di propria conoscenza e meritevole di fiducia, come ad esempio il numero verde della propria banca. Sfruttando ciò l’autore della truffa chiede al destinatario informazioni personali o visitare un sito. In tale pratica, per poter effettuare un prelievo abusivo dei fondi di un soggetto occorre procurarsi non solo le sue credenziali di accesso ma anche il codice dispositivo per confermare l’operazione. Dunque, ciò sarà possibile per un hacker, oppure in conseguenza della partecipazione colposa del cliente poco avveduto.

L’ORIENTAMENTO DELL’A.B.F. – COLLEGIO DI BOLOGNA

In riferimento appare opportuno richiamare il postulato espresso nella seduta del 05 maggio 2021 dell’Arbitro bancario finanziario – Collegio di Bologna, questa si discosta dall’orientamento prevalente, ed in tema di caller Id spoofing attenziona una problematica quale la condotta tenuta dell’intermediario che consapevole dell’accesso abusivo da parte di terzi sia rimasto inerte, omettendo di rendere edotto il cliente circa la necessità di modificare le sue credenziali in quanto violate da terzi. Infatti si rilevava dai “log” dell’intermediario che il malintenzionato fosse già riuscito ad accedere al sistema, essendosi già procurato le credenziali del cliente, in considerazione del fatto che prima dell’invio degli sms di conferma delle operazioni contestate, vennero effettuate operazioni tipicamente riconducibili ad un accesso abusivo, quali il login da un indirizzo IP mai utilizzato dal cliente, modifica del codice pin e blocco delle notifiche via sms. L’intermediario non poteva disconoscere tali operazioni, ed è tenuto a monitorare gli accessi nonché impedire accessi fraudolenti e avvisare l’utente, ed è proprio l’omissione di tale avviso che si censura in questa pronuncia dell’A.B.F. perché avrebbe permesso all’utente di modificare tempestivamente le proprie credenziali.

L’A.B.F. censura i sistemi di sicurezza dell’intermediario, che considera corresponsabile del danno subito dal cliente e in quanto tale tenuto a rifondere al correntista la metà delle somme distratte dal malintenzionato. Infatti, per ciò che concerne le modalità di comunicazione all’utente della violazione, la banca ha inviato all’utenza telefonica del cliente, una comunicazione o.t.p., in forma di notifica push, con la quale lo avvisava che era stato eseguito un accesso da un browser non usualmente utilizzato dal cliente.

L’A.B.F., a tal riguardo, ha ritenuto tale sistema di sicurezza inadeguato in quanto utilizza lo stesso canale, potenzialmente compromesso, sul quale il cliente ha già ricevuto l’o.t.p. dispositiva; dunque, difettando del requisito dell’indipendenza dei diversi fattori, imposta dalla normativa europea (regulatory technical standards dell’European Banking Authority). L’A.B.F. precisa che in caso di sospetto di frode, l’intermediario dovrebbe adottare misure diverse e ulteriori che assicurino un effettivo controllo dell’identità del soggetto che ha eseguito l’operazione attraverso un fattore aggiuntivo svincolato da quelli già utilizzati per la sua autenticazione.

DIRETTIVA EUROPEA SUI SERVIZI DI PAGAMENTO

In questo contesto di truffe non è più soddisfacente che intermediari e fornitori di servizi producano prova di aver approntato un sistema di autenticazione rafforzata per esimersi da responsabilità adducendo la presunta carenza di attenzione dei clienti nell’essersi fatti trarre in inganno, sicché dovranno dimostrare anche la colpa grave o il dolo dell’utilizzatore.

La prima direttiva europea sui servizi di pagamento, Direttiva n. 2007/64/Ce, anche nota come P.S.D. (Payment Services Directive) veniva recepita nell’ordinamento nazionale con il D. lgs. n.11/2010 entrato in vigore il 1° marzo 2010.La seconda direttiva sui servizi di pagamento, c.d. P.S.D.2, entrata in vigore nell’Unione Europea il 13 gennaio 2016, con termine di recepimento entro i due anni seguenti negli Stati Membri, è da inquadrarsi come intervento volto allo sviluppo di un mercato interno dei pagamenti al dettaglio efficiente, sicuro e competitivo rafforzando la tutela degli utenti dei servizi di pagamento, sostenendo l’innovazione e aumentando il livello di sicurezza dei servizi di pagamento elettronici al fine di renderli più efficienti e sicuri per esercenti e consumatori.

