𝗖ᴏʀᴛᴇ di 𝗖ᴀ𝘀𝘀ᴀᴢɪᴏɴᴇ 2^ Sezione Penale Sentenza n. 6𝟱𝟵 del 13.03.2024 : OGGETTO: 𝗧ruffa Aggravata dal Furto dell’Identità Digitale. La Corte di Cassazione, con la sentenza emessa il 13 marzo e pubblicata il 4 aprile 2024, ha chiarito che il reato di “frode informatica” con l’aggravante del “furto di identità digitale” (punito da due a sei anni) scatta anche quando si sottraggono fondi dall’home banking di una terza persona, 𝐢𝐧𝐝𝐢𝐩𝐞𝐧𝐝𝐞𝐧𝐭𝐞𝐦𝐞𝐧𝐭𝐞 𝐝𝐚𝐥 𝐦𝐞𝐳𝐳𝐨 𝐮𝐭𝐢𝐥𝐢𝐳𝐳𝐚𝐭𝐨 𝐩𝐞𝐫 𝐥’𝐚𝐜𝐜𝐞𝐬𝐬𝐨 (pin, chiavetta, ecc.). FATTO: L’imputato era stato condannato dal Tribunale di Napoli per i reato di riciclaggio, avendo messo a disposizione di ignoti il proprio conto corrente ove era confluito denaro proveniente dai delitti di accesso abusivo ad un sistema informatico e frode informatica. La Corte d’Appello di Napoli riformando la sentenza di 1° grado, ha qualificato il fatto ai sensi dell’art. 640 ter del c.p., rideterminando la pena in senso favorevole all’imputato. Avverso la sentenza della Corte d’Appello, l’imputato a mezzo del suo difensore presentava ricorso per cassazione. CORTE di CASSAZIONE : Il Collegio intende dare continuità al principio,ancora di recente ribadito, secondo il quale, in tema di frode informatica, la nozione di “identità digitale”, che integra l’aggravante di cui all’art. 640-ter, comma terzo, cod. pen., non presuppone una procedura di validazione adottata dalla Pubblica amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati. (Fattispecie in cui è stata ritenuta l’aggravante in un caso di accesso abusivo a un servizio di “home banking”). (Sez. 2, n. 40862 del 20/09/2022, Bonollo, 283653;Sez. 2, n. 8958 del 30/01/2024 n.m.). Nella motivazione di tale statuizione di legittimità, qui condivisa,si legge: “l’art.9 D.L. 93/2013, convertito con modif. nella L. 119/2013, ha introdotto il comma dell’art. 640-ter cod.pen. che prevede una circostanza aggravante ad effetto speciale del delitto di frode informatica allorchè il fatto ” è commesso con furto o indebito utilizzo dell’identità digitale”.Il legislatore non ha fornito alcuna definizione deIl”‘identità digitale”, concetto utilizzato in plurime e diversificate accezioni. La dottrina ha evidenziato come la traslazione in sede penale di definizioni tratte da fonti esterne, quali quella contenuta all’art.1 comma1, lett. u quater, del d.lgs 82/2005 ovvero quella introdotta ai fini della creazione del Sistema pubblico per la gestione delle identità digitali dei cittadini e imprese, di cui al DPCM del 24.10.2014, trova unevidente ostacolo nel fatto che si tratta di concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente. L’Ufficio del Massimario nella relazione alla legge del 21/10/2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che“L’identità digitale è comunemente intesa come l’insieme delle informazionie delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1lett.u-ter del d. lgs. 7marzo 2005 n. 82) per l’appunto nella validazione dell’insieme didatiattribuiti inmodo esclusivo edunivoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Sebbene si tratti di un concetto attendibilmente destinato ad una più esatta perimetrazione per effetto dell’elaborazione dottrinaria e giurisprudenziale, non è revocabile in dubbio che la tesi difensiva che pretende di limitare l’identità digitale alle procedure di validazione adottate dalla P.A. (SPID, CIE, firma digitale), debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o lepiattaforme di vendita online, èdestituita digiuridico fondamento in quanto si pone in rotta di collisione con la constatazione empirica circa l’esistenza di diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza inrelazione alla natura delle attività da compiere nello spazio virtuale,e con la ratio legis, intesa a rafforzare la fiducia dei cittadini neIl’utiIizzazione dei servizi on-line e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumomedianteil furto di identità”. “Tali concetti,espressi a proposito dell’utilizzo di credenziali personali per l’accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all’uso illegittimo dei cosiddetti PIN — non a caso così chiamato dall’acronimo dall’inglese Personal Identification Number – ed anche di chiavette elettroniche producono di volta in volta un codice per effettuare l’operazione bancaria, dal momento che, in tutti i casi, invero oramai sempre più numerosi,quel che rilevaè che i dati di accesso al sistema informatico di volta in volta compulsato dall’agente direttamente o attraverso l’uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata adessere utilizzata – ripetutamente o di volta in volta tramite appositi congegni – solo dal titolare o da soggetto da questi autorizzato e che,nella sostanza, sostituisce le generalità (nello stesso senso della prima decisione Sez. 2, n. 17985 del 2023 e Sez. 2, n. 38027 del 2023 non massimate). concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente. L’Ufficio del Massimario nella relazione alla legge del 21.10.2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che”L’identità digitale è comunemente intesa comel’insieme delle informazionie delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett.u-ter del d.lgs. 7 marzo 2005 n. 82) per l’appunto nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Sebbene si tratti di un concetto attendibilmente destinato ad una più esatta perimetrazione per effetto dell’elaborazione dottrinaria e giurisprudenziale, non è revocabile in dubbio che la tesi difensiva che pretende di limitare l’identità digitale alle procedure di validazione adottate dalla P.A. (SPID, CIE, firma digitaIe),debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o lepiattaforme di vendita online, èdestituita di giuridico fondamento in quanto si pone in rotta di collisione con la constatazione empirica circa l’esistenza di diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale,e con la ratio legis, intesa a rafforzare la fiducia dei cittadini neIl’utiIizzazione dei servizi on-line e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumo mediante il furto di identità”.” Tali concetti, espressi a proposito dell’utilizzo di credenziali personali per l’accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all’uso illegittimo dei cosiddetti PIN – non a caso così chiamato daIl’acronimo dall’inglese Personal Identification Number– ed anche di chiavette elettroniche che producono di volta in volta un codice per effettuare l’operazione bancaria, dal momento che, in tutti i casi, invero oramai semprepiù numerosi, quel che rileva è che i dati di accesso al sistema informatico di volta in volta compulsato dall’agente direttamente o attraverso l’uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata — ripetutamente o di volta in volta tramite appositi congegni – solo dal titolare o da soggetto da questi autorizzato e che , nella sostanza, sostituisce le generalità (nello stess osenso della prima decisione Sez. 2, n. 17985 del 2023 e Sez. 2, n. 38027 del 2023 non massimate).
CORTE di CASSAZIONE 2^ SEZIONE PENALE SENTENZA 659 deL 2023 dep. il 3.4.2024
