Il Phishing: quali reati – indice
Il phishing, e le fattispecie rilevanti ad esso riconducibili, sono costantemente oggetto di responsabilità penale. Ma quali sono i contorni del fenomeno? Il phishing integra la truffa ex art. 640 c.p., o è più coerente parlare di frode informatica ex art 640-ter c.p.?
Cerchiamo di fare un po’ di chiarezza, scoprendo quali sono le caratteristiche del phishing, e per quale motivo ricondurre il phishing a una ristretta e univoca categoria di ipotesi rilevanti penalmente potrebbe essere più difficile di quanto si possa pensare.
Trattamento illecito di dati personali
Compiamo un primo passo in questo argomento rammentando come il phishing possa ben integrare il reato di trattamento illecito dei dati personali.
Disciplinato dall’art. 167 del Codice della privacy, il trattamento illecito dei dati punisce, salvo che il fatto costituisca reato più grave, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno:
- opera in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arrecando nocumento all’interessato (reclusione da sei mesi a un anno e sei mesi);
- procede al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all’articolo 2 septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2 quinquiesdecies arrecando nocumento all’interessato (reclusione da uno a tre anni);
- procede al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arrecando nocumento all’interessato.
Considerata la natura del phishing, che consiste nel sottrarre dei dati attraverso artifizi di varia natura, si ritiene dunque ben plausibile la riconduzione al trattamento illecito dei dati personali.
Truffa
La condotta di phishing potrebbe tuttavia integrare anche un reato più grave, quello truffa, previsto dall’art. 640, 1° co., c.p., che prevede la reclusione da 6 mesi a 3 anni e la multa da 51 euro a 1.032 euro per chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno.
Il secondo comma disciplina invece il reato di truffa aggravata, se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo o l’erroneo convincimento di dover eseguire l’ordine di un’autorità, o ancora se il fatto è commesso a danno dello Stato o altro ente pubblico.
Si ritiene che nel caso di phishing possano frequentemente essere riscontrati i medesimi elementi di qualificazione del reato. Giova, per esempio, rammentare che quando si parla di artifizio lo si fa in relazione alla simulazione o alla dissimulazione della realtà, in modo da indurre in errore il soggetto passivo. Oppure, che quando si parla di raggiro lo si fa riferendosi a ogni macchinazione finalizzata a far scambiare il falso con il vero.
In ogni caso, come avviene con il phishing, prevale l’emersione di un obiettivo: lo spostamento di un patrimonio dalla vittima al colpevole.
Frode informatica
C’è poi altresì l’opportunità di integrare il reato di frode informatica, di cui all’art. 640-ter c.p., che prevede che “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro”.
Anche in questo caso esistono poi delle “aggravanti”. Una di queste è l’ipotesi in cui ricorrano le circostanze di cui al numero 1) del secondo comma dell’art. 640 c.p., ovvero se il fatto è commesso con abuso della qualità di operatore di sistema. In questo caso la pena è della reclusione da uno a cinque anni e la multa è da 309 euro a 1.549 euro.
Altra ipotesi di maggiore gravità, è se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. In questo caso la pena è della reclusione da due a sei anni e la multa è da 600 euro a 3.000 euro.
Ricordiamo infin che “il delitto è punibile a querela della persona offesa”. L’eccezione è rappresentata dalla presenza delle circostanze di maggiore gravità di cui sopra, o delle “circostanze previste dall’articolo 61, primo comma, numero 5, limitatamente all’aver approfittato di circostanze di persona, anche in riferimento all’età, e numero 7”.
Phishing e altri illeciti penali
Come dimostrato da giurisprudenza in materia, il phishing può altresì essere ricollegato ad altre ipotesi di reato. La condotta del phisher è di fatti potenzialmente ricollocabile nel novero di cui all’art. 615-ter, 1° co., c.p., secondo cui:
chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
In seguito alle innovazioni di cui alla l. 146/2006 e alla l. 48/2008, è inoltre possibile configurare in capo al phisher anche gli illeciti ex artt. 635 bis, ter, quater e quinquies, c.p. che sono relativi rispettivamente alle ipotesi di danneggiamento di:
- sistemi informatici e telematici;
- informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
- sistemi informatici o telematici di pubblica utilità.
Il reato di falsa dichiarazione sull’identità o sulle qualità personali
Ancora, il phisher può altresì rendersi colpevole del reato ex art. 495-bis c.p. sulla falsa dichiarazione o attestazione sull’identità o su qualità personali proprie o di altri, secondo cui:
Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno.
Secondo alcuna autorevole dottrina, inoltre, il phisher può rendersi altresì reo del delitto di sostituzione di persone di cui all’art. 494 c.p., secondo cui:
Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno.
In tale ipotesi non vi è, evidentemente, una materiale sostituzione della persona. Vi è tuttavia l’uso degli estremi identificativi della stessa, con la fruizione di quelle credenziali ottenute in modo abusivo per accedere ai sistemi informatici.