Con l’introduzione della P.S.D. 2, i Prestatori di Servizi di Pagamento (P.S.P.) devono dimostrare la colpa grave o il dolo dell’utilizzatore. Mediante l’integrazione del regolamento E.B.A. (European Banking Authority) è stato precisato il concetto di autenticazione forte del cliente, la c.d. s.c.a. (strong costumer authentication), con l’individuazione di fattori idonei a garantirla, cioè: possesso, qualcosa che solo l’utente possiede (ad esempio un dispositivo); conoscenza, ossia un elemento che solo l’utilizzatore conosce (una password); di inerenza, una metrica intrinsecamente propria di un individuo (come per esempio: impronta digitale, scansione del volto). I fattori scelti devono essere reciprocamente indipendenti, in modo che se uno di essi viene violato, l’affidabilità degli altri non viene compromessa.

ELABORAZIONE GIURISPRUDENZIALE

Nel contesto antecedente il recepimento della direttiva 2007/64/Ce, c.d. P.S.D., la giurisprudenza si conformava al principio generale previsto all’art. 1856 c.c., in base al quale sorge in capo all’intermediario l’onere di prova dell’esatto adempimento della prestazione con la diligenza “particolarmente qualificata dell’accorto banchiere” in virtù delle competenze tecniche di cui dispone l’istituto, come puntualizzato dalla Corte di Cassazione nella sent. n. 13777/2007, ed altresì nella connessa predisposizione dei sistemi di sicurezza più idonei, riconoscendo una responsabilità dell’intermediario in tal senso (cfr. Trib. Milano sent. n.14533/2014). Questo concetto di diligenza rileva anche in altri settori nel quale operano gli istituti bancari, cioè quelli legati all’attività finanziaria. Appare opportuno osservare che la Corte di Cassazione a Sezioni Unite con la sent. n. 26724/2007, nell’ambito di omessa o insufficiente informazione dell’utente fruitore del servizio sui rischi connessi all’operazione, ha statuito che la violazione dei doveri di informazione del cliente e del divieto di effettuare operazioni in conflitto di interesse o inadeguate al profilo patrimoniale del cliente stesso, non danno luogo a nullità del contratto di intermediazione ma a responsabilità contrattuale. Dunque l’istituto bancario deve adottare ogni cautela anche nella fase che precede la stipula di un contratto.

Ulteriori esempi condotte nelle quali si è concretizzata la responsabilità dell’intermediario sono: il caso giudicato dal Tribunale di Palermo con sent. n. 2904/2011 nel quale la banca aveva predisposto per il cliente un codice pin di sole quattro cifre decifrabile con estrema facilità da un hacker informatico. Le ipotesi in cui la banca non abbia attivato un sistema di comunicazioni urgenti tramite sms venendo meno l’obbligo di eseguire il contratto attraverso lo svolgimento di tutte le attività strumentali che appaiono idonee a garantire l’interesse del cliente (cfr. A.b.f. Collegio di Roma decisione n. 1435/2012).

Successivamente al recepimento delle direttive europee, la giurisprudenza in materia segue il medesimo orientamento, il quale si dimostra più rigido nei confronti dei prestatori di servizi di pagamento.

La Corte di Cassazione con sent. n. 2950/2017, ed in seguito ribadito con sent. n. 16417/2022, statuiva che il prestatore di servizio di pagamento deve adottare sistemi adeguati al progresso tecnologico del momento per garantire la sicurezza di operazioni online e l’utilizzo di strumenti elettronici, riconducendo il corretto svolgimento delle operazioni attraverso modalità telematiche o strumenti elettronici  operatività del servizio bancario mediante collegamento telematico o strumento elettronico nell’alveo del rischio professionale del prestatore di servizi di pagamento. Da ciò ne discende che sulla banca grava una responsabilità di tipo oggettivo e il prestatore del servizio dovrà quantomeno dimostrare di aver posto in essere tutte le necessarie misure tecniche idonee ad evitare l’interposizione abusiva di terzi.

