Truffa e frode informatica: due reati a confronto

Recependo la raccomandazione del Consiglio d'Europa n. R(89) 9, con la legge 23 dicembre 1993, n. 547, sono state introdotte nel nostro ordinamento figure specifiche di reato informatico. In particolare la legge 547 del 1993 affianca alla truffa, la nuova fattispecie della frode informatica (art. 640-ter c.p.). La nuova norma, pur presentando modalità di lesione e di realizzazione del tutto peculiari rispetto alle classiche figure criminose, mantiene lo schema del reato tradizionale di cui all'art. 640 c.p., causando numerose perplessità di ordine applicativo e interpretativo.

L'art. 640-ter c.p. è una fattispecie autonoma di reato e non una circostanza del delitto di truffa, nonostante vi siano molti punti di contatto tra le due discipline. La fattispecie, infatti, è costruita come reato ad eventi plurimi consistenti nell'ingiusto profitto e nell'altrui danno. Il riferimento al paradigma della truffa è evidenziato proprio dal tratto del duplice evento, in particolare dal tratto fraudolento della condotta (inteso come idoneità ingannevole della condotta), che però nell'art. 640-ter c.p. si realizza attraverso l'impiego di uno strumento informatico o telematico. Da ciò emerge una prima differenza con la truffa, la cui condotta è vincolata dalla messa in scena di artifici e raggiri. La dottrina al riguardo concorda nel ritenere che la condotta di artificio e/o raggiro integra anche l'art. 640-ter, laddove è richiesta l'alterazione del sistema informatico o dell'abusivo intervento, con ogni mezzo, effettuata su dati, informazioni o programmi contenuti in tali sistemi (PECORELLA; MEZZETTI). La giurisprudenza ha, inoltre, affermato che l'art. 640-ter c.p., introdotto per reprimere le condotte di arricchimento illecito tramite l'impiego di sistemi informatici, è modellato sullo schema della truffa, laddove si ha la sostituzione della condotta umana artificiosa e ingannatoria con la manipolazione del sistema informatico(Cass. pen., Sez. V, 24 novembre 2003, n. 4576).

Ulteriore differenza, non superflua, è la mancanza, nella frode informatica, dell'evento c.d. intermedio, costituito dall'induzione in errore del soggetto passivo, essendo sufficiente la mera e semplice alterazione e manipolazione del sistema informatico, con conseguente distorsione nella trasmissione dei dati (ANTOLISEI).

L'individuazione del bene giuridico protetto appare piuttosto controversa. Secondo parte della dottrina, la frode informatica è un reato plurioffensivo, perché posta a tutela del patrimonio della vittima e del corretto funzionamento dei sistemi informatici (FIANDACA - MUSCO); altra parte della dottrina, sottolineando l'affinità con la truffa, essendo identica la pena e la collocazione codicistica, propende per la natura monoffensiva, rinvenendo il bene giuridico tutelato esclusivamente nel patrimonio del soggetto passivo (MANTOVANI).

Come la truffa, il reato di frode informatica è un reato comune, potendo essere commesso da chiunque e non essendo richiesta alcuna qualifica particolare per l'agente. La qualifica di “operatore del sistema” assume rilievo solo ai fini della configurazione della circostanza aggravante.

La norma incriminatrice individua precisamente le condotte fraudolente che integrano il reato: si tratta dell'alterazione, comunque realizzata, di un sistema informatico o telematico e dell'intervento, senza diritto, con qualsiasi modalità su dati, informazioni o programmi. L'alterazione del sistema informatico può riguardare sia la componente meccanica dell'elaboratore (manipolazione hardware) sia la sua componente logica, ossia il software che consente di operare manipolazioni di programmi; pertanto, ai fini dell'alterazione del funzionamento di un tale sistema, occorre incidere su tali componenti affinché le funzioni di immagazzinamento, registrazione, elaborazione ed emissione di dati risultino deviate rispetto alla volontà del legittimo fruitore del sistema. Circa l'intervento senza diritto su dati, informazioni e programmi, il legislatore fa riferimento ad elementi dai connotati “immateriali”, ovvero dati, informazioni e programmi, apportando in tal modo una tutela più ampia, che si estende a tutte le fasi del processo elaborativo che dall'input conduce all'output.

Il momento consumativo del reato di frode informatica, dovrebbe coincidere con la realizzazione del profitto con l'altrui danno; recentemente, tuttavia, la suprema Corte di cassazione ha dato anche una lettura diversa del momento consumativo del reato di cui all'art. 640-ter c.p., affermando che esso si realizza nel momento in cui l'agente interviene sui dati del sistema informatico in modo da modificarne il funzionamento, non essendo necessaria l'effettiva alterazione dei programmi inseriti nel server (Cass. pen., sez. V, 23 luglio 2015, n. 32283).

