INTERNET

Il furto dell’identità personale nella sua più lata accezione: il fenomeno digitale del “Phishing”

Foto di  Widjaya Ivan, Flickr
Scritto da Marco Casella

Il fenomeno del “Phishing” si risolve in una mediata aggressione del patrimonio del soggetto utente o fruitore di un determinato servizio on line – il quale viene posto in stato di pericolo da una prodromica condotta di sottrazione di dati identificativi o riservati, pertinenti a quest’ultimo – idonea a consentire l’approdo all’evento materiale finale, ovverosia alla realizzazione della diminuzione patrimoniale e dell’ingiusto arricchimento a discapito della vittima medesima.

(Foto di copertina di  Widjaya Ivan, Flickr)

Il perfido alfiere Iago – malignamente animato dal più illustre dei drammaturghi inglesi – ammonisce il condottiero Otello circa la capitale importanza del concetto di “identità personale” in senso stretto:

Il buon nome, nell’uomo come nella donna, mio caro signore, è il gioiello più prezioso dell’anima. Chi ruba nella mia borsa, ruba soltanto del denaro. Qualcosa, o nulla: fa lo stesso… Ma colui che mi truffa del buon nome, mi deruba di qualcosa che non lo fa ricco, e che, all’incontro, mi riduce allo stremo

[Otello, W. Shakespeare, Atto III, Scena III].

Il concetto di identità personale, secondo risalente e più tradizionale dottrina, risultava contraddistinto dall’”insieme dei caratteri (connotati e contrassegni personali) e dal nome (generalità)”[1].

In tempi più recenti – anche in virtù di quanto è venuto puntualmente a statuire il c.d. Codice della privacy (art. 1, L. 31 dicembre 1996, n. 675 e, successivamente, art. 2, D.Lgs. 30 luglio 2003, n. 196) – la giurisprudenza si è diversamente orientata nell’enucleazione di un concetto di identità personale in senso lato, da individuarsi nel “bene-valore costituito dalla proiezione sociale della personalità dell’individuo, cui si correla un interesse del soggetto ad essere rappresentato, nella vita di relazione, con la sua vera identità, a non vedere quindi, all’esterno, modificato, offuscato o comunque alterato il proprio patrimonio intellettuale, ideologico, etico, professionale (etc.) quale già estrinsecatosi o destinato, comunque, ad estrinsecarsi, nell’ambiente sociale, secondo indici di previsione costituiti da circostanze obiettive ed univoche[2].

I NUOVI CYBER CRIMES E LA COMPROMISSIONE DELL’IDENTITA’ DIGITALE

Un siffatto concetto di identità personale ad ampio respiro, unitamente alla propalazione di nuove forme di cyber crimes – con peculiare natura “informatica” dei procedimenti, delle strutture e dei mezzi utilizzati per commettere fatti riconducibili, invero, solo parzialmente ai “tipi” criminosi tradizionali – hanno prestato il fianco a problematiche afferenti alla tutela penale dell’identità personale sulla rete Internet, o sia della c.d. “identità digitale”.

Questa peculiare identità virtuale viene comunemente intesa quale insieme di informazioni e di risorse concesse da parte di un sistema informatico al suo utilizzatore, all’esito di un processo di identificazione[3].

Ciò precisato, è opportuno far rilevare come nuovi e eterei beni giuridici vengano oggigiorno posti a repentaglio per mezzo di – altrettanto nuove – modalità di offesa, spesso riconducibili a sofisticate tecniche manipolative di social engineering: condotte atte alla captazione di informazioni personali, abitudini e stili di vita del malcapitato utente-vittima.

Non è tutto. Da tali prodromiche condotte – atte alla mera raccolta dei dati del soggetto fruitore della rete – scaturiscono di sovente, quali conseguenze causali (e connaturali), gli eventi materiali della deminutio patrimonii e della iniusta locupletatio.