La Suprema Corte si esprime sul punto, affermando un ulteriore principio, anche con l’ordinanza n. 9158/2018, nella quale precisava che la banca è tenuta ad agire diligentemente, pertanto a disporre adeguate misure di sicurezza atte a constatare la riconducibilità delle operazioni all’effettivo cliente escludendo così fraudolente intromissioni di altri soggetti, ed a fornire la prova questo. Infatti sorge in capo a quest’ultima l’onere di fornire prova che il processo di autenticazione, registrazione e contabilizzazione delle operazioni disconosciute dal cliente sia stato eseguito sulla base di sistemi tecnici in linea col progresso del tempo; l’assenza di malfunzionamenti dei propri sistemi ed altresì deve provare il dolo o la colpa grave dell’utente. La carenza di un procedimento di sicurezza che rispetti i criteri della direttiva P.S.D. 2 e dell’E.B.A. precluderà integralmente la valutazione e la rilevanza di eventuali colpe in capo al cliente fruitore.

COLPA DELL’UTENTE

Non mancano casistiche nelle quali si sia ravvisata la colpa grave dell’utente con conseguente esenzione di responsabilità in capo al prestatore di servizio, ovvero, in altri casi, corresponsabilità dell’intermediario insieme al cliente. Sono un esempio le ipotesi nelle quali emerge una c.d. colpevole credulità dell’utente; ed ancora condotte di affidamento a terzo delle credenziali in violazione dell’obbligo imposto al cliente, il quale è tenuto a non comunicarle a nessuno, neppure lo stesso intermediario può richiedere tali dati, e pertanto qualora il cliente comunichi queste informazioni, seppur in buona fede, viene meno all’obbligo legale assunto con l’intermediario di segretezza e custodia delle credenziali, configurandosi in tal modo la colpa grave. Rileva, anche, la non tempestiva inibizione del sistema di pagamento e comunicazione all’intermediario nelle ipotesi di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento non appena ne viene a conoscenza ai sensi dell’art. 7 del D.lgs. n. 11/2010. Un particolare esempio è rinvenibile nella sentenza della Corte di Cassazione n.18045/2019, nella quale veniva riconosciuta la colpa grave per l’utente incurante che, disinteressandosi, non si era premurato di controllare gli estratti conto online, ed avrebbe atteso due anni prima di comunicare l’uso non autorizzato dello strumento di pagamento.

Per quanto concerne le eventualità di furto, smarrimento o appropriazione indebita di supporti digitali o di identità digitale, l’art. 12 co. 2 del D. Lgs. n. 11/2010 (modificato dal D. Lgs. 218/2017) prevede che qualora l’intermediario non abbia disposto un’autenticazione forte dovrà rimborsare il cliente salvo che non provi il dolo di quest’ultimo; quando d’altro canto sia stata implementata un’autenticazione forte, in presenza di s.c.a. (strong costumer authentication) adeguata, il prestatore del servizio può fornire la prova di dolo o di grave negligenza della parte e rifiutarsi di concedere il rimborso. Ad ogni modo, ai sensi dell’art. 12 co. 3 del D.lgs. 11/2010 (modificato dal D. Lgs. n. 218/2017) grava sempre sull’intermediario l’onere della prova, anche in via presuntiva.

CHI È RESPONSABILE IN CASO DI ERRORE SULL’IBAN CAUSATO DA TRUFFA INFORMATICA?

