Viene richiesto parere motivato da parte di Tizio e Caio in merito alle possibili conseguenze penali delle proprie condotte, così come di seguito descritte.
In particolare, Tizio, attraverso l’invio di una mail ad un numero indeterminato di soggetti, riusciva a carpire i dati riservati del loro servizio di home banking e a trasferire, successivamente, su conti correnti terzi le somme rinvenute nei conti dei malcapitati, per la cifra complessiva di circa 100.000,00 Euro.
Caio, invece, a fronte del guadagno del 30% della somma totale, oltre a mettere a disposizione il proprio conto corrente come prima destinazione del denaro sottratto, provvedeva in un secondo momento a prelevarlo, a trasferirlo su altri conti correnti appositamente aperti o ad accreditarlo su carte di credito prepagate.
Le questioni giuridiche da affrontare per dare una soluzione al richiesto parere sono di un duplice ordine: con riferimento alla condotta di Tizio è necessario stabilire quali reati siano configurabili nel fenomeno criminale di c.d. phishing, mentre in relazione alla condotta di Caio bisognerà comprendere se essa rientri nella fase finale del phishing ovvero se la stessa costituisca fase successiva ed autonoma e, in quanto preordinata ad ostacolare l'identificazione della provenienza delittuosa del denaro, punibile a titolo di riciclaggio.
In merito al phishing è bene chiarire innanzitutto come, non corrispondendo ad una fattispecie tipica di reato, la giurisprudenza di merito e di legittimità abbiano qualificato in maniera eterogenea la condotta criminale in questione, tra l’altro diffusasi nel tempo con modalità sempre differenti e sempre più aderenti alle nuove tecnologie informatiche.
Come avvenuto nel caso di specie, la tecnica fraudolenta utilizzata di solito è quella di adescare l’utente che naviga su internet tramite il confezionamento di un messaggio, quanto più possibile somigliante a quelli reali inviati dagli istituti di credito, e di carpire le informazioni personali del destinatario (quali credenziali dell’home banking, password di carte di credito, ecc.). Nella maggior parte dei casi, la vittima è indotta a cliccare su di un link che la reindirizza su di un sito simile a quello ufficiale, ove le viene richiesto, con un pretesto, di inserire i suoi codici bancari.
Una volta ottenuti tali dati, il phisher accede tranquillamente al conto corrente e trasferisce il denaro ivi rinvenuto su un conto terzo.
Quanto alla prima parte della condotta, nella quale Tizio ha inviato le email con il logo contraffatto di vari istituti di credito, la giurisprudenza è dibattuta sulla configurabilità o meno del reato di sostituzione di persona ex art. 494 c.p..
Difatti, sebbene nella condotta “de qua”, da un lato, sembri effettivamente rinvenibile l’evento consumativo del reato di sostituzione di persona, giacché l’utente che riceve il messaggio di posta elettronica è di fatto tratto in inganno dal phisher che sostituisce illegittimamente se stesso a
75
qualcun altro, dall’altro lato, emerge come il suo comportamento non sia finalisticamente orientato a frodare la vittima, ma sia teso ad ottenere un vantaggio patrimoniale attraverso le credenziali della vittima.
In quanto tale, la descritta condotta potrebbe benissimo configurare tanto gli artifizi e raggiri di cui all’art. 640 c.p. quanto l’intervento senza diritto (con qualsiasi modalità) su dati, informazioni o programmi contenuti in un sistema informatico previsto dall’art. 640 ter c.p..
In proposito si deve evidenziare come, se in un primo momento la giurisprudenza si è più orientata nel sussumere il fenomeno del phishing nel reato di truffa di cui all’art. 640 c.p., successivamente – anche in considerazione di una conoscenza tecnica più approfondita del fenomeno – si è esclusa tale ipotesi non rinvenendosi da parte del soggetto passivo alcun atto di disposizione patrimoniale, requisito implicito ma indefettibile del delitto di truffa.
Non sembrerebbero oramai residuare dubbi sul fatto che la giurisprudenza maggioritaria inquadri il fenomeno nel reato di “frode informatica” di cui all’art. 640 ter c.p.. Come ampiamente spiegato in precedenza, infatti, l’azione del phisher consiste in una vera e propria “alterazione” del funzionamento del sistema informatico, tramite un intervento non autorizzato su dati o informazioni dell’utente, che gli permette di operare trasferimenti home banking di fondi.
Inoltre, a seguito alla modifica apportata al reato di frode informatica dal Legislatore del 2003, al terzo comma dell’art. 640 ter è prevista l’aggravante, che incide anche in termini di procedibilità d’ufficio del reato, per cui “La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti”.
In concorso col reato di fronde informatica, attesa la diversità del bene giuridico tutelato (v. ex multis Cassazione penale, sez. V, 19/12/2003, n. 2672), la giurisprudenza di legittimità ritiene che sia altresì configurabile il delitto di accesso abusivo al sistema informatico, di cui all’art. 615-ter c.p., secondo cui “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni” (In tal senso v. Cassazione penale, sez. II, 09/02/2017, n. 10060).
