Frode informatica

di Pasquale Bartolo - Diritto on line (2012)

Pasquale Bartolo

Abstract

Frode informatica è la rubrica dell’art. 640 ter c.p., che, introdotto nel codice penale, nel 1993, dalla legge sui c.d. reati informatici, per punire le truffe commesse, senza l'induzione in errore di una persona, ma, attraverso la manipolazione di un sistema informatico, tutela il patrimonio nella parte in cui ricomprende tutti quei mezzi e quegli strumenti finanziari che possono essere gestiti anche attraverso un computer o internet. La fattispecie incriminatrice della frode informatica punisce, con la reclusione, chiunque, alterando o intervenendo su un sistema informatico o telematico, o anche su dati, informazioni o programmi da questi utilizzati, consegue un ingiusto profitto, con altrui danno. Tipico reato di evento e a dolo generico, la frode informatica è perseguibile a querela, se non ricorre una circostanza aggravante.

1. La fattispecie astratta e gli interessi tutelati

Frode informatica è la rubrica dell’art. 640 ter c.p., che punisce, con la reclusione da 6 mesi a 3 anni e la multa da 51 a 1.302 euro, «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico e telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno».

La fattispecie incriminatrice della frode informatica è stata inserita nel codice penale, tra i delitti (libro I) contro il patrimonio (titolo XIII) mediante frode (capo II), dall’art. 10 l. 23.12.1993, n. 547, intitolata Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica.

L’art. 640 ter, cit., deve considerarsi posto a tutela del patrimonio, inteso come l’insieme di tutte quelle disponibilità finanziarie “immateriali» (si pensi, ad esempio, ai soldi e ai titoli depositati su di un conto corrente di una banca, la quale li gestisce attraverso un sistema informatico) di cui si può disporre anche attraverso un computer (v. Mantovani, F., Diritto penale, pt. spec., II, Delitti contro il patrimonio, III ed., Padova, 2009, 210). Prima di tutto, in ragione del dato sistematico. In secondo luogo, anche perché una eguale indicazione si rinviene sia dalla struttura della fattispecie, clonata su quella della truffa, di cui all’art. 640 c.p. (contra, Pecorella, C., Il diritto penale dell’informatica, rist. con aggiornamento, Padova, 2006, 63 ss.), sia dal suo background, considerato che, nel ’93, il legislatore ha deciso di introdurla quando, rilevato che la truffa, essendo stata costruita sull’induzione in errore di una persona, risultava molte volte inadatta a punire le frodi commesse attraverso la manipolazione di sistemi o dati informatici (v., in giurisprudenza, in tal senso, Cass. pen., sez. II, 24.2.2011, n. 9891, in DeJure), sollecitato anche dall'Unione europea, ha ritenuto necessario giustapporre al vecchio art. 640, una nuova norma che fosse in grado di colmare quella che appariva come una grave lacuna del sistema penale, incapace di contrastare in modo adeguato il dilagante fenomeno delle c.d. frodi informatiche (cfr. Mucciarelli, F., Commento all’art. 10 della l. n. 547 del 1993, in Legisl. pen.,1996, 136).

D’altra parte, però, considerato che il delitto di cui all’art. 640 ter, è un tipico reato informatico, se si ferma l’attenzione sulle condotte da questo incriminate (v. infra, § 2), non si può non rilevare altresì che questa stessa norma può anche essere considerata come volta a tutelare, sia pure soltanto indirettamente, il «regolare funzionamento dei sistemi informatici e telematici», nonché «la riservatezza che deve accompagnarne l’impiego» (v., Antolisei, F., Manuale di diritto penale, pt. spec., I, XV ed., Milano, 2008, 386), che sono i beni direttamente tutelati dalle norme che puniscono il danneggiamento di sistemi informatici (artt. 635 bis-635 quinquies), l’accesso abusivo (artt. 614 ter e 614 quater), l’abusiva riproduzione e diffusione di password (art. 615 quater) e le intercettazioni abusive (artt. 617 bis -617 sexies).

