Codice Penale art. 640 ter - Frode informatica 1 .

Soggetti

Soggetto attivo

Il reato di cui all'art. 640-ter  può essere commesso da chiunque, essendo un reato comune. È prevista un'ipotesi aggravata ove il fatto sia commesso con abuso della qualità di operatore del sistema.

Elemento materiale

Come elemento materiale del reato, in luogo degli artifizi e raggiri previsti per il reato di truffa, la frode informatica prevede una mera attività materiale di alterazione o manipolazione di un sistema informatico o telematico posta in essere intervenendo, con qualsiasi modalità, su dati, informazioni o programmi contenuti in un sistema informatico o telematico. Sono previste, quindi, due condotte alternative di realizzazione del reato: da un lato l'alterazione di un sistema informatico o telematico, attuabile con le modalità più diverse, attraverso la quale il sistema viene modificato o manipolato, quindi distratto dai suoi schemi predefiniti, in vista del perseguimento da parte dell'agente di un ingiusto profitto con altrui danno; da un altro lato l'intervento, con qualsiasi modalità attuativa, sui dati, le informazioni o i programmi contenuti nel sistema effettuato in modo da realizzare un ingiusto profitto con altrui danno.

La Cassazione ha, al riguardo, chiarito che il reato di frode informatica di cui all'art. 640-ter, ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perché l'attività fraudolenta dell'agente investe non la persona (soggetto passivo), di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Nel caso di specie l'agente, utilizzando il sistema telefonico fisso installato in una filiale della società italiana per l'esercizio telefonico, con la veloce e ininterrotta digitazione di numeri telefonici, in parte corrispondenti a quelli per i quali il centralino era abilitato e in parte corrispondenti a utenze estere, riusciva ad ottenere collegamenti internazionali, eludendo il blocco predisposto per le chiamate internazionali per le quali il sistema non era abilitato, così esponendo debitoriamente la società italiana per l'esercizio telefonico nei confronti dei corrispondenti organismi esteri autorizzati all'esercizio telefonico.

Viene definito sistema informatico, secondo la ricorrente espressione utilizzata nella l. 23 dicembre 1993, n. 547, che ha introdotto nel codice penale i cosiddetti computer's crimes, un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate — per mezzo di un'attività di «codificazione» e «decodificazione» — dalla «registrazione» o «memorizzazione», per mezzo di impulsi elettronici, su supporti adeguati, di «dati», cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare «informazioni», costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente. La Cassazione, nell'occasione, ha precisato che la valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici (Cass. VI, n. 3067/1999; nel caso di specie è stata ritenuta corretta la motivazione dei giudici di merito che avevano riconosciuto la natura di «sistema informatico» alla rete telefonica fissa — sia per le modalità di trasmissione dei flussi di conversazioni sia per l'utilizzazione delle linee per il flusso dei cosiddetti «dati esterni alle conversazioni» — in un caso in cui erano stati contestati i reati di accesso abusivo a sistema informatico e di frode informatica.

Si è ritenuto integrato il reato di frode informatica, e non già soltanto quello di accesso abusivo ad un sistema informatico o telematico, la condotta di introduzione nel sistema informatico delle Poste italiane S.p.A. mediante l'abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro depositate sul conto corrente del predetto (Cass. II, n. 9891/2011). Inoltre il reato è integrato anche dalla condotta di chi, pur autorizzato ad accedere ad un sistema informatico protetto, vi si trattenga, contro la volontà espressa o tacita di chi abbia il diritto di escluderlo, per finalità diverse da quelle per le quali era stato abilitato (Cass. V, n. 24583/2011).

Elemento psicologico

Per l'integrazione del reato, dal punto di vista soggettivo, è necessario il dolo generico, che, a differenza della truffa, non comprende la volontà dell'inganno, essendo sufficiente la coscienza e volontà di alterare il sistema. Nella seconda condotta descritta dalla norma incriminatrice, quella dell'intervento senza diritto, il dolo deve ricomprendere, appunto, anche la suddetta antigiuridicità speciale (Masi).

Circostanze aggravanti

L'art. 640-ter comma 2 prevede due ipotesi di circostanze aggravanti ad effetto speciale: la prima fa riferimento alle ipotesi previste nell'art. 640-comma 2 n. 1, cioè essenzialmente il fatto commesso ai danni dello Stato; la seconda, invece, consiste nel fatto commesso con abuso della qualità di operatore del sistema. Al riguardo ci si vuole riferire ad una nozione atecnica di operatore del sistema, comprendente in essa qualsiasi mansione che implichi una qualunque attività di utilizzazione di un elaboratore (Parodi).

