di Stefano Guerra e Alessio Infantino
Oggigiorno, più che mai, occorre prestare la massima attenzione ed evitare di inviare a chicchessia copia dei propri documenti di identità senza preliminari verifiche sui soggetti destinatari e sui motivi della richiesta ricevuta. Muovendo da un case study, il presente contributo analizzerà, sotto l’aspetto pratico e con un breve focus normativo e giurisprudenziale, una fattispecie giuridica complessa, sempre più frequente e subdola negli ultimi tempi: il furto di identità tramite la rete internet, finalizzato all’apertura illegittima di conti correnti ove destinare proventi illeciti, che sottende aspetti sia penalistici che civilistici.
- Premesse fattuali al furto di identità online
La fattispecie consistente nel furto di identità online prevede, a titolo esemplificativo, lo scopo di ottenere e, poi, usare un documento di identità di un soggetto maggiorenne e i relativi tratti identificativi per aprire a nome di quest’ultimo, e a sua insaputa, conti correnti ove destinare somme di denaro derivanti da ulteriori e diversi illeciti. Se questa, brevemente, è la fattispecie concreta, diversi possono essere i fatti, le modalità e gli espedienti tramite cui ottenere il documento di identità dalla vittima.
Prima di analizzare giuridicamente il presente case study, saranno descritte preliminarmente due classiche premesse fattuali, tratte da vicende realmente accadute, da cui ormai frequentemente può originare il furto di identità online, evitando riferimenti diretti ai soggetti interessati che resteranno anonimi.
Il primo antefatto, registrato negli ultimi anni grazie all’exploit dei social network, della messaggistica istantanea online, della posta elettronica e di chiamate spam, concerne la diffusione pubblica di annunci da parte di soggetti (sedicenti influencer ed esperti finanziari) che promuovono la propria attività di trading, ovvero, e più banalmente, offerte di guadagni “facili”. Non di rado diverse persone vengono attratte da tali artificiose promesse. In diversi casi, affrontati ormai da diversi uffici giudiziari in Italia, il furto di identità online iniziava proprio da questi “specchietti per le allodole”: congegnati ad arte da criminali scaltri tramite diverse opere di raggiro e per mezzo di artifizi digitali e informatici tecnologicamente all’avanguardia. Nello specifico, si intende riportare il caso che segue.
Un giovane ragazzo appena diciottenne, che usava quotidianamente e assiduamente un dato social network, si imbatteva in un post sponsorizzato recante un invito a chi volesse guadagnare modeste somme di denaro in tempi celeri e con qualche click servendosi dei consigli di un esperto. In particolare, trattavasi della possibilità di conseguire “bonus di benvenuto” tramite l’apertura di conti correnti o l’adesione a servizi finanziari. Il fatto che il profilo social fosse seguito da migliaia di follower, tra cui noti influencer, convinceva il nostro ragazzo dell’affidabilità di tale account. Così, al fine di guadagnare senza spese né fatica piccole somme di denaro, il ragazzo in questione contattava privatamente il predetto utente a cui si affidava totalmente, accettandone l’offerta e seguendone le semplici direttive.
La strategia/trappola adoperata era la seguente. Realmente, diversi istituti bancari, per acquisire nuovi clienti, erogano bonus di benvenuto alle seguenti condizioni: aprire un conto corrente online (sono sufficienti il documento di identità, i propri dati anagrafici, un videomessaggio in cui si mostra il proprio documento, un’utenza telefonica mobile e un indirizzo e-mail) e, al contempo, invitare altre persone a farlo; compiere contestualmente all’apertura qualsivoglia movimentazione in entrata o in uscita; chi riceve l’invito deve, da ultimo, accettarlo rispondendo ad un questionario. È in questo contesto che il sedicente esperto prometteva, dunque, alla persona offesa di pensare a tutto: accendendo, a suo nome e per suo conto, diversi conti correnti presso svariati istituti di credito che proponevano le offerte più vantaggiose sul mercato in quel preciso momento storico, nonché impegnandosi a versarvi una somma iniziale e ad invitare contestualmente alle aperture “nuovi clienti”, i quali dovevano semplicemente accettare l’invito e rispondere ad un questionario. All’esito veniva promessa al ragazzo l’erogazione dei conseguenti “bonus di benvenuto”, che dovevano essere divisi in percentuale.