Comunque, posto che le fattispecie incriminatrici dei c.d. reati informatici hanno tutte un elemento in comune che è l’«accesso» e che, com’è stato, puntualmente, evidenziato, tra queste è «opportuno distinguere tra i “reati di accesso”, in cui l’illiceità si esaurisce in esso … ed i “reati commessi mediante accesso”, in cui l’accesso, lecito o abusivo che sia, non rileva di per sé ma è strumentale ad altre ulteriori finalità o azioni illecite», se la frode informatica deve essere collocata in questa seconda categoria di reati informatici, non si può non riconoscere che il primo obiettivo perseguito dall’art. 640 ter non può che essere quello di punire quei “comportamenti comunicativi” che cagionano un danno patrimoniale ed economico, anche attraverso il solo spostamento di informazioni o dati (così, Pica, G., Internet, in Dig. pen., Aggiornamento, I, Torino, 2007, 433 ss.).

2. La condotta incriminata

2.1 Premessa

Le condotte incriminate dall’art. 640 ter sono due: a) l’alterare «in qualsiasi modo il funzionamento di un sistema informatico e telematico»; e b) l’intervenire «senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti» (v., in particolare, Pecorella, C., Commento Art. 640 ter c.p., in Codice penale commentato, Artt. 575-734 bis, a cura di E. Dolcini e G. Marinucci, III ed., Milano, 2011, 6417 ss.).

Le due condotte incriminate, però, assumono rilevanza penale soltanto se consentono di conseguire un ingiusto profitto con altrui danno, visto che la disposizione recita, testualmente, «chiunque, alterando … o intervenendo … procura a sé o ad altri un ingiusto profitto con altrui danno».

Nel caso della alterazione di un sistema non è rilevante se chi agisce è legittimato, o meno a farlo; mentre, in quello dell’intervento sui dati il disvalore della condotta si incentra proprio sulla circostanza che colui che ha agito lo ha fatto «senza diritto» (contra, Pica, G., Diritto penale delle tecnologie informatiche, Torino, 1999, 144, il quale ritiene che la seconda condotta costituisca una particolare ipotesi della prima).

2.2 L’alterazione di un sistema informatico o telematico

Un sistema informatico è quel «complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’uso, anche parziale, di tecnologie informatiche», ovverosia attraverso l’uso di una tecnologia che sia «caratterizzata – per mezzo di una attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione” di impulsi elettronici, su supporti adeguati di “dati”, e cioè da rappresentazioni elementari di un fatto, effettuate attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati», la quale «genera “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consente loro di esprimere un particolare significato per l’utente» (così, Cass. pen., sez. II, 15.4.2011, n. 17748, in DeJure).

L’elaborazione dei dati può essere effettuata sia da un singolo computer, che è un sistema informatico semplice, che da più computer tra loro connessi, come internet, che è un sistema informatico complesso.

Un sistema telematico svolge, invece, una duplice funzione, perché oltre ad elaborare, serve anche a trasmettere informazioni e dati già elaborati o, anche, ancora da elaborare.

L’alterazione di un sistema informatico o telematico, che può essere realizzata «in qualsiasi modo», si avrà ogni qual volta vi sia stata una manipolazione, che abbia modificato, fraudolentemente, il regolare modo di operare del sistema (v., Pecorella, C., Commento Art. 640 ter c.p., cit., 6417 ss.).

Le alterazioni dei sistemi informatici o telematici consistono, per lo più, in delle vere e proprie manipolazioni dei programmi, ovverosia dei software, che i computer utilizzano per elaborare dati ed informazioni e possono essere commesse sia attraverso la parziale o totale modificazione del programma, normalmente e regolarmente, utilizzato, sia attraverso la giustapposizione, sovrapposizione o contrapposizione a quest’ultimo di altri programmi (v., Cass. pen., sez. V, 19.3.2010, n. 27135, in DeJure, sull’inserimento nelle c.d. slot maschine di una seconda scheda).