Nel caso di errore sull’iban si ritiene opportuno richiamare uno specifico caso nel quale il contesto della vicenda riguardava forniture in favore di società indonesiana, verso la quale era stata emessa fattura, il pagamento della fattura, regolarmente eseguito dall’acquirente, non è mai pervenuto poiché, a seguito di una truffa telematica, il relativo bonifico è stato dirottato sul conto di un terzo, anch’esso intrattenuto presso l’intermediario. La truffa è stata perpetrata attraverso l’intrusione negli account di posta elettronica delle due società e la contraffazione della corrispondenza telematica, al fine di indurre la società indonesiana ad effettuare il bonifico per il saldo della fattura sul predetto conto, facendolo ritenere riferibile al fornitore. Se, da un lato, l’accredito sul predetto conto è imputabile alla frode telematica, il suo successivo svuotamento è stato cagionato ed eziologicamente connesso alla condotta negligente ed omissiva dell’intermediario; infatti, l’ingente somma è stata bonificata su un conto corrente aperto poco prima della truffa da un privato cittadino, il cui profilo personale e di rischio era totalmente incompatibile con il percepimento di detta somma e con la relativa causale, cioè il saldo di una fattura commerciale inerente a rapporti di carattere imprenditoriale. L’utente pertanto ricorre non per l’accertamento di un profilo di responsabilità dell’intermediario legato alla prestazione in suo favore di servizi bancari e finanziari, bensì ad ottenere un risarcimento del danno extracontrattuale in ragione del fatto che l’intermediario avrebbe violato gli obblighi di cui al d.lgs. n. 231 del 2007.

L’A.B.F. – Collegio di Milano ha chiarito che con riferimento agli obblighi in capo all’intermediario, la normativa in tema di vigilanza, di cui al d. lgs. n. 231 del 2007, prevede generalmente il solo obbligo di segnalazione all’U.I.F. (Unità di Informazione Finanziaria per l’Italia) di operazioni con caratteristiche tali da renderle anomale, mentre solo eccezionalmente impone alla banca intermediaria di astenersi dall’esecuzione delle stesse (al ricorrere delle condizioni di cui all’art. 42 d. lgs. n. 231 del 2007, impossibilità oggettiva di effettuare l’adeguata verifica della clientela, operazioni di cui siano parte società fiduciarie, trust, società anonime o controllate attraverso azioni al portatore, o per le quali non è possibile identificar il titolare effettivo, aventi sede in Paesi terzi ad alto rischio). Nel caso di specie l’A.B.F. ha ritenuto nessun fatto illecito potesse essere attribuibile all’intermediario resistente e pertanto non ha accolto il ricorso (Arbitro bancario finanziario, Collegio di Milano, Decisione n. 20867/21; cfr. A.b.f. ­ Collegio di Roma, n. 26739/2019 e n. 889/2020; A.b.f. – Collegio Bologna n. 17926 del 2021).

VI È RESPONSABILITÀ AGGRAVATA NEL CASO DI VIOLAZIONE DELLE NORME SUL TRATTAMENTO DEI DATI PERSONALI?

Ai sensi dell’art. 31 del D. Lgs. n. 196/2003 i soggetti titolari del trattamento dei dati personali sono tenuti al controllo e custodia anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, al fine di limitare i rischi di accesso fraudolento o di trattamento non consentito o non conforme alla finalità della raccolta, ovvero i rischi da distruzione o perdita dei dati, attraverso adeguate misure di sicurezza. La responsabilità viene ascritta, ex art. 15 del citato decreto, a chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali, obbligandolo al risarcimento ai sensi dell’art. 2050 c.c.

In considerazione dell’art. 59 della direttiva 2007/64/Ce (P.S.D.), recepita con il D. Lgs. n. 11/2010, quando l’utente di un servizio di pagamento nega di avere autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, con negligenza grave o intenzionalmente, uno o più obblighi di cui all’art. 56 P.S.D. Pertanto sorge in capo all’intermediario l’onere di provare la negligenza dell’utente nella custodia delle proprie credenziali di accesso, altrimenti sarà la banca, a causa dell’inadeguatezza presunta dei propri sistemi di sicurezza, ad incorrere nella responsabilità prevista all’art. 2050 c.c.