IL PHISHING ED IL SUO INQUADRAMENTO FENOMENOLOGICO

Tra questi fenomeni intrusivi, non si può non menzionare quello più dinamico ed in continua evoluzione, o sia il c.d. Phishing.

Ciò detto, risulta ora opportuno menzionare – attesa la camaleontica connotazione del fenomeno che andremo ad analizzare – le tre diverse fasi in cui si articola un tipico Phishing Attack:

  1. Fase 1: il soggetto agente invia un messaggio di posta elettronica contenente il link di indirizzamento ad una pagina web non autentica, al fine di indurre l’utente (o il fruitore del servizio on-line) a rivelare informazioni personali di carattere riservato;
  2. Fase 2: “raccolta” o “pesca” (da qui l’etimologia del termine: to fish = pescare) dei dati riservati dell’utente tramite tale sito, ovvero mediante un form da compilare, contenente le stringhe corrispondenti alle informazioni personali richieste;
  3. Fase 3: utilizzo delle informazioni raccolte per poter accedere abusivamente ai servizi on-line o ad aree riservate, o finanche per l’utilizzo indebito di carte di credito o di pagamento, con la realizzazione di un profitto.

I dati e le informazioni che potenzialmente si possono estrapolare dall’utenza sono molteplici: si pensi ad esempio alle credenziali di autenticazione per accedere ad aree informatiche esclusive oppure a servizi finanziari e bancari on-line; si pensi ai numeri di carte di credito o di pagamento, gli identificativi per le abilitazioni all’accesso a siti di vario genere, gli user id e le passwords di accesso diretto alla gestione di conti correnti; infine (addirittura) il numero di conto corrente, gli estremi della carta di identità o della patente di guida.

IL CAPOSALDO PENALISTICO PER LA TUTELA DELL’IDENTITA’ PERSONALE: L’ART. 494 C.P. ED I SUOI LIMITI APPLICATIVI IN ORDINE AL PHISHING

Come è noto, il caposaldo per eccellenza – ai fini di una compiuta tutela penale in ordine all’identità personale – è rappresentato dall’art. 494 c.p., il quale punisce, con la reclusione fino ad un anno, colui che:

al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici.

Giustappunto, la giurisprudenza di legittimità – a mezzo di una importante pronunzia ove si tratta di una fittizia creazione, a nome altrui (e con altrui danno, derivato da un indebito utilizzo), di un account di posta elettronica – è giunta a rassicurare gli interpreti circa la possibilità di ritenere sussistente il predetto reato anche qualora il medesimo venisse commesso propriamente sulla rete Internet[4].

Tale reato, d’altro canto, aveva consentito di approntare un’opportuna tutela anche in riferimento ad ulteriori fattispecie concrete in costante aumento: si pensi alla creazione ex novo di pagine web (soprattutto all’interno dei c.d. social network) recanti dati personali (ed, in particolare, immagini) che vengono disconosciute dai legittimi proprietari; oppure, ancora, a casi di acquisizione indebita dell’account personale e/o profilo di Facebook (o di altre piattaforme di social network), rapportabili tra l’altro ad una condotta preliminare e qualificabile – ai sensi dell’art. 615 ter c.p. – quale accesso abusivo al sistema informatico dell’utente (e punibile fino ad anni tre di reclusione).

La fattispecie criminosa in disamina – nonostante la positività dei suindicati risultati – non mancò di presentare evidenti e preoccupanti problemi applicativi, i quali si reputano facilmente rintracciabili in seno all’enumerazione degli esempi che seguono:

  • l’invio di una email atta ad imitare il look and feel di loghi e siti di mittenti reali, non significa che il riferimento indichi o distingua un mittente come “persona fisica”;
  • l’uso on-line degli estremi identificativi di una persona reale, come le credenziali di autenticazione per l’accesso a sistemi informatici o spazi virtuali esclusivi, non corrisponde all’attribuzione tipizzata di un “falso nome”, un “falso stato”, o una “qualità a cui la legge attribuisce effetti giuridici”;

Ciò precisato – a seguito della trattazione dei suindicati aspetti, di per sé potenzialmente aggirabili ai fini dell’applicabilità della norma in esame – insormontabile appare l’ostacolo costituito dall’evento consumativo del reato che ci occupa.