A questo punto, nella fattispecie de qua, alcuni aspetti diventano importanti: il ragazzo non conosceva la vera identità dell’utente social; i due comunicavano solo tramite messaggi in chat privata; alla p.o. veniva richiesto di inviare copia del suo documento di identità, i suoi dati anagrafici, il suo indirizzo e-mail e il suo numero di cellulare per provvedere alle operazioni sopra descritte.
Il malcapitato, ingolosito dalla possibilità di guadagni facili, inviava, ingenuamente, al sedicente influencer quanto richiestogli, in attesa del termine della procedura descritta per mettersi in tasca l’agognato guadagno, che mai conseguirà, ignorando di essere divenuto vittima di un grave disegno criminoso, come si illustrerà nel prosieguo, al pari della protagonista del secondo caso riportato in appresso.
Una signora di mezza età, in cerca di un appartamento da condurre in locazione per un paio di settimane nei dintorni di Milano per motivi di lavoro, navigava su un sito web di affitti brevi ove selezionava un annuncio che faceva al suo caso. Così, la donna scriveva un messaggio e-mail all’indirizzo ivi reperito, al fine di chiedere ulteriori informazioni, essendovi interessata; seguiva una corrispondenza a mezzo WhatsApp, all’esito della quale, tra l’altro, l’inserzionista le chiedeva sia di inviargli i dati personali e una copia sia del documento di identità sia della tessera sanitaria, nonché di effettuare un bonifico istantaneo per bloccare l’appartamento. Sarebbe seguito il primo incontro presso l’abitazione per la consegna delle chiavi. La signora evadeva entrambe le richieste, salvo realizzare di essere stata truffata dal summenzionato soggetto, in quanto lo stesso non si presentava all’appuntamento concordato e non rispondeva mai più al telefono né ai suoi messaggi. La vittima di truffa sporgeva querela presso la Caserma dei Carabinieri denunciando tutto quanto accaduto, restando in attesa degli esiti delle indagini prontamente avviate dall’Arma.
Orbene, nel primo caso il ragazzo attendeva invano notizie dall’influencer circa il conseguimento dei bonus, sin quando scopriva che il social account dell’esperto veniva improvvisamente disattivato, sì da pensare di avere solo perduto tempo, affidandosi incautamente alla persona sbagliata. Nel secondo caso, la signora si rassegnava all’idea di essere stata truffata, senza troppe speranze di recuperare il maltolto.
Tuttavia, i due casi in questione, pur muovendo da premesse diverse, mostrano diversi elementi in comune, finiti nel dimenticatoio delle due vittime, almeno sino al momento di finire entrambi nel registro degli indagati, in quanto sui diversi conti correnti – nel secondo caso aperti ad insaputa della signora – a loro rispettivamente intestati erano confluiti i proventi di diverse truffe. In sostanza, in entrambi i casi, i criminali intendevano acquisire dalle due vittime i relativi dati anagrafici, fotografie, registrazione della voce, copia dei documenti di identità necessari per l’apertura di c/c dove far accreditare proventi illeciti. I conti, poi, venivano prontamente ripuliti dai truffatori, i soggetti truffati sporgevano querela contro l’intestatario del conto ove incautamente avevano versato somme di denaro e i nostri due protagonisti venivano, intanto, raggiunti dalle banche che recedevano dai contratti per movimentazioni sospette (ignare delle notizie di reato) e, poi, dagli investigatori che li indagavano, salvo difendersi per non avere commesso il fatto e anzi vantare la qualifica di persone offese in considerazione del furto di identità da loro subito.
Sullo sfondo, a livello civilistico, sarebbe poi da valutare l’eventuale responsabilità degli istituti di credito presso cui venivano aperti i conti correnti, verificando la legittimità delle loro condotte, stante la previsione di un rigido sistema di sicurezza e di identificazione dei clienti nell’apertura di conti online.
- 2. Profili penalistici
Tanto premesso, con riguardo al furto di identità[1], la qualificazione giuridica dei fatti sopradescritti appare complessa: nel caso de quo appaiono, infatti, convergere una moltitudine di fattispecie incriminatrici. D’altra parte, affiorano incertezze in ordine alla competenza, che esulano, tuttavia, dal perimetro delle presenti annotazioni.
2.1 Sostituzione di persona
Innanzitutto, assume rilievo l’art. 494 c.p. (sostituzione di persona), immutato dal 1930 ad oggi, il quale punisce “chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno”[2].
A tal proposito occorre verificare se la condotta di colui che attiva c/c online intestati ad un soggetto terzo perfeziona il delitto di cui all’art. 494 c.p.