Infatti le credenziali di accesso del cliente al proprio conto corrente online rientrino nel più ampio concetto di “dati personali” cui la disposizione di legge fa riferimento e alla cui custodia l’istituto è tenuto nei termini sopra specificati

CONSIDERAZIONI

In considerazione della difficoltà, o addirittura impossibilità, di escludere che le sottrazioni fraudolente di beni patrimoniali con modalità telematiche siano frutto dell’insufficiente cautela dell’utente nella custodia delle credenziali di accesso, si è delineato un orientamento giurisprudenziale che tende a far gravare sulla banca l’onere probatorio in ordine all’adozione di sistemi di sicurezza all’avanguardia. Si giunge a tale conclusione in virtù di differenti processi logico-interpretativi quali violazione degli obblighi di diligenza ex art. 1856 c.c. ovvero violazione della normativa in materia di privacy e di trattamento dei dati personali. In entrambi i casi si sostanzia lo spostamento in capo all’intermediario di tutti i rischi connessi anche all’uso indebito da parte di terzi dei fondi presenti sui conti. Inoltre con l’entrata in vigore del D. Lgs. n. 11/2010 i parametri di valutazione della responsabilità della banca sono divenuti più rigidi, l’intermediario può liberarsi da responsabilità, per il caso di frode, solo provando l’adeguatezza dei propri sistemi di sicurezza, giungendo ad essere sempre più vicini a una sorta di responsabilità “aggravata” equiparabile a quella rinvenibile nelle attività pericolose disciplinate dall’art. 2050 c.c.

RILEVANZA PENALE

Tale fenomeno di reati informatici è da considerarsi in crescente ascesa, e di conseguenza anche la tutela penale è in evoluzione cercando di rimanere al passo con il flusso del profitto patrimoniale che consegue dai reati consumati, talvolta impossibile da arrestare per la rapidità con la quale tale profitto è trasferito all’estero attraverso una sequela di operazioni, ed impedendo che le somme lucrate indebitamente possano essere recuperate.

Una tutela posta dal nostro ordinamento è disposta con l’art. 615-ter c.p., Accesso abusivo a un sistema informatico o telematico, reato di pericolo punito con la pena della reclusione fino a tre anni, e concernente le condotte di intrusione nella sfera privata altrui attraverso l’accesso abusivo, ovvero il mantenimento contro la volontà espressa o tacita di chi ha il diritto di escluderlo, in un sistema informatico o telematico protetto da misure di sicurezza È prevista inoltre, una circostanza aggravante qualora il fatto sia commesso da pubblico ufficiale o incaricato di pubblico servizio, qualora la condotta sia consumata attraverso l’uso di violenza su persone o cose, o comporti distruzione, il danneggiamento o l’interruzione anche parziale del funzionamento del sistema, o, infine, se i fatti in oggetto riguardino sistemi informatici o telematici di uso militare, di sicurezza pubblica, sanitari, di ordine pubblico o comunque di interesse pubblico.