In questo senso si è ritenuto che l'installatore di "slot machine" che provveda all'inserimento di schede informatiche dallo stesso predisposte, e tali da alterare il sistema informatico così da eludere il pagamento delle imposte previste con conseguente ingiusto profitto, assume la qualifica di operatore di sistema, rilevante ai fini dell'integrazione della circostanza aggravante prevista dall'art. 640-ter, secondo comma, c.p. (Cass. II, n. 17318/2019).

L'art. 640-ter comma 3, introdotto dall'art. 9 d.l. 14 agosto 2013 n. 93, conv. nella l. 15 ottobre 2013, n. 119, prevede un ulteriore circostanza aggravante ad effetto speciale se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti. Deve a questo riguardo rilevarsi che il legislatore non ha fornito alcuna indicazione in ordine alla definizione del concetto di identità digitale; la Cassazione, in una recente decisione, ha fatto propria la definizione del concetto contenuta nella relazione del massimario predisposta in seguito all'entrata in vigore della norma che introdotto la nuova fattispecie incriminatrice; segnatamente si è affermato che: "L'identità digitale è comunemente intesa come l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall'art. 1 lett. u-ter del d. Igs. 7 marzo 2005 n. 82) per l'appunto nella validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso". Sulla base di tale definizione la Cassazione ha escluso che l'identità digitale potesse intendersi limitata alle sole procedure di validazione adottate dalla P.A. (SPID, CIE, firma digitale),debitamente certificate, dovendosi, invece includere nella nozione anche le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita on line; ciò in quanto esistono diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale ed il legislatore, introducendo la circostanza aggravante in argomento, è intervenuto per offrire una tutela rafforzata nel settore del credito al consumo mediante il furto di identità (Cass. II, n. 40862/2022).

Consumazione

Anche la frode informatica si consuma nel momento in cui l'agente consegue l'ingiusto profitto con correlativo danno patrimoniale altrui. Con specifico riferimento al reato di frode informatica aggravata, commesso in danno di un ente pubblico, la Cassazione ha affermato che esso si consuma nel momento in cui il soggetto agente (nella specie: il pubblico dipendente infedele) interviene, senza averne titolo, sui dati del sistema informatico, alterandone, quindi, il funzionamento (Cass. II, n. 6958/2011). E nella stessa direzione, ai fini della determinazione della competenza territoriale, si è ritenuto che nel reato di frode informatica il momento consumativo va individuato nel luogo di esecuzione della attività manipolatoria del sistema di elaborazione dei dati, che può coincidere con il conseguimento del profitto anche non economico (Cass. III, n. 23798/2012). Nel caso di specie il luogo di commissione del reato è stato individuato nella sede della società gestita dagli imputati, presso la quale si trovavano i server contenenti i dati oggetto di abusivo trattamento.

Ancora la Cassazione ha affermato che il reato di frode informatica si consuma nel momento in cui l'agente interviene sui dati del sistema informatico in modo da modificarne il funzionamento rispetto a quanto in precedenza possibile, non essendo necessario una effettiva alterazione dei programmi inseriti nel «server» (Cass. V, n. 32383/2015). Nel caso concreto la Corte ha ritenuto configurabile il delitto in questione nella condotta di un avvocato che, dopo aver comunicato la propria volontà di recedere da uno studio associato, si era impossessato di alcuni «files», cancellandoli dal «server» dello studio.

Rapporti con altri reati

La Cassazione ha costantemente affermato che il delitto di frode informatica di cui all'art. 640-ter c.p. ha la medesima struttura ed i medesimi elementi costitutivi della truffa, dalla quale si differenzia solamente perché l'attività fraudolenta dell'agente investe non la persona, di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza di quest'ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l'agente consegue l'ingiusto profitto con correlativo danno patrimoniale altrui (Cass. II, n. 10354/2020).

