Quella incerta linea di confine tra il phishing ed il riciclaggio

Il reato di riciclaggio non concorre con quello di frode informatica realizzata attraverso il c.d. phishing, ovvero l'invio di mail riportanti il logo contraffatto di un istituto di credito o di una società di commercio elettronico con cui il destinatario viene invitato a fornire dati bancari riservati

La Corte di appello di Roma confermava, revocando soltanto la pena accessoria applicata a Tizio, la sentenza di condanna emessa dal tribunale di Roma con la quale lo stesso Tizio era stato ritenuto responsabile del reato di cui agli artt. 119, 81 cpv., 648, 61 n. 2 (capo 1), 497-bis, comma 2, (capo 3), 648-bis (capo 4), 494 (capo 6) c.p. ed era stato condannato alla pena di anni tre, mesi dieci e giorni dieci di reclusione ed Euro 2.000,00 di multa.

Tizio, a mezzo del proprio difensore, interponeva ricorso per Cassazione avverso la sentenza della Corte territoriale deducendo, tra i motivi che in questa sede più interessano, la mancanza e contraddittorietà della motivazione con riferimento alla mancata sussunzione della ritenuta ipotesi di riciclaggio nell'alveo della presupposta frode informatica.

Il difensore eccepiva inoltre l'erronea applicazione degli artt. 640-ter (frode informatica) e 648-bis (riciclaggio) c.p. in relazione alla qualificazione giuridica dei fatti: lo stesso sosteneva, infatti, che anche a voler ritenere sussistente un intralcio rispetto alla individuazione della provenienza delittuosa dei beni, le modalità della truffa informatica comprendevano anche il riciclaggio del denaro ricavato, configurandosi in tal modo il concorso nel reato presupposto che escludeva la fattispecie di cui all'art. 648-bis c.p.

Secondo la ricostruzione effettuata dai giudici di secondo grado, Tizio aveva aperto dei conti correnti sui quali erano confluiti gli importi illecitamente carpiti e, in un'epoca di poco successiva alla commissione dei delitti mediante i quali era stato realizzato il phishing (art. 615-bis e 640-ter c.p.) aveva consentito la realizzazione del profitto di tali reati.

Il principale quesito posto nel caso in esame alla Suprema Corte era il seguente: in materia di frode informatica (ed in particolare di phishing) le condotte poste in essere dal c.d. collaboratore-prestaconto integrano riciclaggio o rimango assorbite nella fattispecie di cui all'art. 640-ter c.p.?

Il primo comma della fattispecie delittuosa di cui all'art. 640-ter c.p. punisce « chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno ».

La condotta incriminata può dunque realizzarsi in una duplice maniera:

1. alterando il funzionamento di un sistema informatico o telematico;
2. intervenendo senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti.

In dottrina si è sostenuto che l'alternatività di tali condotte sarebbe solo apparente, posto che l'intervento senza diritto su dati, informazioni o programmi comporterebbe già un'alterazione del funzionamento del sistema informatico o telematico, divenendo così la prima previsione una inutile specificazione della seconda.

L' intervento senza diritto è relativo a dati, informazioni o programmi contenuti in un sistema informatico o ad esso pertinenti; tale ultima condizione è riscontrabile ad esempio nei dati memorizzati su supporti esterni all'elaboratore (chiavetta USB), nonché nei dati memorizzati su carta magnetica (carta di pagamento) che sono certamente pertinenti al sistema informatico di cui tali carte consentono la fruizione.

Non pare in questa sede superfluo ricordare come i beni giuridici tutelati debbano essere individuati nella tutela del patrimonio, nella regolarità del funzionamento dei sistemi informatici nonché nella riservatezza dei dati dagli stessi trattati.

Si rammenta inoltre come la frode informatica altro non sia che una peculiare figura di truffa, dalla quale tuttavia si distingue per taluni aspetti. Il reato di cui all'art. 640-ter c.p. non richiede, infatti, la sussistenza di artifizi e raggiri nè l'induzione in errore, essendo sufficiente una mera attività materiale di alterazione o manipolazione, da ricollegarsi alla stessa ratio sottesa alla nuova figura criminosa, la quale, date le difficoltà di concepire un inganno ordito ai danni di una macchina, è chiamata a sopperire alla truffa in tutti i casi in cui l'elaboratore ha sostituito il processo decisionale di un essere umano nella valutazione di situazioni rilevanti sul piano economico.

