Furto d’identità digitale? Reato punito da due a sei anni
In questi mesi è scattato il reato di “frode informatica” con l’aggravante del “furto di identità digitale” (punito da due a sei anni) per chi sottrae fondi dall’home banking di una terza persona, qualsiasi sia il mezzo utilizzato per l’accesso: pin, chiavetta ecc.
Ecco spiegata la sentenza n. 13559/2024 della Corte di Cassazione:
La CP Sez. 2^, nell’udienza del 13 marzo 2024, ha chiarito che, in tema di frode informatica, la nozione di “identità digitale”, che integra l’aggravante di cui all’art. 640-ter, comma terzo, cod. pen., non presuppone una procedura di validazione adottata dalla pubblica amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati (fattispecie in cui è stata ritenuta l’aggravante in un caso di accesso abusivo a un servizio di “home banking”, Sez. 2, n. 40862 del 20/09/2022, Rv. 283653; Sez. 2, n. 8958 del 30/01/2024 n.m.).
Nella motivazione di tale statuizione di legittimità, qui condivisa, si legge: “l’art. 9 D.L. 93/2013, convertito con modificazioni nella L. 119/2013, ha introdotto il comma dell’art. 640-ter cod. pen. che prevede una circostanza aggravante ad effetto speciale del delitto di frode informatica allorché il fatto ” è commesso con furto o indebito utilizzo dell’identità digitale“.
Il legislatore non ha fornito alcuna definizione dell’”identità digitale“, concetto utilizzato in plurime e diversificate accezioni.
La dottrina ha evidenziato come la traslazione in sede penale di definizioni tratte da fonti esterne, quali quella contenuta all’art. 1 comma 1, lett. u quater, del d. lgs. 82/2005 ovvero quella introdotta ai fini della creazione del Sistema pubblico per la gestione delle identità digitali dei cittadini e imprese, di cui al DPCM del 24/10/2014, trova un evidente ostacolo nel fatto che si tratta di concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente.
L’Ufficio del Massimario nella relazione alla legge del 21/10/2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che “L’identità digitale è comunemente intesa come l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett. u-ter del d. lgs. 7 marzo 2005 n. 82) per l’appunto nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso“.
Sebbene si tratti di un concetto attendibilmente destinato ad una più esatta perimetrazione per effetto dell’elaborazione dottrinaria e giurisprudenziale, non è revocabile in dubbio che la tesi difensiva che pretende di limitare l’identità digitale alle procedure di validazione adottate dalla P.A. (SPID, CIE, firma digitale), debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita on line, è destituita di giuridico fondamento in quanto si pone in rotta di collisione con la constatazione empirica circa l’esistenza di diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale, e con la ratio legis, intesa a rafforzare la fiducia dei cittadini nell’utilizzazione dei servizi on-line e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumo mediante il furto di identità.
Tali concetti, espressi a proposito dell’utilizzo di credenziali personali per l’accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all’uso illegittimo dei cosiddetti PIN – non a caso così chiamato dall’acronimo dall’inglese Personal identification number – ed anche di chiavette elettroniche che producono di volta in volta un codice per effettuare l’operazione bancaria, dal momento che, in tutti i casi, invero oramai sempre più numerosi, quel che rileva è che i dati di accesso al sistema informatico di volta in volta compulsato dall’agente direttamente o attraverso l’uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata – ripetutamente o di volta in volta tramite appositi congegni – solo dal titolare o da soggetto da questi autorizzato e che, nella sostanza, sostituisce le generalità (nello stesso senso della prima decisione Sez. 2, n. 17985 del 2023 e Sez. 2, n. 38027 del 2023 non massimate).
Pertanto, l’aver utilizzato, carpendola senza autorizzazione, la chiavetta elettronica appartenente al titolare del conto (che produce il codice per effettuare l’operazione di bonifico tramite sistema di banca multicanale così stornando indebitamente somme di denaro), integra l’aggravante contestata e presuppone, comunque, a monte, un uso non autorizzato delle credenziali di accesso al conto inerenti alla persona del suo titolare.