2.3 L’intervento senza diritto sui dati, sulle informazioni e sui programmi

Le c.d. «interferenze» sui dati, le informazioni ed i programmi, ovverosia la modifica del contenuto o anche della funzione di queste diverse componenti di un sistema informatico o telematico rilevano soltanto, come già accennato, se colui che interviene lo fa «senza diritto».

Un intervento «senza diritto», però, non è solo quello di colui che interviene illecitamente, senza alcun diritto, ma anche quello di colui che agisce usando “male”, o anche abusando di un diritto di cui è, effettivamente, titolare.

Poste queste premesse, risulta evidente che l’illiceità dell’intervento rappresenta un elemento di tipicità del fatto, mancando il quale il fatto non può non considerarsi atipico.

Nella frode informatica, infatti, l’agire “senza diritto” è un elemento del fatto tipico, per ciò colui che agisce nell’esercizio di un diritto, correttamente esercitato, pone in essere un fatto che è diverso da quello descritto dalla fattispecie astratta. L’agire nell’esercizio di un diritto, correttamente esercitato, quindi, non scrimina, perché fa venire meno, a monte, la tipicità (contra Mantovani, F., op. cit., 201; nonché Pica, op. ult. cit., 146; cfr., sul consenso dell’avente diritto nella violazione di domicilio, Cadoppi, A.-Veneziani, P., Elementi di diritto penale, II ed., Padova, 2004, 239).

Le manipolazioni dei dati da parte dell’extraneus rilevano, per altro, sia che riguardino i dati, le informazioni ed i programmi contenuti in un sistema informatico o telematico, sia che riguardino i dati le informazioni e i programmi «pertinenti» ad un siffatto sistema: e, pertinenti devono considerarsi tutti quei dati che pur essendo contenuti in supporti materiali “esterni” (come, ad esempio, i cd, o anche i floppy) sono o input, e cioè dati e informazioni che devono essere immessi nel sistema perché questo li possa elaborare, o output, che sono i dati che il computer ha già elaborato e, quindi, i risultati dell’elaborazione (v., Pecorella, C., Commento Art. 640 ter c.p., cit., 6418).

3. L’evento e il suo disvalore

La frode informatica è un tipico reato di evento, perché «l’alterazione» del sistema e «l’interferenza» sui dati (cui l’art. 640 ter fa riferimento usando il sintagma «alterando … o intervenendo … procura») possono considerarsi tipiche soltanto quando risultano eziologicamente collegate, in un rapporto di causa-effetto, con l’evento, che la norma individua, espressamente, nel conseguimento di un profitto ingiusto per sé o per altri, ma che deve essere suddiviso in due distinti accadimenti, perché l’ingiusto profitto deve a sua volta essere stato causato dal «risultato irregolare del processo di elaborazione», che viene così ad adergere a requisito implicito della tipicità (v. Picotti, L., Reati informatici, in Enc. Giur. Treccani, Torino, 1991, 27).

Sulla ingiustizia del profitto vale, come unanimemente riconosciuto, tutto quanto è stato già osservato in relazione alla fattispecie della truffa (di cui all’art. 640 c.p.), con una puntualizzazione, considerato che nella frode informatica l’evento, su cui si catalizza il disvalore del fatto reato, acquista rilevanza, anche più che nella truffa, sotto un duplice profilo, perché la condotta può considerarsi tipica solo quando consente il conseguimento di un ingiusto profitto, il quale cagiona, a sua volta, un danno patrimoniale alla persona offesa dal reato, o meglio ancora al soggetto passivo del reato.

In altri termini, nella frode informatica il danno assume i tratti di un vero e proprio secondo evento, che non è un tutt’uno con il profitto, con il quale deve, comunque, porsi in un rapporto di causa-effetto.