Difatti, l’induzione in errore” di taluno non è in alcun modo compatibile od applicabile all’esecuzione automatizzata di richieste inoltrate a sistemi informatici.

L’inserimento on-line, da parte del soggetto agente, di dati o delle credenziali del soggetto passivo non “trae in inganno” il sistema informatico, il quale esegue, invece, unicamente le istruzioni impartitegli dalla persona fisica, che per esso corrisponde a quella legittimata in quanto ne utilizza l’”identità virtuale[5].

I CONTROVERSI APPRODI DOTTRINALI: TRUFFA O FRODE INFORMATICA?

La dottrina – nel maldestro tentativo di scovare una fattispecie legale astratta ad hoc, atta pertanto ad arginare siffatti contegni criminosi – si interrogò a lungo circa la possibilità di applicazione del reato di cui all’art. 640 c.p. (truffa) o del reato di cui all’art. 640 ter c.p. (frode informatica).

In un primo momento, tramite l’isolata analisi della materialità delle condotte di Phishing Attack, era prevalsa la tesi della configurabilità della truffa: questo orientamento ermeneutico, difatti, evidenziava come il reato di frode informatica richiedesse diversamente – ai fini di sancire la punibilità a tal titolo – la realizzazione della condotta di “alterazione del funzionamento di un sistema informatico” oppure della condotta di “intervento senza diritto su dati, informazioni o programmi contenuti in tale sistema”.

Azioni, queste ultime, totalmente insussistenti in seno al fenomeno oggetto d’analisi[6].

Più recentemente, invece, un opposto orientamento dottrinale – avallato altresì dalla giurisprudenza di legittimità – è giunto ad accogliere una diversa impostazione atta a valorizzare la condotta dell’utilizzo delle credenziali indebitamente acquisite, mediante un “intervento non autorizzato su… informazioni… contenute in un sistema informatico” del correntista, proprio come testualmente prevede l’art. 640 ter c.p.(Frode informatica)[7].

UNA NUOVA PREVISIONE NORMATIVA A MISURA DI PHISHING: L’AGGRAVANTE DEL DELITTO DI FRODE INFORMATIVA DI CUI ALL’ART. 640 TER, COMMA 3, C.P.

Il Governo Legislatore – resosi conto dell’impellenza di una maggior tutela da apprestare in favore delle (sempre più numerose) vittime del dilagante fenomeno in parola – è venuto ad introdurre una nuova aggravante ad effetto speciale del delitto di frode informatica, per il tramite del D.L. 14 agosto 2013, n. 93 (conv. con modificazioni dalla L. 15 ottobre 2013, n. 119).

L’art. 640 ter, comma 3, c.p., punisce la frode informatica (con la reclusione da due a sei anni e con la multa da Euro 600 ad Euro 3.000) allorquando la medesima venga perpetrata mediante furto oppure indebito utilizzo dell’identità digitale in danno di uno o più soggetti.

Evidenti, giunti a questo punto, i vantaggi di una contestazione ai sensi dell’art. 640 ter c.p. – soprattutto alla luce del nuovo comma 3 – quali i limiti edittali più elevati rispetto al vetusto reato di truffa (art. 640 c.p.), nonché la possibilità di ricorrere a misure cautelari ed infine la procedibilità ex officio.

UNA RISOLUZIONE NORMATIVA SOLO APPARENTE, IN BILICO TRA PROBLEMATICHE NASCENTI E PROBLEMATICHE MAI SOPITE

Questa nuova previsione normativa, ben lungi dall’approntare un’ambita risoluzione, non riesce a fugare ogni dubbio circa il rapporto sussistente tra il reato di cui all’art. 640 ter c.p. ed il reato di cui all’art. 494 c.p. (quest’ultimo esteso tra l’altro dalla stessa Suprema Corte, come si è avuto modo di vedere, al mondo on-line).