Alla luce di quanto detto, dunque, nel caso in esame (ed alla luce dei più recenti orientamenti ermeneutici della Suprema Corte di Cassazione) Tizio potrebbe essere chiamato a rispondere per la propria condotta di phishing sia a titolo di “Frode informatica” aggravata, ai sensi dell’art. 640 ter comma 3 c.p. sia a titolo di “Accesso abusivo a sistema informatico” di cui all’art. 615 ter c.p..
Passando ora all’analisi della condotta di Caio, responsabile di aver messo a disposizione il proprio conto corrente per trasferire i soldi delle vittime di phishing e di aver successivamente ostacolato il rinvenimento di tali somme attraverso il loro ulteriore trasferimento su altri conti correnti e/o prelevandoli in contanti, si deve stabilire se essa rientri comunque nella condotta di phishing messa in atto da Tizio ovvero se la stessa intervenga in un momento successivo alla consumazione dei
76
suddetti reati, integrando a sua volta il reato di riciclaggio di cui all’art. 648 bis c.p..
In proposito si ritiene che la condotta di Caio di mettere a disposizione il proprio conto corrente faccia rispondere lo stesso, a titolo di concorso, del reato di cui all’artt. 640 ter, comma 3, c.p. dal momento che la frode informatica si è potuta consumare, con il trasferimento delle somme, proprio grazie all’esistenza del conto di Caio, resosi disponibile a ricevere il denaro.
Il concorso nel suddetto reato contestabile a Tizio escluderebbe automaticamente la configurabilità in capo a Caio del possibile (e più grave reato) di riciclaggio, in virtù della c.d. clausola di riserva contenuta nell’incipit dell’art. 648 bis c.p., che ne esclude l’applicazione nei casi in cui l’agente risponda, anche a titolo di concorso, del reato da cui provengono i beni e le altre utilità illecite.
Sul punto, in verità, bisogna dar conto dell’interpretazione contraria, nel senso della autonomia della condotta successiva di incasso e trasferimento delle somme volta ad ostacolare la provenienza illecita delle stesse, data dalla Suprema Corte di Cassazione, con conseguente configurabilità del reato di riciclaggio di cui all’art. 648 bis. C.p..
In particolare i giudici di legittimità hanno stabilito che “Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell'hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche” (Cassazione penale, sez. II, 09/02/2017, n. 10060).
In virtù di quanto detto, si ritiene possibile, che nei confronti di Tizio vengano contestasti i reati di cui agli artt. 640 ter, comma 3. C.p. e 615 ter c.p., uniti dal vincolo della continuazione di cui all’art. 81 comma 2, c.p., mentre nei confronti di Caio si procederà alla contestazione del reato di cui all’art. 648 bis c.p.. Quanto alla condotta di Caio si ritiene, però, di poter validamente sostenere (sebbene in contrasto con l’orientamento espresso dalla Cassazione) la tesi del concorso nel reato di frode informatica contestato a Tizio, che gli consentirebbe di ottenere una pena notevolmente meno gravosa.
77 TRACCIA PARERE N. 18
Mevia, da anni sposata con Tizio, iniziava una relazione extraconiugale con Caio. Dopo qualche mese dall’inizio del nuovo rapporto, Mevia scopriva di aspettare un bambino dall’amante. Per evitare che la gravidanza iniziasse a manifestarsi e che il marito ne venisse a conoscenza, determinatasi per effettuare un’interruzione volontaria della gravidanza, Mevia si recava presso l’ospedale Gamma, dove veniva accolta dal dirigente medico Sempronio. Appresa la situazione particolarmente delicata della donna e avendo scorto la possibilità di specularci sopra, Sempronio proponeva a Mevia di effettuare illegalmente l’interruzione volontaria della gravidanza presso il suo studio privato, a fronte del pagamento di 10.000,00 Euro. Per convincere la donna, Sempronio le prospettava difficoltà e lungaggini di procedere all’intervento presso il nosocomio pubblico a causa dell’elevato numero di obiettori di coscienza tra i suoi colleghi.
Mevia, messa "con le spalle al muro", atteso che l'alternativa rispetto all'aborto illegale a titolo oneroso era quella di esporsi al rischio di un disvelamento dello stato di gravidanza con conseguente compromissione del rapporto con il partner, di reazioni da parte dei parenti e/o di impossibilità di abortire nel termine legale di 90 giorni, decideva di procedere nella via prospettata da Sempronio.
Pochi giorni prima della data fissata per l’operazione, però, Mevia cambiava completamente idea e decideva di sporgere querela nei confronti di Sempronio.
Sempronio, preoccupato per la querela, si rivolge al vostro studio legale per conoscere le eventuali conseguenze penali della propria condotta.
Il candidato, premessi brevi cenni sugli istituti giuridici sottesi, rediga parere legale motivato sulla vicenda.
78
SOLUZIONE PARERE 18: CONCUSSIONE, INDUZIONE INDEBITA A DARE O