L’azione penale in tale materia è giustificata dal fatto che l’accesso fraudolento, che si consuma con il login delle credenziali della persona offesa, determina una situazione di pericolo e lesività per la riservatezza dei dati di quest’ultima. Mentre la condotta omissiva del mantenimento nel sistema contro la volontà, espressa o tacita, di colui che ha il diritto di esclusione punisce la condotta di chi attraverso un accesso autorizzato, o eventualmente fortuito, permane connesso al sistema al di là dei limiti dell’autorizzazione. Dunque appare manifesto come il discrimen tra un accesso lecito ed uno illecito sia la presenza o meno di un’autorizzazione e il mancato rispetto o meno dei limiti imposti dal titolare in riferimento all’accesso e al mantenimento nel sistema informatico; mentre, non rilevano, ai fini della configurazione del reato, lo scopo e la finalità perseguiti dall’avente diritto all’accesso (Cass. sent. n. 32666/2015; Cass. Sez. Un. sent. n. 4694/2011). La Corte di Cassazione ha inoltre ribadito che il reato in oggetto postula che il sistema sia protetto da misure di sicurezza e che l’agente, per accedervi, abbia in qualche modo neutralizzato tali misure. Non ha rilevanza penale la condotta di chi, successivamente a detta neutralizzazione posta in essere da altri al di fuori anche di ipotesi di concorso, ne approfitti avvalendosi soltanto degli strumenti e dei dati di cui sia legittimamente in possesso (Cass. sent. n. 6459/2006)Per ciò che concerne il bene che tale norma tutela, esso è da ravvisarsi secondo il prevalente orientamento giurisprudenziale nel domicilio informatico (Cass. sent. n. 3067/1999), altro orientamento individua, quale bene giuridico tutelato, la riservatezza informatica, da intendersi come lo spazio virtuale sul quale i titolari dello jus excludendi alios possono porre in essere un controllo e un utilizzo esclusivo, che si estende in maniera indiretta anche all’integrità, alla sicurezza e alla disponibilità di dati e programmi trattati (cfr. Cass. sent. n. 11689/2007; Flor, «Verso una rivalutazione dell’art. 615 ter c.p.?», in Dir. pen. cont., 2, 2012, p. 126).I reati informatici hanno posto in essere una ulteriore criticità relativamente al luogo di consumazione del delitto e determinazione della competenza territoriale, si sviluppa così una dicotomia: una prima interpretazione, più legata alla materialità, colloca il luogo di consumazione nel luogo in cui è presente il server; la seconda interpretazione, sulla base del funzionamento delocalizzato della rete e sulla sua dimensione virtuale, considerava, quale locus commissi delicti, il luogo nel quale vi è la postazione periferica del sistema telematico, in cui viene posta in essere la procedura di accesso con inserimento delle credenziali di autenticazione e in cui viene materialmente digitato l’impulso di invio. Quest’ultimo orientamento interpretativo sarà quello successivamente presa in considerazione come risolutiva dalla Corte di Cassazione a Sezioni Unite nella sentenza n. 17325/2015.Tale indirizzo viene mantenuto anche nelle ipotesi di postazione remota collocata in uno Stato estero in quanto parte rilevante della condotta sarebbe comunque compiuta in Italia, infatti la visione del sistema informatico come un unicum di sistemi periferici e centrali comporterebbe che la condotta realizzata nel terminale periferico sia presente in ciascun elemento del sistema, quindi anche nel sistema centrale situato nel territorio italiano (cfr. Grosso, «Su di un’interessante controversia interpretativa in tema di luogo del commesso reato e di giudice competente per territorio in materia di accesso abusivo in un sistema informatico», in Riv. it. dir. proc. pen., 2014, p 1531), essendo sufficiente che anche solo una parte del reato sia commesso sul nostro paese, ai fini dell’applicazione delle regole generali sulla competenza per territori ex art. 8 c.p.p. e suppletive ex art. 9 c.p.p.

Questa conclusione pone una soluzione anche alle complessità poste in essere dai sistemi cloud svincolati da server e hardware.

Il nostro ordinamento punisce inoltre attraverso l’art. 615-quater c.p.: «chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, detiene, produce, riproduce, diffonde, importa, comunica, consegna, mette in altro modo a disposizione di altri o installa apparati, strumenti, parti di apparati o di strumenti, codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo» con la reclusione sino a due anni e con la multa sino a euro 5.164 (Cass. sent. n. 5688/2005; Cass. sent. n. 36288/2003). Tale reato ai fini della configurabilità richiede in capo al soggetto agente il dolo specifico, da intendersi come la coscienza e volontà di agire allo scopo di procurare a sé o ad altri un profitto o di recare ad altri un danno. Per quanto attiene al suo momento consumativo, questo si concretizza nel momento in cui l’agente si procuri, riproduca, diffondi, comunichi o consegni i mezzi idonei all’accesso, o fornisca informazioni o istruzioni a tal fine. La pena è aumentata, con reclusione da uno a tre anni e multa da euro 5.164 a euro 10.329 se ricorre taluna delle circostanze di cui al all’art. 617-quater co. 4 c.p.

Gli articoli 617-quater c.p. e 617-quinquies c.p. puniscono rispettivamente: il primo, le condotte di chi «fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe» con la reclusione da un anno e sei mesi a cinque anni (Cass. sent. n. 31135/2007; Cass. sent. n. 44362/2003); alla stessa pena soggiace chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto di tali comunicazioni, salvo che il fatto non configuri più grave reato. Il secondo punisce invece, chiunque installi, fuori dei casi consentiti dalla legge, apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi (Cass. sent. n. 45207/2007; Cass. sent.  n. 3252/2007) con la reclusione da uno a quattro anni.