La questione tuttavia più discussa in dottrina è sicuramente quella attinente al momento consumativo di tale fattispecie criminosa.

Sul punto è a dirsi che ad oggi, l'opinione prevalente, accoglie la concezione economico-patrimoniale del danno in luogo di quella c.d. giuridica, giungendo ad affermare che il reato si consuma non già al momento della realizzazione dell'evento informatico” - ossia nel momento in cui risulti posta in essere l'alterazione o l'intervento senza diritto sul sistema informatico o telematico - bensì nel momento in cui l'agente ottenga la disponibilità “elettronica” di somme anche senza materialmente incassarle, ma soltanto limitandosi a provocarne l'accredito sul proprio conto corrente.

La giurisprudenza di legittimità invece tende ad anticipare il momento consumativo alla fase dell'intervento senza diritto: il reato di frode informatica si consuma nel momento in cui l'agente interviene sui dati del sistema informatico in modo da modificarne il funzionamento rispetto a quanto in precedenza possibile, non essendo necessaria una effettiva alterazione dei programmi inseriti nel server (fattispecie in cui la corte ha ritenuto configurabile il delitto in parola nella condotta di un avvocato che, dopo aver comunicato la propria volontà di recedere da uno studio associato, si era impossessato di alcuni files, cancellandoli dal server dello studio) (ex multis, Cass. pen., Sez. V, 19 febbraio 2015, n. 32383). Orientamento quest'ultimo seguito, peraltro, anche dalla sentenza in commento.

In giurisprudenza si è altresì sostenuto che le condotte di phishing, consistenti nel pescare, mediante abusivo inserimento nel sistema informatico di un'istituzione finanziaria o mediante false e-mail dirette ai clienti delle banche o delle poste, i dati significativi dei rapporti di conto corrente intrattenuti dagli stessi - dati che vengono successivamente utilizzati in modo fraudolento per clonare carte di credito e/o di pagamento o per disporre on line operazioni di trasferimento di denaro su conti correnti nella disponibilità dei criminali con successivo prelevamento di contanti e conseguente sparizione del denaro fraudolentemente sottratto - integrino la fattispecie di truffa punita ex art. 640 c.p. e non quella di cui all'art. 640-ter c.p. (trib. Monza, 7 maggio 2009, Riv. Pen. 2010, 1301).

Passando ora alla disamina della fattispecie criminosa di cui all'art. 648-bis c.p., si rammenta come la stessa punisca chiunque, fuori dei casi di concorso nel reato, sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l'identificazione della loro provenienza delittuosa.

La individuazione del bene giuridico tutelato dalla norma in parola è stata oggetto di numerosi, articolati e diametralmente opposti orientamenti interpretativi di dottrina e giurisprudenza, ricollegabili anche alle diverse modifiche che ha subito l'art. 648-bis c.p. nel corso degli anni. In particolare si è sostenuto che la fattispecie delittuosa di riciclaggio tuteli, da un lato, l'amministrazione della giustizia, dal momento che le condotte tipiche di tale fattispecie criminosa sono orientate ad ostacolare l'identificazione della provenienza illecita dei beni nel senso di impedire la ricostruzione del percorso seguito dal bene o utilità apparentemente legittimo attraverso tutti i passaggi e le operazioni di “lavaggio”, sino alla originaria provenienza criminosa; dall'altro lato la norma si pone a tutela dell'ordine pubblico, essendo la repressione del fenomeno del riciclaggio un'importante forma di contrasto della criminalità organizzata. Alcuni altri autori ritengono, poi, che la norma in parola si ponga a tutela anche dell'ordine economico, posto che l'immissione di capitali di provenienza illecita costituisce un elemento di intralcio rispetto alla libera concorrenza del mercato, intervenendo come fattore di destabilizzazione dello stesso.