La suprema Corte è stata più volte chiamata a dirimere i contrasti interpretativi circa la portata incriminatrice delle due norme.

Già con la sentenza n. 3065 del 4 ottobre 1999, la sesta Sezione penale si era ritrovata a dover affrontare un esempio di manipolazione di hardware ai danni della società di telefonia Telecom, consistita nell'effettuare chiamate internazionali, presso fornitori di servizi a pagamento, servendosi di apparecchi telefonici presenti in una filiale periferica. In tale occasione la suprema Corte aveva affermato che il reato (640-ter c.p.) si consuma nel momento in cui l'agente consegue l'ingiusto profitto, con correlativo danno patrimoniale altrui, e che il carattere dell'ingiustizia è attribuita al profitto per il fatto di essere stato realizzato sine jure, tanto che l'arricchimento in cui esso si risolve, risulta conseguito sine causa. D'altra parte, il profitto ingiusto (con altrui danno) deve ritenersi conseguito quando l'agente abbia ottenuto dal soggetto passivo – per mezzo dell'attività fraudolenta – la prestazione che non era dovuta: nel caso, tale profitto è stato conseguito in ciascuno dei momenti in cui gli agenti hanno ottenuto il collegamento con l'estero, utilizzando il sistema telefonico installato nella filiale "Telecom", così ricevendo prestazioni di servizi senza averne diritto, essendo l'impianto destinato a tutt'altra funzione.

Successivamente la quinta Sezione penale con riferimento ad una fattispecie nella quale si contestava all'imputato di avere trasferito somme di denaro da un conto corrente bancario verso il proprio conto, tramite l'utilizzo di Internet, ha affermato che il reato di frode informatica presenta la medesima struttura e gli stessi elementi costitutivi della truffa, con l'unica differenza che non viene indotto in errore la persona del soggetto passivo, conclusivamente ritenendo che l'attività fraudolenta dell'agente investe il sistema informatico riferibile al suddetto (Cass. pen., Sez. V, 5 febbraio 2004, n. 4576)

La suprema Corte ha anche esaminato il caso di un funzionario dell'Ufficio Agenzia delle entrate che si era abusivamente intromesso nel sistema informatico della sua amministrazione, inserendovi provvedimenti di sgravio fiscale illegittimi, alterando così i dati contenuti nel sistema in modo tale da far apparire insussistente il credito tributario dell'Erario nei confronti di molti contribuenti. La fattispecie è stata ricondotta all'alveo dell'art. 640-ter c.p. (Cass. pen., Sez. V, 30 settembre 2008, n. 8755).

In altra fattispecie, invece, l'imputato manipolava i dati del sistema informatico predisponendo false attestazioni di risarcimento dei danni, dopo essersi abusivamente impossessato delle password in dotazione agli impiegati di una compagnia assicurativa. A tal proposito è stato detto che La differenza rispetto al reato di truffa consiste nel fatto che l'atto di disposizione patrimoniale consegue alle risultanze informatiche, anziché ad una diretta induzione in errore (Cass. pen., Sez. II, 11 novembre 2009, n. 44720)

Ulteriore interessante applicazione ha riguardato l'abusivo invio di messaggi pubblicitari, c.d. spamming: in particolare la vicenda esaminata dalla suprema Corte ruotava intorno ad un contratto intercorrente tra una società, titolare di un sito web, ed un operatore del settore che ,disponendo di server appositi, gestiva svariati siti e newsletter e al quale era richiesto di occuparsi anche della gestione del sito della suddetta società. Il contratto era risolto unilateralmente dall'operatore, che aveva altresì impiegato la lista ed i recapiti degli iscritti alla newsletter del sito della società, al fine di recapitare pubblicità relativa ai prodotti del proprio sito (senza che i clienti predetti avessero mai espresso il consenso a tale trattamento dei dati). In tal modo, perciò, l'agente si era procurato “l'ingiusto profitto" rappresentato dal mancato pagamento degli introiti. La suprema Corte ha ribadito che non vi è dubbio che costituisce profitto, non solo, il vantaggio economico (e, più ingenerale, l'incremento del patrimonio) ma qualunque soddisfazione o piacere che l'agente si riprometta di conseguire dalla propria condotta criminosa (Cass. pen. Sez. III, 22 maggio 2012, n. 23798)