Il delitto di frode informatica di cui all'art. 640-ter può concorrere con quello di accesso abusivo ad un sistema informatico o telematico previsto dallart. 615-ter , trattandosi di figure criminose che hanno presupposti giuridici diversi. Segnatamente la Corte di Cassazione ha affermato che diversi sono i beni giuridici tutelati e diverse sono le condotte sanzionate, in quanto il reato di cui all'art. 615-ter tutela il cosiddetto domicilio informatico sotto il profilo dello ius escludendi alios, anche in relazione alle modalità che regolano l'accesso dei soggetti eventualmente abilitati, mentre il delitto di frode informatica prevede che attraverso l'alterazione dei dati immagazzinati in un sistema o, in alternativa, l'intervento abusivo nel sistema stesso, l'agente consegua un ingiusto profitto (Cass. V, n. 1727/2008).

La Cassazione ha chiarito che l'elemento distintivo tra il delitto di peculato e quello di frode informatica aggravata ai danni dello Stato va individuato con riferimento alle modalità del possesso del denaro o d'altra cosa mobile altrui oggetto di appropriazione: in particolare, è configurabile il peculato quando il pubblico ufficiale o l'incaricato di pubblico servizio si appropri delle predette «res» avendone già il possesso o comunque la disponibilità per ragioni dell'ufficio o servizio; integra, quindi, il reato di frode informatica, previsto dall'art. 640-ter - e non quello di peculato - la modifica di apparecchi elettronici di gioco idonea ad impedire il collegamento con la rete dell'Agenzia monopoli di Stato ed il controllo sul flusso effettivo delle giocate e delle vincite totalizzate, di modo che il titolare della concessione si appropri delle somme spettanti allo Stato a titolo di imposta Cass. II, n. 24634/2018).

La questione relativa al rapporto fra le due fattispecie della frode informatica e dell'indebito utilizzo delle carte di credito o di pagamento in fattispecie analoghe a quella sopra citata si è ripetutamente posta all'attenzione della giurisprudenza ed è stata risolta dalla Corte di Cassazione nel senso che la condotta di cui all'art. 55 d.lgs. n. 231/2007 resta assorbita nella ritenuta integrazione del delitto di frode informatica; ciò in quanto l'art. 640-ter contiene in sé l'elemento specializzante dell'utilizzazione fraudolenta del sistema informatico che assorbe l'elemento materiale del delitto di cui all'art. 55, consistente nella generica indebita utilizzazione di una carta di credito. In tale direzione si è, appunto, affermato che integra il delitto di frode informatica e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice d'accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento di fondi, tra cui quelle di prelievo di contanti attraverso i servizi di cassa continua (Cass. II, n. 17748/2011). In altra decisione successiva, la Corte di Cassazione, in applicazione del principio ora richiamato, aveva ritenuto di dovere qualificare come frode informatica ai sensi dell'art. 640-ter delle condotte, originariamente contestate come truffa, consistite in falsificazione ed alterazione di carte di credito, ottenute tramite l'utilizzazione di documenti falsi ed a mezzo delle quali erano state poi effettuate delle transazioni commerciali (Cass. II, n. 11699/2012). Ed il principio è stato recentemente ribadito con riferimento con riferimento ad una fattispecie di accesso al sistema informatico di una carta di credito effettuato attraverso l'utilizzazione dei dati relativi alla carta stessa, carpiti all'ignaro titolare e conseguente effettuazione di transazioni commerciali addebitate al titolare della carta stessa (Cass. II, n. 1761/2015).

Quanto al campo di applicazione della previsione di cui all'art. 55 d.lgs. n. 231/2007, deve rilevarsi che quest'ultima fattispecie criminosa non richiede, a differenza della frode informatica di cui si è detto, ai fini della sua integrazione l'effettivo conseguimento da parte dell'agente di un ingiusto profitto con altrui danno, essendo sufficiente che lo stesso ponga in essere la condotta incriminata perseguendo un fine di profitto.

In questa direzione la Cassazione ha affermato che integra il delitto di indebita utilizzazione di carte di credito di cui all'art. 55, comma 9, d.lgs. 21 novembre 2007, n. 231 (oggi art. 493-bis), e non quello di frode informatica exart. 640-ter, la condotta di colui che, ottenuti, senza realizzare frodi informatiche, i dati relativi ad una carta di debito o di credito, unitamente alla stessa tessera elettronica, la utilizzi indebitamente per effettuare prelievi di denaro (Cass. II, n. 50395/2019).