Per quel che attiene alla condotta tipica di tale fattispecie criminosa, ad un precedente orientamento del legislatore che annoverava l'ipotesi delittuosa di cui all'art. 648-bis c.p. fra i c.d. reati a consumazione anticipata, per la cui realizzazione non era necessario che si verificasse l'evento lesivo ma era sufficiente il compimento di atti o fatti diretti a realizzare il risultato prefissato, vale a dire il riciclaggio del denaro o dei valori, si è fatta strada l'interpretazione figlia della novella del 1990 (art. 23. l. 19 marzo 1990, n. 55), secondo la quale l'inserimento, accanto alla condotta di sostituzione, di ostacolo alla identificazione agiva come clausola di chiusura caratterizzando così l'evento, potendosi dunque abbandonare lo schema della consumazione anticipata: tutte le condotte prodromiche potevano essere qualificate come delitto tentato ex art. 56 c.p.

La vigente versione della fattispecie delittuosa, alla luce delle modifiche apportate con l'art. 4 della l. 9 agosto 1993, n. 328, prevede il trasferimento dei proventi illeciti ed ha modificato l'inciso ostacola l'identificazione con compie operazioni in modo da ostacolare l'identificazione.

La consumazione del reato di riciclaggio si ritiene pertanto che debba individuarsi nel momento in cui viene compiuta anche solo una singola operazione fra quelle indicate nella norma incriminatrice, idonea ad ostacolare l'identificazione del bene proveniente dal delitto.

La condotta tipica del reato di riciclaggio, perpetrabile anche attraverso la tecnica del phishing, ha evidenziato nuovi e poco esplorati campi di applicazione di tale fattispecie, contrassegnati da importanti pronunzie di merito.

La prima delle pronunce in tal senso rilevanti è quella del Gup presso il tribunale di Palermo (21 aprile 2009) che, pronunciandosi su un caso di riciclaggio di denaro proveniente da azioni criminose commesse nel web, ha sostenuto come, nell'attività di phishing, assuma rilievo anche quella di mediazione finanziaria di quei soggetti che, senza essere concorsi nel reato presupposto, nella consapevolezza della provenienza illecita o, comunque, accettandone il rischio, a seguito di richieste di collaborazione in internet o pervenute tramite mail o chat, pongono all'incasso e successivamente trasferiscono somme di denaro, tutte provenienti da reato, condotte astrattamente sussumibili sotto la fattispecie di cui agli artt. 648 e 648-bis c.p.

Tale pronuncia in particolare affronta, una delle questioni maggiormente dibattute in dottrina e giurisprudenza, ossia la configurabilità del riciclaggio mediante dolo eventuale.

Secondo la dottrina maggioritaria, il dolo eventuale si configura laddove l'agente, ponendo in essere un comportamento diretto ad altri scopi, si rappresenta la concreta possibilità del verificarsi di ulteriori conseguenze della propria azione, accessorie rispetto alla finalità della sua condotta, e, nonostante ciò, agisca accettando il rischio di cagionarle.

Nel solco di tale impostazione, la citata pronuncia di merito afferma che nel reato di riciclaggio, a differenza di ciò che avviene per la fattispecie di cui all'art. 648 c.p., l'elemento soggettivo può sicuramente essere integrato dall'accettazione del rischio che la propria condotta possa ostacolare l'identificazione della provenienza delittuosa del denaro, dei beni o di altre utilità: il giudice, nel caso di specie, perviene alla conclusione che gli imputati si erano rappresentati come altamente probabile il rischio della verificazione dell'evento tipico.

Sul tema si è invece pronunciata in senso difforme la Suprema Corte (Cass. pen., Sez. II, 17 giugno 2011, n. 25960) secondo la quale ai fini dell'integrazione dell'elemento soggettivo del delitto di riciclaggio è sufficiente il dolo generico, ma è necessaria la consapevolezza concreta della provenienza della cosa da delitto.

Nel c.d. phishing (cioè in quella peculiare truffa informatica perpetrata inviando mail con il logo contraffatto di un istituto di credito o di altra società con cui si invita il destinatario a fornire dati riservati quali il numero di carta di credito, la password di accesso al servizio di home banking, ecc., motivando tale richiesta con ragioni di ordine tecnico) si rinviene di solito la presenza di un hacker (esperto informatico) che si procura i dati e di un collaboratore “prestaconto” che mette a disposizione un conto corrente per accreditare le somme.

