Phishing: la definizione della Cassazione Penale

Con la sentenza n. 9891/2011 la II sezione della Corte di Cassazione Penale, intervenendo in un procedimento avente ad oggetto un caso di phishing, fornisce una autorevole definizione del fenomeno criminale.


Il phishing, precisa la Suprema Corte, «è quell’attività illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati».
La definizione della Corte prosegue, individuando anche i contorni dei collaboratori, più o meno consapevoli, del phisher: «la suddetta truffa presuppone, poi, anche un terzo “collaboratore”, ed financial manager, ossia colui che si presta a che le somme che l’hacker trafuga dal conto corrente nel quale è entrato abusivamente, vengano accreditate sul proprio conto corrente al fine poi di essere definitivamente trasferite all’estero con operazioni di money transfert».

In definitiva, in tale importante pronuncia, si delinea il contenuto di due significativi soggetti del fenomeno criminale in commento: il phisher e il financial manager.

La sentenza si segnala, inoltre, da un punto di vista strettamente giuridico, perché in essa la Corte individua i reati previsti dal codice penale italiano che verrebbero integrati dalla commissione delle illecite attività di phishing.

In particolare, in primo luogo, la condotta del phisher integra gli estremi dell’art. 640 ter cp  in quanto «è sussumibile nell’ipotesi “dell’intervento senza diritto su (…) informazioni (…) contenute in un sistema informatico” di cui alla seconda parte dell’art. 640 ter c.p., comma 1. Infatti, anche l’abusivo utilizzo di codici informatici di terzi (“intervento senza diritto”) – comunque ottenuti e dei quali si è entrati in possesso all’insaputa o contro la volontà del legittimo possessore (“con qualsiasi modalità”) – è idoneo ad integrare la fattispecie di cui all’art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sè od altri un ingiusto profitto.

Nella fattispecie in esame, l’utilizzazione della password – illecitamente ottenuta – per entrare nel sistema informatico di home-banking del correntista (protetto da misure di sicurezza costituite, appunto, dai dati di accesso personali) e messo a sua disposizione dalle Poste Italiane, servì per stornare fondi dal conto corrente della C.: con il che si è verificata l’ipotesi di intervento (nella specie: ordine di bonifico dal conto corrente della C. a quello dell’imputato) senza diritto sui dati e/o informazioni (nella specie: sul saldo attivo del conto corrente) contenuti nel suddetto sistema informatico. Si può quindi concludere per l’infondatezza della prima censura atteso che la fattispecie, così come contestata, rientra nell’ipotesi criminosa di cui all’art. 640 ter c.p.».

Con riferimento alla corretta esegesi dell’art. 640 ter cp, la Corte ricorda: « Il reato di cui all’art. 640 ter c.p., prevede, poi, due distinte condotte. La prima, consiste nell’alterazione, in qualsiasi modo, del “funzionamento di un sistema informatico o telematico”: in tale fattispecie vanno fatte rientrare tutte le ipotesi in cui viene alterato, in qualsiasi modo, il regolare svolgimento di un sistema informatico o telematico.

Per sistema informatico o telematico deve intendersi “un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente” Cass. 3067/1999 riv 214945. Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello programmato: il che consente di differenziare la frode informatica dai delitti di danneggiamento informatico (artt. 635 bis – ter – quater – quinquies c.p.) non solo perchè in quest’ultimi è assente ogni riferimento all’ingiusto profitto ma anche perché l’elemento materiale dei suddetti reati è costituito dal mero danneggiamento dei sistemi informatici o telematici e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni o perchè il medesimo è reso inservibile (attraverso la distruzione o danneggiamento) o perché se ne ostacola gravemente il funzionamento (cfr. sul punto, in particolare, l’art. 635 quater c.p.). La seconda condotta prevista dall’art. 640 ter c.p. è costituita dall’intervento “senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico (…)”: si tratta di un reato a forma libera che, finalizzato pur sempre all’ottenimento di un ingiusto profitto con altrui danno, si concretizza in una illecita condotta intensiva ma non alterativa del sistema informatico o telematico.»