Successivamente, invece, la Corte ha ritenuto sussistente il reato di truffa semplice di cui all'art. 640 c.p. nel caso di profitto illecito ottenuto mediante accredito su carte prepagate. In tal caso, non sarebbe stata configurabile la frode informatica vista la mancanza di qualsiasi condotta manipolativa del sistema informatico o telematico. (Cass. pen, Sez. I, 13 marzo 2015, n. 25230). La suprema Corte si è espressa diversamente, invece, con riguardo alla condotta di un soggetto che, non essendo titolare di un conto corrente on-line, effettuava accesso al sistema telematico di un conto altrui per il conseguimento di profitto personale, nella specie una ricarica telefonica. Si è in proposito ritenuta la configurabilità del reato di cui all'art. 640- ter c.p., in quanto la condotta contestata è sussumibile nell'ipotesi "dell'intervento senza diritto su (...) informazioni (...) contenute in un sistema informatico" Infatti, anche l'abusivo utilizzo di codici informatici di terzi ("intervento senza diritto") - comunque ottenuti e dei quali si è entrati in possesso all'insaputa o contro la volontà del legittimo possessore ("con qualsiasi modalità") - è idoneo ad integrare la fattispecie di cui all'art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sè od altri un ingiusto profitto (Cass. pen. Sez. II, 13 ottobre 2015, n. 50140)

Il fulcro del problema in esame è rappresentato dalla possibilità di configurare l'esistenza di un rapporto di species a genus tra la fattispecie di frode informatica e quella di truffa. La dottrina è divisa sul punto. Un orientamento ritiene che il delitto previsto dall'art. 640-ter c.p. costituirebbe un'ipotesi di reato speciale rispetto a quella generale di truffa (MANTOVANI). Tuttavia, tale assunto non appare condivisibile dal momento che la fattispecie dell'art. 640-ter c.p., rispetto al delitto di truffa, presenta elementi d'autonomia tali da rendere strutturalmente non configurabile un rapporto di specialità tra le due fattispecie delittuose. In particolare, rispetto alla fattispecie che disciplina la truffa, nell'art. 640-terc.p. non vi è alcun riferimento a una condotta vincolata, posta cioè in essere con artifici o raggiri tesi a indurre in errore il soggetto passivo (o altro soggetto terzo) ed a fargli compiere un atto di disposizione patrimoniale che altrimenti non porrebbe in essere. Nelle fattispecie di frode informatica l'agente, lungi dall'indurre taluno in errore, nel porre in essere una condotta a forma libera (di alterazione del funzionamento del sistema informatico o telematico ovvero di intervento abusivo su dati, informazioni o programmi in esso contenuti), rivolge la propria condotta fraudolenta direttamente sul sistema informatico o telematico, e solo da tale condotta derivano direttamente gli eventi dell'ingiusto profitto e dell'altrui danno.

Le scelte operate in sede di formulazione della norma, che evocano per lo più in concetti generali, pur se sufficientemente tecnici, come alterazione del funzionamento, intervento senza diritto ovvero sistema informatico o telematico, rispecchiano la volontà di creare una disposizione adatta a resistere al divenire dello sviluppo tecnologico degli strumenti informatici. Le scelte del Legislatore appaiono, pertanto, adeguate ed a ben vedere lungimiranti, e comunque la soluzione italiana del '93 è risultata in perfetta coerenza con la già menzionata raccomandazione del Consiglio d'Europa N. R(89) 9. Il Legislatore era evidentemente consapevole di non poter cristallizzare in una norma positiva tutte le molteplici possibili modalità di frode informatica, perciò ha scelto di delegare al giudice un ruolo innovatore, sulla base però di clausole di partenza precise e al tempo stesso elastiche. Come il mondo informatico è soggetto a rapida evoluzione, così anche l'interpretazione del diritto in ambito informatico deve essere in grado di progredire pur rimanendo salda alle proprie radici: è necessario individuare il giusto equilibrio fra il rispetto dei principi dell'ordinamento penale e la necessità di rispondere in maniera effettiva alle sempre nuove istanze della società civile, le quali a volte richiedono un ripensamento delle categorie tradizionali. Ciò avviene grazie ai principi fondamentali del sistema, in particolare quelli di offensività della condotta e materialità della lesione, i quali consentono di individuare ciò che funge da minimo comune denominatore fra le condotte di frode, quel nucleo di offensività che si può riscontrare in tutte le diverse manifestazioni di condotta illecita prescindendo dal grado di avanzamento tecnologico, dalla specifica funzione e dalla dimensione che caratterizza il singolo sistema: nella frode informatica lo si rinviene nella manipolazione del processo “legittimo” posto in essere dall'elaboratore automatizzato o nell'intervento senza facoltà legittima sui contenuti dello stesso (con danno e profitto).

ANTOLISEI, Manuale di diritto penale. Parte speciale, vol. 1, Milano, 2013;

FIANDACA - MUSCO, Diritto penale. Parte Speciale, Torino, 2014;

MANTOVANI, Diritto penale. Parte speciale, Vol. 2, Padova, 2014;

MEZZETTI, Trattato di diritto penale, Parte speciale: I reati contro il patrimonio, Milano, 2013;

PECORELLA, Il diritto penale dell'informatica, Padova, 2000, 67.