La risposta a tale interrogativo appare positiva; a ben vedere, risultano integrati tutti gli elementi, oggettivi e soggettivi, che compongono il reato di sostituzione di persona. In sintesi:
- i) si tratta di un reato comune, che può essere commesso da chiunque e che, dunque, non pone, da tale profilo, alcun problema interpretativo;
- ii) sussiste l’induzione in errore, perpetrata a danno degli istituti di credito, che attivavano i conti correnti, mediante i dati artificiosamente carpiti alle vittime;
iii) sussiste, altresì, la sostituzione illegittima della propria all’altrui persona, posto che, nel I caso, al di fuori di quanto concordato tra le parti, venivano illegittimamente impiegati i documenti nonché i dati personali dell’ignaro ragazzo per finalità illecite[3]; in altri termini, il soggetto attivo del reato, fingendosi la persona offesa, apriva e impiegava conti online senza che fosse stato autorizzato né ad accedere né, tantomeno, ad usare tali c/c per perpetrare condotte truffaldine, ma soltanto per il conseguimento dei bonus. Tale elemento oggettivo del reato è, all’evidenza, integrato anche nel II caso, ove i documenti e i dati personali della signora, funzionali all’apertura dei conti, veniva estorti con l’inganno e utilizzati per sostituirsi illegittimamente alla vittima nell’accensione dei c/c;
- iv) sussiste, infine, l’elemento soggettivo del reato, costituito dal dolo generico e specifico. Nello specifico, la finalità illecita (“sostituendo illegittimamente la propria all’altrui persona”) consisteva nella creazione di conti online per scopi illeciti senza affatto che l’agente risultasse intestatario dei predetti conti.
È possibile, così, pervenire ad una conclusione[4]: il I frammento della condotta di cui al case study, allorché l’agente trae in inganno le persone offese, si fa consegnare le copie dei documenti di identità e si sostituisce illegittimamente ad esse nell’apertura dei conti correnti, inducendo in errore gli istituti di credito, perfeziona il delitto di cui all’art. 494 c.p.[5].
2.2 Frode informatica
Nel caso de quo potrebbe, poi, assumere rilievo l’art. 640 ter c.p., che punisce “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”[6]. Tale fattispecie incriminatrice è aggravata, ai sensi del II comma, “se il fatto produce un trasferimento di denaro”, nonché, ai sensi del comma III, “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.
Al fine di verificare il perfezionamento di questo delitto, nella sua forma aggravata, è opportuno sottolineare talune circostanze fattuali: nei conti aperti illegittimamente a nome delle persone offese confluivano proventi illeciti, i quali venivano fatti, poi, “sparire” facendo transitare le somme su ulteriori e diversi c/c. Di talché, l’agente non si limitava a sostituirsi alle vittime attivando i rapporti bancari, ma operava su questi conti, intestati alle p.o., per finalità illecite.
Se così è, paiono sussistere, prima facie, anche gli elementi, oggettivi e soggettivi, che integrano il reato di frode informatica[7]:
- i) anche questa ipotesi criminosa integra un reato comune;
- ii) sembrerebbe, inoltre, sussistere la condotta tipica allorché si interveniva senza diritto su dati, informazioni e programmi contenuti nei sistemi telematici degli istituti di credito. Nel dettaglio, l’agente operava sugli account di home banking artificiosamente ma, al contempo, intestati alle persone offese, così da trasferire i proventi illeciti e far perdere le loro tracce. A ben vedere, si tratta di operazioni contra ius perché i trasferimenti venivano realizzati sotto lo schermo formale delle intestazioni dei conti, senza che l’operante fosse certo abilitato all’impiego degli applicativi di home banking – riconducibili, come detto, ad altri – per scopi illeciti;
iii) nondimeno, a far difetto è l’evento del reato, costituito dall’ingiusto profitto con altrui danno. Posto che l’art. 640 ter c.p. si colloca tra i delitti contro il patrimonio, prescindere dalla sussistenza di un effettivo nocumento patrimoniale per le vittime del reato è interpretazione che travolge la lettera della legge[8]. In tal senso le p.o., nel caso di specie, non subivano alcun un danno patrimoniale perché, significativamente, le somme che venivano fatte transitare nei conti non erano di loro proprietà.
In quest’ottica emerge tutta la complessità del fornire una qualificazione giuridica a fatti tipicamente proteiformi come quelli che si inseriscono nella dimensione online, ove non è disagevole saggiare i contenuti e i confini delle diverse fattispecie incriminatrici che affollano il diritto penale dell’informatica: tra vecchie e nuove incriminazioni, nonché tra vecchie e nuove esigenze di tutela.
