Frode informatica e “furto di identità digitale”

In occasione dell’ennesimo blitz agostano, il Governo, all’interno del DL 14 agosto 2013, n. 93, uno dei tanti “decreti omnibus”, riguardante “disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province”, ha ritenuto di introdurre, per la prima volta, nel codice penale, la nozione di “identità digitale”.

E’ stato infatti prevista un’aggravante per il delitto di frode informatica (art. 640 ter), “se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti”. Si tratta per di più di un’aggravante a effetto speciale, in quanto prevede la pena della reclusione da due a sei anni e della multa da euro 600 a euro 3.000.

La norma è “sopravvissuta” anche in sede di conversione (il decreto è stato definitivamente convertito, con modificazioni, dalla L.15 ottobre 2013, n. 119), ove ha ricevuto un’ulteriore modifica: l’aggravante è ora prevista “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.

La ratio, secondo la Relazione al Parlamento andrebbe individuata nel “rendere più efficace il contrasto del preoccupante e crescente fenomeno del cosiddetto «furto d’identità digitale», attraverso il quale vengono commesse frodi informatiche, talora con notevole nocumento economico per la vittima”.

A prima lettura, la norma (oltre che formulata in maniera assai criticabile) appare non del tutto rispondente alle finalità dichiarate.

Avevo già notato, in un precedente commento, pubblicato su La Stampa online come vi siano diversi profili problematici.

In primo luogo, manca del tutto qualsiasi definizione di “identità digitale”.

Questa lacuna deve essere quindi riempita dall’interprete, ma non è un’operazione semplice.

Si deve fare riferimento al complesso delle informazioni online di un soggetto, alla “dimensione digitale” dell’individuo, propriamente detta, o, ben più semplicemente, la norma intende punire più severamente i casi di sottrazione (o indebito utilizzo) di username e password, magari del proprio servizio di home banking?

In altre parole, occorre appropriarsi dell’intera “identità digitale” di un soggetto, o basta utilizzarne indebitamente le credenziali di accesso a un sito, o addirittura al proprio computer?

E’ difficile ritenere che tale ultima soluzione sia corretta, dal momento che, laddove si fosse voluto effettuare un mero richiamo all’utilizzo indebito di credenziali, si sarebbe fatto riferimento a quanto disposto dall’art. 615 quater c.p., che sanziona l’abusiva detenzione e diffusione a fini di profitto di “codici, parole chiave o altri mezzi idonei all’accesso a un sistema informatico o telematico”.

E allora occorre forse allargare il campo di analisi, come suggerisce anche il dossier del Servizio Studi del Senato, per considerare il “furto di identità”, definito dal D.lgs 141/2010, all’art. 30-bis, il quale dispone: “ai fini del presente decreto legislativo per furto d’identità si intende: a) l’impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto; b) l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto, nell’ambito di quelli di cui alla lettera a)”.

Questa definizione è però espressamente circoscritta (mediante l’inciso “ai fini del presente decreto legislativo”), e riguarda, in ogni caso, l’identità in generale, non l’”identità digitale”.

Proprio a tale ultimo concetto fa al contrario riferimento il “Decreto Crescita 2.0” (DL 18 ottobre 2012, n. 179, convertito dalla L. 17 dicembre 2012, n. 221), ove viene individuato il “sistema unificato di identità digitale”.

Tale sistema è costituito dal “documento digitale unificato”, in sostituzione sia della Carta d’identità sia della Tessera Sanitaria, e dal “domicilio digitale”, costituito dalla PEC.

Non sarebbe pertanto azzardato supporre (in assenza di specificazioni) che l’aggravante introdotta non faccia riferimento a una generica definizione di “identità digitale”, ma la fattispecie debba essere integrata dalla norma extrapenale (ancorché non richiamata) che ne delimiti i contorni esatti.

I lavori parlamentari hanno poi dato sostanza di precetto positivo al concetto di “furto di identità digitale”, echeggiando, presumibilmente, la definizione del D.lgs 141/2010.

Ma questa innovazione, lungi dall’essere risolutiva, ha forse acuito i problemi. Nella cornice del diritto penale, difatti, il concetto di “furto” è (o meglio dovrebbe essere) chiaramente delimitato dall’art. 624 c.p., quale impossessamento mediante sottrazione di cosa mobile altrui a fini di profitto, e all’interno di tale categoria è espressamente compresa l’energia elettrica e “ogni altra energia che abbia un valore economico”.

Delle due l’una: o il legislatore (all’interno del Codice Penale!) utilizza il termine “furto” in maniera del tutto impropria, richiamando (implicitamente) il D.lgs 141/2010, oppure occorre supporre che l’identità digitale costituisca una forma misteriosa e arcana di energia, l’anima del nostro ego digitale.

Ma non basta: la norma, così come è formulata, pone rilevantissimi problemi, con riguardo al concorso con altre fattispecie.

In primo luogo, il “furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”, potrebbe costituire una modalità di accesso abusivo a sistema informatico (di cui all’art. 615 ter c.p.), o integrare, come già detto, il delitto di cui all’art. 615-quater.

E, ancora, si potrebbero porre problemi di concorso (apparente?) con l’art. 494 c.p., che sanziona la sostituzione di persona (pacificamente applicabile anche nel caso di pseudonimo o nickname, come più volte ribadito dalla Cassazione).

Non solo: sarà interessante verificare cosa dirà la giurisprudenza in tema di rapporto con il delitto di indebito utilizzo di sistemi di pagamento (di cui all’art. 55, comma 9, D.lgs 231/2007) e con il delitto di cui all’art. 167 del Codice della Privacy (D.lgs 196/2003).

Oltre che difficile da ricostruire sotto il profilo interpretativo e sistematico, la nuova circostanza aggravante della frode informatica rischia per di più di trovare ben scarsa applicazione.

Se infatti l’intento (dichiarato) del Legislatore è quello di sanzionare più severamente i “furti d’identità” che provocano un detrimento economico, non si considera come molto spesso i fatti sono qualificabili non quale frode informatica (punita dall’art. 640 ter, appunto), ma come truffa “semplice”, di cui all’art. 640 c.p., come è accaduto in vari procedimenti per “phishing”, o per le truffe su ebay, perpetrate (anche) mediante l’hijacking di account altrui.

La mancata modifica dell’art. 640 c.p. potrebbe dunque restringere di molto l’ambito potenziale di applicazione della norma.

In conclusione, la tutela dell’”identità digitale” avrebbe dovuto essere esaminata in maniera organica, e non passare (come invece è accaduto) attraverso l’agostana introduzione di una peculiare fattispecie aggravante, formulata per di più in maniera assai generica, e quasi sicuramente foriera di dubbi interpretativi e applicativi.

 

Giovanni Battista Gallus

Scrivi un commento

Accedi per poter inserire un commento