Invero, se si muove dalla premessa che la frode informatica tutela direttamente il patrimonio e, eventualmente, soltanto indirettamente, il regolare funzionamento dei sistemi e la c.d. riservatezza informatica, non si può non riconoscere che è proprio il danno patrimoniale subito dalla vittima della frode, quel quid pluris che differenzia la frode dagli altri reati informatici, il cui danno si potrebbe anche dire è in re ipsa.

4. Il dolo

La frode informatica è un tipico delitto punito, soltanto, a titolo di dolo ed il dolo richiesto è generico.

Il soggetto attivo, quindi, si deve rappresentare e volere che attraverso l’alterazione del sistema informatico, oppure attraverso la manipolazione dei dati riesce a conseguire un profitto ingiusto, con altrui danno.

Il dolo, per svolgere una propria funzione selettiva sulla tipicità, si deve ritenere sussista soltanto se il reo nel momento in cui ha agito ha avuto la consapevolezza di poter esercitare il proprio dominio sull’intero processo causale, che inizia con la condotta che cagiona il risultato irregolare, seguito dall’ingiusto profitto e dall’altrui danno.

Sul punto è opportuno precisare che non vale ad escludere il dolo neppure l’eventuale errore sulla natura informatica, o meno del sistema, o anche sulla pertinenza dei dati ad un sistema, avendo, normalmente, salvo casi particolari, questi errori i tratti propri degli errori che cadono sulla legge penale, e non sul fatto.

5. La pena e le circostanze

La frode informatica è punita (con le stesse pene previste per la truffa, e cioè) con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1032.

La reclusione è da uno a cinque anni e la multa da euro 309 a euro 1549 se ricorre o una delle circostanze aggravanti di cui all’art. 640, co. 2, n. 1, oppure quella dell’essere stata la frode commessa con «abuso delle qualità di operatore del sistema».

Le aggravanti di cui all’art. 640, co. 2, n. 1, sono quella del fatto commesso in danno dello «Stato o di un altro ente pubblico», e quella del fatto commesso «col pretesto di far esonerare taluno dal servizio militare».

Operatore del sistema deve considerarsi soltanto il c.d. system admnistrator, e cioè colui il quale, avendo la possibilità di accedere a tutte le parti del sistema, ha, de facto, il controllo pieno di tutte le diverse fasi del processo di elaborazione dati e non chiunque sia abilitato ad operare alla consolle dell’elaboratore (v., in particolare, Pecorella, C., Commento Art. 615 ter c.p., in Codice penale commentato, cit., 5988 ss.).

6. La procedibilità a querela ed i profili procedurali

Il delitto (di frode informatica) è perseguibile, secondo quanto previsto dall’ultimo comma dell’art. 640 ter, a querela della persona offesa nella ipotesi base; d’ufficio nelle ipotesi aggravate da una qualsiasi circostanza.

Legittimato a proporre querela non è né il proprietario del sistema o dei dati, né colui che ha la disponibilità di questi ultimi, bensì colui che subisce il danno patrimoniale, non rilevando il fatto che quest’ultimo sia anche colui che ha la disponibilità del sistema, o dei dati che sono stati alterati o anche manipolati.

La competenza per territorio spetta al giudice del luogo in cui è stato conseguito il profitto, essendo, a tal fine, irrilevante il luogo in cui è stata posta in essere la condotta (cfr., Alesiani, V., Il momento consumativo del delitto di frode informatica: indicazioni contraddittorie della Cassazione, in Cass. pen., 2001, 485 ss.).

La competenza per materia è del Tribunale in composizione monocratica, con udienza preliminare per le ipotesi aggravate.

Le misure cautelari limitative della libertà personale possono essere applicate soltanto nelle ipotesi aggravate di cui al co. 2 dell’art. 640 ter, ma neppure in questi casi possono essere disposte le intercettazioni di conversazioni o comunicazioni telefoniche o di altre forme di telecomunicazioni, ex art. 266 e ss. c.p.p.