2.3 Accesso abusivo ad un sistema informatico o telematico
A rendere ulteriormente complessa la qualificazione giuridica di un fatto come quello in discorso contribuisce, ad esempio, il rilievo assunto dal delitto previsto e punito dall’art. 615 ter c.p. (accesso abusivo ad un sistema informatico o telematico), che punisce “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”[9].
È pacifica, in relazione a tale delitto, la tipicità della condotta di colui che “acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita”[10].
Si ricorda, peraltro, come “la più recente giurisprudenza di legittimità è concorde nel ritenere che il delitto di accesso abusivo ad un sistema informatico possa concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il cosiddetto domicilio informatico sotto il profilo dello ius excludendi alios, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla e sanziona l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto”[11].
Ora, con riguardo all’integrazione di questo delitto, sorge il dubbio circa la possibilità di definire domicilio informatico, quale necessario oggetto di tutela, un conto corrente soltanto formalmente intestato alle persone offese, le quali, de facto, non godevano di alcun ius excludendi alios.
Nel I caso, posto che il ragazzo era, comunque, a conoscenza dell’accensione dei c/c, che venivano impiegati per scopi del tutto eccentrici rispetto a quelli consentiti, nel solco degli insegnamenti della Suprema Corte, si potrebbe argomentare la sussistenza del domicilio informatico e la violazione delle “modalità che regola[vano] l’accesso [del] soggett[o] eventualmente abilitat[o]”[12]. Infatti, il criminale informatico era autorizzato a creare i conti soltanto nella prospettiva dell’ottenimento dei bonus di benvenuto, ma accedeva, invece, agli account home banking per finalità illecite non certo autorizzate.
Per contro, nel II caso, giacché la vittima era totalmente all’oscuro della creazione dei c/c, appare arduo sostenere la sussistenza del domicilio informatico e, quindi, l’integrazione del reato p. e p. dall’art. 640 ter c.p. In questa direzione si evidenzia la centralità della ricostruzione del fatto nell’interpretazione della norma penale, al mutare di ogni particolare il sillogismo subisce rivolgimenti.
2.4 Autoriciclaggio
Proseguendo, si segnala un’altra fattispecie incriminatrice che – da altro punto di vista, in punto di scopi di tutela – mira a contrastare i fatti in discorso. Ai sensi dell’art. 648 ter 1 c.p. è punito “chiunque, avendo commesso o concorso a commettere un delitto impiega, sostituisce, trasferisce, in attività economiche, finanziarie, imprenditoriali o speculative, il denaro, i beni o le altre utilità provenienti dalla commissione di tale delitto, in modo da ostacolare concretamente l’identificazione della loro provenienza delittuosa”[13].
Come insegna la giurisprudenza, “due elementi concorrono alla delimitazione dell’area di rilevanza penale del fatto: a) i beni provenienti dal reato presupposto devono essere tassativamente destinati ad attività economiche, finanziarie, imprenditoriali o speculative; b) le condotte menzionate devono essere idonee a ostacolare concretamente l’identificazione della provenienza da reato del loro oggetto”[14].
Orbene, al ricorrere di questi presupposti, fuori dai casi in cui “il denaro, i beni o le altre utilità vengono destinate alla mera utilizzazione o al godimento personale” (art. 648 ter 1 c.p.), le indagini non si potranno che orientare alla verifica della sussistenza del delitto di autoriciclaggio, onde verificare l’emergere delle condotte tipizzate dalla fattispecie incriminatrice, le quali attingono, con la re-immissione nel mercato di capitali illeciti, il buon funzionamento del sistema economico.
- 3. Profili civilistici
Un altro aspetto fondamentale nella fattispecie in esame riguarda le condotte degli istituti bancari in relazione all’identificazione dei clienti in occasione dell’apertura e del successivo uso dei conti correnti.
A tal fine occorre considerare che il d.lgs. n. 231/2007[15], nel dettare la disciplina antiriciclaggio applicabile agli intermediari del credito, prevede una serie di obblighi inderogabili e cogenti sia in capo ai clienti sia in capo agli intermediari, laddove in particolare si prevede che questi ultimi sono tenuti ad acquisire una serie di informazioni riferite al cliente e ai rapporti con questi intrattenuti. In tale contesto, rilevano gli artt. 15, 18, 19, 28 e 30 del citato decreto, nonché il Provvedimento della Banca d’Italia emanato in attuazione dell’art. 7, co. 2, del medesimo d.lgs., vigente al momento delle condotte.