Orbene, venendo alla questione che più interessa in questa sede, ci si deve chiedere quando il c.d. prestaconto potrà rispondere di riciclaggio, anziché della (meno grave) frode informatica.

Posta la necessità di individuare taluni criteri distintivi, soprattutto nei casi in cui la consumazione del reato di riciclaggio sia stata preceduta da un accordo tra il riciclatore e l'autore del reato presupposto, la dottrina si è orientata verso l'adozione del criterio temporale, seppur ammettendo la necessità di dover « verificare caso per caso se la preventiva assicurazione di lavare il denaro abbia realmente influenzato o rafforzato, negli autori dei reati principali, la decisione di delinquere » (Fiandaca – Musco, Diritto, p.s., II, 236).

La giurisprudenza di legittimità è andata oltre sostenendo che « nel riciclaggio di denaro, beni o altre utilità provenienti da delitto, il criterio per distinguere la responsabilità in ordine a tale titolo di reato dalla responsabilità per il concorso nel reato presupposto - che escluderebbe la prima – non può essere solo quello temporale ma occorre, in più, che il giudice verifichi, caso per caso, se la preventiva assicurazione di “lavare” il denaro abbia realmente (o meno) influenzato o rafforzato, nell'autore del reato principale, la decisione di delinquere (fattispecie nella quale all'indagato era stato contestato il reato di riciclaggio di somme di danaro ottenute illecitamente da terzi mediante la commissione di reati di appropriazione indebita e corruzione; la S.C. ha ritenuto che non risultassero, allo stato, accertati elementi atti a comprovare il concorso del ricorrente nel reato presupposto ex art. 646 c.p., essendo incerti il momento e le modalità di costituzione, da parte sua, delle società estere attraverso le quali aveva realizzato il trasferimento del denaro; ha quindi rigettato la doglianza sulla erronea qualificazione giuridica del fatto) » (Cass. pen., Sez. V, 10 gennaio 2007, n. 8432)

Alla luce di quanto sopra si ritiene che colui al quale potrà essere contestato il riciclaggio nell'ambito di una operazione riconducibile al c.d. phishing sarà molto probabilmente la figura del “prestaconto”. Va da sé che, anche l'individuazione del momento consumativo della fattispecie di cui all'art. 640-ter c.p., rivesta una fondamentale importanza nell'applicazione dei criteri distintivi suddetti in quanto è evidente che, più si collocherà a monte la consumazione della frode (come la sentenza in commento) più margini rimarranno per l'integrazione del delitto di riciclaggio.

Il “prestaconto” potrà, pertanto, difendersi principalmente facendo leva su due ordini di argomentazioni: dimostrare, sulla base dei criteri anzidetti, l'effettivo concorso nel reato presupposto (meno grave) oppure puntare sull'assenza in capo allo stesso dell'elemento soggettivo invocando quell'orientamento che esclude la configurabilità del riciclaggio con dolo eventuale.

Strategie queste che, molto probabilmente, si porranno in alternativa tra loro: chi infatti era consapevole della illiceità delle somme accreditate potrà più agevolmente sostenere di avere partecipato alla perpetrazione della frode.

MANNA, Artifici e raggiri on line: la truffa contrattuale, il falso informatico e l'abuso dei mezzi di pagamento elettronici, in Dir. inform. 2002, 961 s.;

GUERINI, Le norme del codice penale in tema di repressione dei fenomeni di riciclaggio, in Bricola – Zagrebelsky, Giurispr. sistematica di diritto penale – Diritto penale della banca, del mercato mobiliare e finanziario, Torino, 2002, p. 396.;

FLICK, Riciclaggio, in Enc. Giur., Treccani, Torino, Vol. XXVII, 1991, p. 5;

PECORELLA, Denaro (sostituzione di),in Dig. D. Pen., 1989, Vol. III;

FEROLA, Il riciclaggio da phishing: tra vecchie e nuove questioni interpretative (nota a G.i.p. Palermo 21 aprile 2009), in Giur. merito, fasc. 11, 2009, 2825 ss.;

SCIRÈ, In tema di riciclaggio, dolo eventuale e frode informatica mediante phishing, in Dir. pen. cont.