Tuttavia, il comportamento illecito del phisher potrebbe ben avrebbe potuto configurare anche l’ipotesi delittuosa di cui all’art. 615 ter cp (invocata dall’imputato per sostenere, viceversa, l’ingiusta condanna in virtù del richiamo all’art. 640 ter cp). Come ricordato dalla Corte, alla luce della congerie di elementi rilevati nel capo di imputazione «ben avrebbe potuto essere contestato – in concorso con l’art. 640 ter c.p. – anche il reato di cui all’art. 615 ter c.p. atteso che i suddetti reati hanno diversi presupposti giuridici e, quindi, ben possono concorrere (in termini, Cass. 2672/2003 riv. 227816; Cass. 1727/2008 riv. 242938): non a caso, secondo quanto riferito dallo stesso ricorrente (pag. 3 ricorso), il reato di accesso abusivo al sistema informatico fu contestato ma dichiarato improcedibile per mancanza di querela».

La sentenza in commento contiene, inoltre, utili chiarimenti in ordine alla definizione di “sistema informatico e telematico” e fornisce concreti contributi ermeneutica per distinguere, da un lato, le ipotesi delittuose di frode informatica e dall’altro quelle di danneggiamento e/o accesso abusivo a sistema informatico, spesso confuse o sovrapposte nella pratica giudiziaria.

Ricorda la Corte, che nei reati di frode informatica rileva il dolo specifico di trarre ingiusto profitto, mentre non rileva l’eventuale danneggiamento o alterazione del sistema informatico che, peraltro, potrebbe seguitare a funzionare correttamente dopo l’illecito intervento dell’agente.

Viceversa, nei reati di danneggiamento informatico, il fine dell’agente è proprio l’alterazione o il danneggiamento del sistema informatico in quanto tale (che verrebbe reso inservibile o che seguiterebbe a funzionare in modo difforme rispetto alle originarie impostazioni, con significative variazioni circa le modalità di trasmissione od elaborazione dei dati); di contro il fine di trarre profitto, in tali fattispecie delittuose (segnatamente art. 635 quater cp) è completamente assente.

Certo, si potrà obiettare che da un punto di vista strettamente tecnico-informatico, appare difficile ipotizzare un caso di accesso abusivo che non comporti anche un’alterazione e/o un difforme funzionamento del sistema informatico (non fosse altro per via degli accorgimenti che l’agente dovrà necessariamente porre in essere per camuffare le tracce del proprio illecito accesso), comunque la distinzione ricordata dalla Corte appare utile sotto il profilo dell’elemento psicologico che deve essere indivuato nella condotta dell’agente e che deve essere tenuto ben distinto in tali due fattispecie penali.

In particolare, si precisa nella pronuncia indicata «per sistema informatico o telematico deve intendersi “un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente” Cass. 3067/1999 riv 214945.

Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello programmato: il che consente di differenziare la frode informatica dai delitti di danneggiamento informatico (artt. 635 bis – ter – quater – quinquies c.p.) non solo perchè in quest’ultimi è assente ogni riferimento all’ingiusto profitto ma anche perché l’elemento materiale dei suddetti reati è costituito dal mero danneggiamento dei sistemi informatici o telematici e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni o perchè il medesimo è reso inservibile (attraverso la distruzione o danneggiamento) o perché se ne ostacola gravemente il funzionamento (cfr. sul punto, in particolare, l’art. 635 quater c.p.). La seconda condotta prevista dall’art. 640 ter c.p. è costituita dall’intervento “senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico (…)”: si tratta di un reato a forma libera che, finalizzato pur sempre all’ottenimento di un ingiusto profitto con altrui danno, si concretizza in una illecita condotta intensiva ma non alterativa del sistema informatico o telematico».


Cassazione Penale, Sez. II, 24.02/11.03.2011 n° 9891


 

Condividi questo articolo