Il reato previsto all’art. 617-quater c.p. è un reato di danno per il quale è richiesto il dolo generico e la sua consumazione si sostanzia nel momento in cui il soggetto intercetti, impedisca o interrompa la comunicazione, o ne riveli il contenuto; mentre il reato di cui all’art. 617-quinquies c.p. è un reato di pericolo per il quale è richiesto il dolo specifico inteso quale coscienza e volontà di agire al fine di intercettare o impedire comunicazioni o conversazioni informatiche o telematiche. Il momento in cui il delitto si consuma è da ritenersi quando l’autore del reato installa le apparecchiature atte ad intercettare, impedire o interrompere le comunicazioni.

Sul punto è opportuno precisare che il reato p. e p. all’art. 617-quinquies c.p. è assorbito in quello più grave di frode informatica ex articolo 640-ter c.p. nel caso in cui, installato il dispositivo atto a intercettare comunicazioni di dati informatici, abbia luogo la captazione, in tal modo trasformandosi la condotta preparatoria e di pericolo di cui al primo reato nell’alterazione del funzionamento o, comunque, in un intervento illecito sul sistema informatico, che sono modalità realizzative tipiche della frode informatica (Cass. sent. n. 42183/2021). Tale osservazione veniva avanzata dalla Suprema Corte dinanzi ad un caso di frode informatica messo in atto attraverso il c.d. skimmer, un dispositivo capace di leggere e in certi casi immagazzinare su una memoria EPROM o EEPROM i dati di una banda magnetica di badge e carte di credito o bancomat, delle quali la clonazione ed utilizzo è comunque fatto autonomo e successivo distinto dalla frode informatica, nonché penalmente rilevante e punito ai sensi dell’art. 493-ter c.p. con la reclusione da uno a cinque anni e con la multa da 310 euro a 1.550 euro (e, precedentemente dall’art. 55, co. 9, D. Lgs. n. 231/2007). Gli Ermellini chiariscono con tale pronuncia un contrasto creatosi sul rapporto tra gli artt. 640-ter e 493-ter c.p. (cfr. Cass. sent. n. 8913/2017 e sent. n. 26229/2017, nel quale la condotta viene qualificata come frode informatica; mentre in Cass. sent. n. 50395/2019 viene inteso ai sensi dell’art. 493-ter c.p.)  Il reato di frode informatica tutela non solo il patrimonio individuale ma anche l’inviolabilità dei sistemi informatici, si tratta di un reato di danno che punisce «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad essi appartenenti, procuri a sé o ad altri un ingiusto profitto con altrui danno» (Cass. sent. n. 4576/2004) con la reclusione da sei mesi a tre anni e la multa da euro 51 a euro 1.032. Per la configurazione di tale delitto si richiede il dolo generico, pertanto il soggetto agente si prefigura e vuole cagionare i singoli elementi costitutivi del fatto senza rappresentarsi uno scopo preciso ed ulteriore. Il momento consumativo coincide con la realizzazione dell’ingiusto profitto con altrui danno (Cass. 14.12.1999, n. 3067).

In ultima analisi occorre tenere presente che in alcuni casi vi possano essere delle altre azioni delittuose anteriormente a queste condotte suesposte, nello specifico azioni inerenti alla creazione di account di posta elettronica con falsa identità, ovvero la creazione di falsi profili sui social network. Queste condotte che spesso sono prodromiche ai reati sopra descritti possono integrare il reato di sostituzione di persona ex art. 494 c.p. salvo che il fatto non costituisca un altro delitto contro la fede pubblica.

Negli ultimi anni il nostro ordinamento ha cercato di evolversi con il mutamento dei nuovi sistemi ed il progresso tecnologico con il chiaro obiettivo di estendere lo spettro applicativo delle fattispecie codicistiche poste a tutela dei sistemi informatici e degli utenti della rete, con l’aggiunta di nuove condotte criminose coinvolgenti qualsivoglia modalità diffusiva e l’aggiunta di nuovi referenti informatici, anche in riferimento agli standard degli altri Stati membri dell’Unione Europea.