In particolare, il legislatore elenca all’art. 18 gli obblighi di adeguata verifica della clientela: a) identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente; b) identificare l’eventuale titolare effettivo e verificarne l’identità; c) ottenere informazioni sullo scopo e sulla natura prevista del rapporto continuativo o della prestazione professionale. L’art. 19 stabilisce che l’identificazione del cliente e del titolare effettivo deve avvenire tramite documento d’identità non scaduto, in presenza del cliente o tramite propri dipendenti, prima dell’instaurazione di un rapporto continuativo o di una prestazione professionale. L’identificazione del titolare effettivo può avvenire tramite registri pubblici, richiesta di dati o altri metodi. È anche prevista una costante verifica delle transazioni per assicurarsi che siano compatibili con il profilo del cliente. L’art. 28 definisce le modalità da adottare quando il cliente non è fisicamente presente, come l’uso di documenti supplementari, la verifica tramite enti finanziari, o l’assicurazione che il primo pagamento avvenga tramite un conto bancario intestato al cliente. Inoltre, specifica i casi in cui gli obblighi di identificazione sono considerati assolti anche senza la presenza fisica del cliente, come per operazioni tramite sportelli automatici, o quando i dati sono già presenti in atti pubblici. All’art. 30 è stabilito che gli obblighi di identificazione possono essere assolti in assenza del cliente grazie a un’attestazione da parte di soggetti già identificati, come intermediari o professionisti. L’attestazione deve confermare l’identità del cliente e la correttezza delle informazioni fornite.
Il Provvedimento della Banca d’Italia specifica che l’attestazione può avvenire tramite un bonifico, che includa un codice identificativo assegnato al cliente. La banca verificherà i dati identificativi e riporterà il codice nel bonifico.
In sintesi, la normativa stabilisce modalità rigorose per l’identificazione della clientela, sia in presenza che a distanza, per prevenire il riciclaggio di denaro e altre attività illecite.
- 4. Conclusioni
Partendo dall’analisi dei fatti riportati e sulla base delle fonti normative e giurisprudenziali rintracciate nel presente contributo, emerge che l’apertura di conti correnti a nome di un soggetto da parte di terzi con l’intento di farvi confluire somme illecite può assumere profili di illegittimità e di consequenziale responsabilità in capo ai delinquenti di turno, oltreché agli istituti bancari o intermediari finanziari. Per questi ultimi, si tratta, in estrema sintesi, del mancato adempimento con la dovuta diligenza agli obblighi di adeguata verifica della clientela previsti dalla normativa, consentendo così l’apertura dei conti. La condotta degli intermediari può essere, infatti, sia necessaria sia sufficiente a causare il danno subito dal soggetto che subisce il furto, oltre a contribuire ad aumentare il rischio di verificarsi di tale danno. Dovrà poi accertarsi la sussistenza di un nesso causale che collega il danno subito dal soggetto, persona offesa del reato, alla condotta degli istituti o intermediari. Inoltre, anche considerando un’ipotesi controfattuale, se questi ultimi rispettassero correttamente le normative, adempiendo agli obblighi di verifica, l’evento dannoso può essere evitato.
Infine, sotto un profilo di efficienza e regolazione del mercato finanziario, è importante sottolineare che la diffusione dei furti di identità nei rapporti bancari e finanziari rende auspicabile una verifica più rigorosa dell’identità della clientela da parte degli istituti bancari e degli intermediari finanziari. Ciò dovrebbe avvenire non solo tramite una corretta applicazione delle normative esistenti, ma anche mediante ulteriori verifiche che, pur non essendo esplicitamente previste, possano risultare necessarie a seconda delle circostanze specifiche del caso[16].
Sullo sfondo, purtroppo, resta l’aumento dei reati perpetrati con mezzi informatici e digitali, destando non poche preoccupazioni per la cittadinanza, invitata a maggiori verifiche sui destinatari dei propri documenti di identità e sul relativo uso; al contempo, è necessario un grande lavoro da parte delle Forze dell’Ordine e delle Procure italiane, che in sinergia sono chiamate a indagare su fattispecie criminose sempre più complesse e di difficile soluzione.
[1] R. Flor, Phishing, Identity Theft e Identity Abuse, in Riv. it. dir. proc. pen., 2007, 899 ss.; E. Di Paolo, Il phishing. Prospettive di un delitto, in Arch. pen., 2017, 2 ss.; M. Marraffino, La sostituzione di persona mediante furto di identità digitale, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, II ed., UTET, Milano, 2023, pp. 321 ss. In generale, C. Pecorella, Diritto penale dell’informatica, Cedam, Padova, 2006.