Tra gli Studiosi v’è pure chi – a discapito, in quanto non soddisfatto (e si crede: giustamente), di ciò che il Legislatore statuisce “expressis verbis” entro il corpus normativo – ritiene più corretto considerare la previsione di cui all’art. 640 ter, comma 3, c.p. alla stregua di un reato autonomo e, segnatamente, di un reato complesso.

Siffatta e quanto mai azzardata classificazione (in barba ai criteri c.d. “forti” di distinzione tra reato autonomo e circostanza del reato; ed in barba al valore del dictum letterale scolpito dal Legislatore in seno all’ultimo comma dell’articolo 640 ter c.p.) permetterebbe di dar vita ad un concorso formale tra reati (tra il reato di sostituzione di persona e frode informatica) e quindi di attuare un maggior rigore punitivo, facendo venire a mancare – come è noto – il fisiologico giudizio di bilanciamento di cui all’art. 69 c.p. (nel quale si incorrerebbe allorquando la previsione si ritenesse quale vera e propria circostanza aggravante del reato).

D’altro canto, una siffatta configurazione darebbe vita a – non facilmente vincibili – problematiche afferenti al criterio di imputazione: difatti, per l’imputazione di una circostanza aggravante è sufficiente la colpa (art. 59, commi 1 e 2, c.p.); per l’imputazione di un delitto, invece, è necessario il più arduo riscontro del dolo, salva l’espressa previsione legislativa della colpa (art. 42, comma 2, c.p.).

E’ evidente, secondo quest’ultima prospettazione, come l’accertamento dell’elemento soggettivo del dolo desti insormontabili difficoltà (allorquando, come si è visto, si voglia reputare la previsione in esame quale reato autonomo), attesa – addirittura ab origine l’impossibilità di effettuare anche una semplice individuazione (e figuriamoci una susseguente identificazione) del reo-phisher (ed, eventualmente, dei correi della cui collaborazione egli si sia avvalso).

In conclusione, è doveroso evidenziare come – sia che l’interprete voglia propendere per un orientamento interpretativo oppure per l’altro – non ci si possa esimere dall’affrontare un coacervo di disposizioni normative che mal si attagliano al viepiù disomogeneo fenomeno del Phishing.

De jure condendo, appare auspicabile un intervento (che definirei di tipo aggregativo) da parte del Legislatore Penale, il quale – mediante il potente bisturi della normazione – si crede possa riuscire a ricongiungere, all’interno di un’unica fattispecie legale astratta elaborata ad hoc, le plurime e variegate condotte materiali del fenomeno Phishing, quasi a far d’ogni erba un fascio.

[1] Falco, voce: Identità personale, in N.D.I., vol. VI, Utet, 1938, p. 659;

[2] Cass. Civ., Sez. I, 7 febbraio 1996, n. 978, in Foro it., 1996, c. 1253.

[3] L’art. 1, lett. u-ter), D.Lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale) definisce l’”identificazione informatica” come la “validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”.

[4] Cass. Pen., Sez. V, 9 novembre 2007, n. 46674, in C.E.D. Cass., n. 238504;

[5] Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, Roberto Flor, Riv. it. dir. e proc. pen., fasc. 2-3, 2007, p. 899.

[6] Frattallone, Phishing, fenomenologia e profile penali: dalla nuove frode informatica al cyber riciclaggio; Cajani, Profili penali del Phishing.

[7] Cass. Pen., 2008, n. 1727; Cass. Pen., 2003, n. 2672.

Info sull'Autore

Marco Casella

Avvocato del foro patavino
Mi occupo di diritto penale.

Leggi articolo precedente:
8391988575_6cd12554cb_z
Internet e processo: quando i social network influenzano la competenza territoriale del giudice

Le principali sanzioni Privacy ex d.lgs. 196/03

4516441695_08398ef421_o
La creatività dell’opera, tra forma espressiva e tratti essenziali

Chiudi