7. La casistica ed i rapporti con le altre fattispecie

Il dipendente di un istituto finanziario che, alterando il sistema o dei dati, riesce a spostare dei fondi da un conto all’altro facendo sì che nessuno se ne accorga (v., i molti casi tratti dalla giurisprudenza di altri Paesi, in Pecorella, C., Commento Art. 640 ter c.p., cit., 6426 ss.); e l’impiegato dell’agenzia delle entrate che fa risultare come effettuato il pagamento di una imposta mai eseguito (v. Cass. pen., sez. V, 21.9.2010, n. 40889, in DeJure; nonché Cass. pen., sez. II, 29.9.2010, n. 37127, in DeJure); è pacifico che commettono delle frodi informatiche, sussumibili alla fattispecie di cui all’art. 640 ter.

Ma il titolare di una sala giochi che sostituisce la scheda di un video gioco che è predisposta per far vincere con una percentuale del 25%, con un'altra che consente vincite per non più del 5%, commette una truffa, ex art. 640, perché con un artificio ha indotto l’ignaro avventore a giocare e a perdere, più di quanto non avrebbe voluto, o meglio dovuto (cfr. Cass. pen., sez. I, 24.2.2012, n. 11473, in DeJure); salvo che la scheda contraffatta non contenga anche un c.d. “abbattitore” capace di inviare all’ufficio delle imposte dati non veritieri sul volume di gioco, configurandosi in questo secondo caso un concorso tra la truffa in danno del giocatore e la frode informatica in danno dello Stato (cfr., Cass. pen., sez. V, 19.3.2010, n. 27135, in DeJure).

Nel caso in cui attraverso uno skimmer (che è quell’apparecchio, di solito nascosto negli sportelli bancomat, attraverso il quale si riesce a copiare la banda magnetica delle carte di pagamento) sono state clonate delle carte di pagamento, utilizzando le quali vengono effettuati dei prelievi di denaro contante da un qualsiasi sportello bancomat, i reati configurabili saranno sia la falsificazione di carte di pagamento (di cui all’art. 55, co. 9, seconda parte, d.lgs. 21.11.2007, n. 231), sia quello di frode informatica, di cui all’art. 640 ter; ma, la frode informatica, com’è stato, puntualmente, evidenziato, non può concorrere con la fattispecie che punisce “l’uso indebito di carte di pagamento” (disciplinato dalla prima parte dello stesso art. 55 citato), perché tra questa e la frode informatica sussiste un rapporto di genere a specie (v., in tal senso, Cass. pen., S.U., 28.3.2001, n. 22902, in DeJure; nonché, da ultimo, Cass. pen., sez. II, 10.1.2012, n. 11699, ibidem, e cfr. Cass. pen., sez. II, 15.4.2011, n. 17748, ibidem).

Una frode informatica si deve escludere, per altro, sia nel caso del ladro che per introdursi in un appartamento apre una serratura elettronica, introducendo un codice falso o una scheda contraffatta (v. in tal senso, Pecorella, C., Commento Art. 640 ter c.p., cit., 6417); sia in quello del dipendente che utilizza un codice falso per fare una fotocopia con una fotocopiatrice il cui utilizzo è consentito soltanto a coloro che hanno una password (contra, Pecorella, C., Commento Art. 640 ter c.p., cit., 6417), perché in tutti questi casi, il solo reato ravvisabile non può che essere il furto, di cui all’art. 624 c.p., eventualmente, aggravato, dalla destrezza, di cui all’art. 625, n. 4, c.p., considerato che questi comportamenti non possono non essere posti sullo stesso piano sul quale vanno collocati, anche in ragione del «tipo criminoso» (cfr., Bartoli, R., La frode informatica tra “modellistica”, diritto vigente, diritto vivente e prospettive di riforma, in Dir. inf., 2011, 03, 392 ss.) quelli di coloro che per rubare un pacchetto di sigarette, o una bevanda inseriscono una moneta falsa in un distributore automatico, commettendo, appunto, un furto (cfr. in giurisprudenza, Cass. pen., sez. V, 15.12.2009, n. 14869, in DeJure; in dottrina, v., le ancora attualissime considerazioni svolte da, Manzini, V., Trattato di diritto penale, IX, Torino, 1984,167, nt. 18, nonché 227 e 674).