[2] Per tutti, M. Maspero, Art. 494 c.p., in Commentario breve al codice penale, V ed., diretto da A. Crespi, G. Forti, G. Zuccalà, CEDAM, Padova, 2008, pp. 1328 ss.; A. Pagliaro, Falsità personale, in Enc. dir., vol. XVI, UTET, Milano, 1967, p. 646 ss.
[3] Per inciso, esulano dal presente contributo eventuali profili di co-responsabilità ai sensi dell’art. 648 bis c.p.
[4] In termini, Cass. pen., Sez. V, n. 24211/2021.
[5] Per completezza si puntualizza, in ordine al reato di cui all’art. 43 D.lgs. 51/2018, che “è configurabile il concorso formale tra il reato di sostituzione di persona e quello di trattamento illecito di dati personali, stante la diversa oggettività giuridica delle fattispecie, in quanto il primo tutela la fede pubblica, mentre il secondo la riservatezza, che ha riguardo all’aspetto interiore dell’individuo e al suo diritto a preservare la propria sfera personale da indiscrezioni e attenzioni indebite, pur potendo ricorrere tra le due fattispecie omogeneità della condotta realizzativa”. Così Cass, pen., Sez. V, n. 12062/2021.
[6] G. Minicucci, Le frodi informatiche, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, cit., 893 ss. Inoltre, E. Reccia, La tipicità delle più recenti tipologie di frodi informatiche: necessità di un ripensamento? Un focus sull’attività bancaria, in Arch. pen., 2022, 2 ss. Occorre, tra l’altro, domandarsi se la frode informatica (art. 640 ter c.p.) possa concorrere con il reato di sostituzione di persona (art. 494 c.p.). Si segnala come il dubbio sia stato risolto positivamente dalla giurisprudenza di legittimità, la quale conclude per il concorso formale di reati; cfr., a tal proposito, Cass. pen., Sez. II, n. 23760/2022.
[7] Nel caso di specie non pare sussistere il delitto di truffa (art. 640 c.p.). A far difetto è l’atto dispositivo patrimoniale che la vittima deve porre in essere in conseguenza degli artifici e raggiri posti in essere dall’agente. Nel case study l’inganno portava le vittime a trasmettere al criminale informatico i documenti di identità, ma non, invece, a porre in essere alcun atto dispositivo patrimoniale. La Suprema Corte ha, peraltro, chiarito che “il delitto di frode informatica di cui all’art. 640 ter c.p. ha la medesima struttura ed i medesimi elementi costitutivi della truffa, dalla quale si differenzia solamente perché l’attività fraudolenta dell’agente investe non la persona, di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza di quest’ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui”.
[8] Cass. pen., Sez. un., n. 1/1999. In una prospettiva di de-patrimonializzazione dell’elemento del profitto cfr., tuttavia, Cass. pen., Sez. un., n. 41570/2023.
[9] I. Salvadori, I reati contro la riservatezza informatica, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, cit., 704 ss.
[10] Cass. pen., Sez. un., n. 41210/2017.
[11] Cass. pen., Sez. V, n. 17360/2020.
[12] Ibidem.
[13] Per un quadro aggiornato, ex multis, R. Razzante, Riciclaggio e reati connessi, Giuffrè, Milano, 2023, spec. 83 ss.
[14] Cass. pen., Sez. II, n. 28272/2023, anche per l’analitica definizione della tipicità del delitto di cui all’art. 648 ter 1 c.p.
[15] Attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/CE che ne reca misure di esecuzione. Vengono inoltre in rilievo la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, come modificata dalla direttiva (UE) 2018/843, relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo e gli Orientamenti congiunti delle Autorità di Vigilanza Europee, emanati ai sensi dell’art. 17 e dell’art. 18, par. 4, della direttiva (UE) 2015/849 sulle misure semplificate e rafforzate di adeguata verifica della clientela e sui fattori che gli enti creditizi e gli istituti finanziari dovrebbero prendere in considerazione nel valutare i rischi di riciclaggio e finanziamento del terrorismo associati ai singoli rapporti continuativi e alle operazioni occasionali.
[16] Vedasi, al riguardo, la Decisione n. 10885 del 17 giugno 2020, dell’Arbitro Bancario Finanziario, Collegio di Milano.
