Frode informatica e indebito utilizzo di carte di credito

La giurisprudenza si è interrogata sulla qualificazione giuridica di condotte di accesso abusivo a sistemi informatici effettuata tramite utilizzo indebito di un'identità digitale relativa ad una cata di credito clonata: un soggetto, dopo essere entrato in possesso del codice impresso sulla banda magnetica di una carta di credito appartenente ad un cittadino straniero realmente esistente, aveva clonato la carta di credito intestata al suddetto individuo e con la stessa aveva effettuato molteplici transazioni commerciali.

Nella fattispecie sopra descritta è stato posto in essere, attraverso un indebito uso dei dati relativi ad una carta di credito e quindi con appropriazione della relativa identità digitale, un accesso abusivo nel sistema informatico della società titolare della carta di credito stessa, che ha consentito l'effettuazione di transazioni commerciali; il fatto pare dunque sussumibile nell'ambito del delitto di frode informatica di cui all'art. 640-ter c.p., ricorrendo pure la circostanza aggravante di cui all'art. 640-ter, comma 3, c.p. introdotta dall'art. 9, d.l. 93/2013 convertito nella legge 113/2013.

Sono stati, altresì, indebitamente, utilizzati, con evidente finalità di profitto, i dati relativi ad una carta di credito da parte di un soggetto che non era titolare e che li aveva carpiti clandestinamente. Si tratta, quindi, della medesima condotta prevista nel secondo periodo dell'art. 55, comma 9, d. lgs. 231/2007, laddove si fa riferimento alla contraffazione o alterazione di carte di credito o di pagamento.

La Corte di cassazione ha costantemente ritenuto che costituisce indebita utilizzazione di carta di credito, ai sensi dell'art. 12, d.l. 3 maggio 1991, n. 143 convertito con modifiche nella l. 5 luglio 1991, n. 197, l'effettuazione attraverso la rete internet di transazioni, previa immissione dei dati ricognitivi ed operativi pertinenti ad una valida carta di credito altrui, acquisiti dall'agente in modo fraudolento attraverso il sistema informatico (Cass. pen.,Sez. I, 2 ottobre 2002, n. 37115; Cass. pen.,Sez. II, 7 novembre 2014, n. 47725).

Deve, al riguardo, in primo luogo, rilevarsi che sussiste continuità normativa fra la fattispecie contemplata dall'abrogato art. 12, d.l. 3 maggio 1991, n. 143 convertito con modificazioni nella l. 5 luglio 1991, n. 197 e quella oggi sanzionata dall'art. 55, comma 9,d.lgs. 21 novembre 2007, n. 231, essendo identifica la fattispecie penale prevista nelle due citate disposizioni (Cass. pen.,Sez. II, 29 maggio 2009, n. 24527). Detto ciò va evidenziato che nelle sopra citate decisioni, si è ritenuto che l'ipotesi incriminata dell'indebito utilizzo della carta di credito, effettuato tramite l'accesso al sistema informatico, prescinde dall'effettivo possesso del documento, in quanto il reato si consuma in seguito all'addebito in banca delle operazioni effettuate con contestuale conseguimento del profitto da parte dell'utilizzatore, rappresentato dall'avere effettuato delle transazioni commerciali senza averne corrisposto il prezzo.

Il delitto di frode informatica, previsto dall'art. 640-ter c.p., è stato introdotto nel codice penale con l'art. 10, l. 547/1993 recante modifiche al codice penale e di procedura in tema di criminalità informatica; la suddetta fattispecie incriminatrice è rivolta specificamente alla repressione delle frodi informatiche, cioè di quelle condotte attuate mediante l'utilizzazione di elaboratori elettronici, estendendosi la tutela penale a quelle attività truffaldine che, per avere quale oggetto materiale uno strumento elettronico e non una persona fisica, non potevano rientrare nella fattispecie generale della truffa di cui all'art. 640 c.p., stante, appunto, la mancanza del soggetto ingannato. È stata, quindi, introdotta una nuova figura di reato avente carattere plurioffensivo, nel quale accanto alla necessità di salvaguardare il patrimonio del soggetto passivo, da identificare nel titolare del sistema informatico o telematico, si è ritenuto di offrire tutela penale anche alla sicurezza del sistema informatico stesso ed all'integrità dei dati in esso contenuti.

La fattispecie, quindi, prevede due condotte alternative di realizzazione del reato: da un lato l'alterazione di un sistema informatico o telematico, attuabile con le modalità più diverse, attraverso la quale il sistema viene modificato o manipolato, quindi distratto dai suoi schemi predefiniti, in vista del perseguimento da parte dell'agente di un ingiusto profitto con altrui danno; da un altro lato l'intervento, con qualsiasi modalità attuativa, sui dati, le informazioni o i programmi contenuti nel sistema effettuato in modo da realizzare un ingiusto profitto con altrui danno.