Le fonti normative

Artt. 614 ter, 614 quater, 615 quater, 617 bis, 617 sexies, 624, 625 n. 4, 640, 640 ter, 635 bis, 635 quater c.p.; art. 55, co. 9, d.lgs. 21.11.2007, n. 231, Attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione.

Bibliografia essenziale

Alesiani, V., Il momento consumativo del delitto di frode informatica: indicazioni contraddittorie della Cassazione, in Cass. pen., 2001, 485; Antolisei, F., Manuale di diritto penale, pt. spec. I, XV ed., Milano, 2008, 275 ss.; Bartoli, R., La frode informatica tra “modellistica”, diritto vigente, diritto vivente e prospettive di riforma, in Dir. inf., 2011, 3, 383 ss.; Cajani, F., Profili penali del phishing, in Cass. pen., 2007, 2294; Cerqua, L.D., Accesso abusivo e frode informatica: l’orientamento della Cassazione, in Dir. prat. soc., 2000, 51; Corrias Lucente, G., Brevi note in tema di accesso abusivo e frode informatica: uno strumento per la tutela penale dei servizi, Dir. inf., 2001, 492 ss.; Flor, R., Phishing, Identity Theft e Identity Abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899; Guernelli, M., Frodi informatiche e responsabilità delle persone giuridiche alla luce del d.lgs. 8 giugno 2001, n. 231, in Riv. trim. dir. pen. econ., 2002, 292; Mucciarelli, F., Commento all’art. 10 della l. n. 547 del 1993, in Legisl. pen., 1996, 136; Parodi, C., Commercio elettronico e tutela penale dei mezzi di pagamento, in Dir. pen. e processo, 2001, 103; Parodi, C., Profili di rilevanza penale dei dialer, Dir. pen. e processo, 2003, 1426; Pecorella, C., Il diritto penale dell’informatica, Padova, 2006; Pecorella, C., Commento Art. 640 ter c.p., in Codice penale commentato, Artt. 575-734 bis, a cura di E. Dolcini e G. Marinucci, III ed., Milano, 2011, p. 6417 ss.; Pica, G., Internet, in Dig. pen., Torino, 2004, 425 ss.; Pica, G., Reati informatici e telematici, in Dig. pen., Aggiornamento, Torino, 2000, 521; Picotti, L., Studi di diritto penale dell’informatica, 1992; Picotti, L., Reati Informatici, in Enc. Giur. Treccani, Roma, 1999; Resta, F., Banche di dati on-line. I limiti della tutela penale, in Giur. mer., 2007, 2052; Scopinaro, L., Furto di dati e frode informatica, in Dir. pen. e processo, 2007, 364; Scopinaro, L., Internet e reati contro il patrimonio, 2007; Sisto, P., Diritto penale dell’informatica e recupero di modelli tradizionali, in Crit. pen., 1985, 28; Traversi A., Il diritto dell’informatica, II ed., Milano, 1990.

Categorie
Vocabolario
informàtico
informatico informàtico agg. e s. m. [der. di informatica, per traduz. del fr. informatique come agg. e informaticien come sost.] (pl. m. -ci). – 1. agg. Relativo all’informatica: procedimenti, sistemi, mezzi i.; trattamento i. dei dati;...
fròde
frode fròde (ant. fròda) s. f. [lat. fraus fraudis]. – 1. Atto o comportamento diretto a ledere con l’inganno un diritto altrui: carpire, ottenere, sottrarre con la f.; commettere f. in danno di qualcuno (o anche di un ente, di un’istituzione,...