Il delitto è stato ad esempio ravvisato nella condotta di introduzione nel sistema informatico di Poste italiane S.P.A. posta in essere mediante l'abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro depositate sul conto corrente del predetto (Cass. pen., Sez. II, 24 febbraio 2011, n. 9891). Si tratta della seconda condotta sopra descritta, integrativa dell'ipotesi di cui all'art. 640-ter c.p., che, costituisce un reato a forma libera, posto in essere, appunto, attraverso una condotta intrusiva e non alterativa del sistema informatico a mezzo della quale l'agente viene a conseguire un ingiusto profitto con altrui danno.

Deve poi evidenziarsi che in fattispecie concrete analoghe a quella da ultimo citata il delitto di frode informatica di cui all'art. 640-ter c.p. può concorrere con quello di accesso abusivo ad un sistema informatico o telematico previsto dall'art. 615-ter c.p., trattandosi di figure criminose che hanno presupposti giuridici diversi. Segnatamente la Corte di cassazione ha affermato che diversi sono i beni giuridici tutelati e diverse sono le condotte sanzionate, in quanto il reato di cui all'art. 615-ter c.p. tutela il cosiddetto domicilio informatico sotto il profilo dello ius escludendi alios, anche in relazione alle modalità che regolano l'accesso dei soggetti eventualmente abilitati, mentre il delitto di frode informatica prevede che attraverso l'alterazione dei dati immagazzinati in un sistema o, in alternativa, l'intervento abusivo nel sistema stesso, l'agente consegua un ingiusto profitto (Cass. pen., sez. V, 19 dicembre 2003, n. 2672; Cass. pen.,Sez. V, 30 settembre 2008 n. 1727).

La questione relativa al rapporto fra le due fattispecie della frode informatica e dell'indebito utilizzo delle carte di credito o di pagamento in fattispecie analoghe a quella sopra citata si è ripetutamente posta all'attenzione della giurisprudenza ed è stata risolta dalla Corte di cassazione nel senso che la condotta di cui all'art. 55, d.lgs. 231/2007 resta assorbita nella ritenuta integrazione del delitto di frode informatica; ciò in quanto l'art. 640-ter c.p. contiene in sé l'elemento specializzante dell'utilizzazione fraudolenta del sistema informatico che assorbe l'elemento materiale del delitto di cui all'art. 55, consistente nella generica indebita utilizzazione di una carta di credito. In tale direzione si è, appunto, affermato che integra il delitto di frode informatica e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice d'accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento di fondi, tra cui quelle di prelievo di contanti attraverso i servizi di cassa continua (Cass. pen.,Sez. II, 15 aprile 2011, n. 17748). In altra decisione successiva, la Corte di cassazione, in applicazione del principio ora richiamato, aveva ritenuto di dovere qualificare come frode informatica ai sensi dell'art. 640-ter c.p. delle condotte, originariamente contestate come truffa, consistite in falsificazione ed alterazione di carte di credito, ottenute tramite l'utilizzazione di documenti falsi ed a mezzo delle quali erano state poi effettuate delle transazioni commerciali (Cass. pen., Sez. II, 10 gennaio 2012, n. 11699).

Ed il principio è stato recentemente ribadito con riferimento con riferimento ad una fattispecie di accesso al sistema informatico di una carta di credito effettuato attraverso l'utilizzazione dei dati relativi alla carta stessa, carpiti all'ignaro titolare e conseguente effettuazione di transazioni commerciali addebitate al titolare della carta stessa (Cass. pen., Sez. II,30 settembre 2015, n. 1761).

Quanto al campo di applicazione della previsione di cui all'art. 55 d.lgs. n. 231/2007, deve rilevarsi che quest'ultima fattispecie criminosa non richiede, a differenza della frode informatica di cui si è detto, ai fini della sua integrazione l'effettivo conseguimento da parte dell'agente di un ingiusto profitto con altrui danno, essendo sufficiente che lo stesso ponga in essere la condotta incriminata perseguendo un fine di profitto. Non a caso si è ritenuto consumato il reato di cui all'art. 55 citato nella condotta di un soggetto che aveva indebitamente utilizzato una carta di credito già in precedenza bloccata, circostanza che gli aveva impedito di portare a compimento gli acquisti (Cass. pen.,sez. II, 15 novembre 2012, n. 45901). Essa, quindi, sarà configurabile nel momento in cui all'accesso indebito al sistema informatico tramite carta di credito contraffatta o alterata non sarà conseguito il conseguimento di un profitto da parte del soggetto agente.

In conclusione deve ritenersi che l'abusivo utilizzo del codice informatico pertinente ad una carta di credito appartenente ad un terzo, del quale si sia venuti in possesso all'insaputa o contro la volontà del legittimo possessore, costituisce condotta idonea ad integrare il delitto di frode informatica di cui all'art. 640-ter c.p., nell'ipotesi in cui attraverso quel codice il soggetto intervenga nel sistema informatico della società emittente la carta di credito ed effettui, tramite quei dati, transazioni commerciali, così conseguendo un ingiusto profitto con altrui danno.