La Cassazione ha recentemente chiarito che il reato di frode informatica si differenzia da quello di danneggiamento di dati informatici, cui cui agli artt. 635-bis ss., perché, nel primo il sistema informatico continua a funzionare, benché in modo alterato rispetto a quello programmato, mentre nel secondo l'elemento materiale e' costituito dal mero danneggiamento del sistema informatico o telematico, e quindi da una condotta finalizzata ad impedire che il sistema funzione (Cass. II, n. 54715/2016).

Circa il rapporto fra il delitto in esame e quello di cui all'art. 617-quinquies c.p., la Cassazione, nel precisare che quest'ultima fattispecie criminosa rappresenta un mero reato di pericolo volto a prevenire l'intercettazione del dato informatico, ha ritenuto che il reato di cui all'art. 617-quinquies c.p. resti assorbito nella frode informatica, considerando la condotta posta in essere come una delle modalità di realizzazione dell'alterazione del funzionamento di un sistema informatico, come appunto previsto nell'art. 640-ter c.p. (Cass. V, n. 42183/2021). Deve però al riguardo precisarsi che l'affermazione è riferita ad una fattispecie concreta nell'ambito della quale quando l'utente digitava nel sistema il PIN, questo gesto integrava una comunicazione nel sistema informatico con conseguente possibilità di intercettazione tramite apposito apparecchio denominato skimmer deputato a tale scopo.

Casistica

Intervento senza diritto su dati e informazioni contenuti in un sistema informatico

Integra il reato di frode informatica, nelle forme dell'intervento senza diritto su dati e informazioni contenuti in un sistema informatico, oltre che quello di accesso abusivo ad un sistema informatico, la condotta del dipendente dell'Agenzia delle Entrate che, utilizzando la «password» in dotazione, manomette la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell'ufficio (Cass. II, n. 13475/2013).

Utilizzo di carte di credito clonate nel circuito informatico bancario

Integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, tra cui quella di prelievo di contanti attraverso i servizi di cassa continua (Cass. II, n. 41777/2015). Il caso concreto riguardava un soggetto che, introdottosi nel sistema informatico di una società di gestione dei servizi finanziari, utilizzava senza diritto i dati relativi a carte di credito appartenenti a cittadini stranieri ed effettuava, così, transazioni commerciali, conseguendo un ingiusto profitto.

Viceversa si è affermato che integra il reato di indebita utilizzazione di carte di credito di cui all'art. 55, comma 9, d.lgs. 21 novembre 2007 n. 231 e non quello di frode informatica di cui all'art. 640-ter, il reiterato prelievo di denaro contante presso lo sportello bancomat di un istituto bancario mediante utilizzazione di un supporto magnetico clonato, in quanto il ripetuto ritiro di somme per mezzo di una carta bancomat illecitamente duplicata configura l ' utilizzo indebito di uno strumento di prelievo sanzionato dal predetto art. 55 (Cass. VI, n. 1333/2015).

Si è affermato che le condotte di appropriazione illecita, poste in essere attraverso le apparecchiature denominate skimmer, utilizzate per carpire dagli impianti di distribuzione di carburante i dati di accesso contenuti nelle schede utilizzate dai legittimi titolari, integrano il delitto in esame (Cass. II, n. 13713/2023; con ciò si è confermato il precedente indirizzo giurisprudenziale (Cass. II, n. 26229/2017) in base al quale l'elemento specializzante della truffa informatica, rappresentato dall'utilizzazione fraudolenta del sistema informatico, costituisce presupposto assorbente rispetto alla generica indebita utilizzazione dei codici di accesso disciplinata dall'art. 55 n. 9 D. Lgs. n. 231/2007 ed oggi integrante il diverso reato di cui all'art. 493 ter c.p.

Frode informatica. Sistema della doppia scheda

Integra il reato di frode informatica, previsto dall'art. 640-ter, l'introduzione, in apparecchi elettronici per il gioco di intrattenimento senza vincite, di una seconda scheda, attivabile a distanza, che li abilita all'esercizio del gioco d'azzardo (cosiddette «slot machine»), trattandosi della attivazione di un diverso programma con alterazione del funzionamento di un sistema informatico (Cass. V, n. 27135/2010). Il principio e' stato recentemente ribadito negli stessi termini (Cass. II, n. 54715/2016).

Deve segnalarsi però che la sesta sezione penale della Cassazione si è consapevolmente posta in contrasto con il sopra riportato indirizzo affermando che integra il reato di truffa aggravata ai danni dello Stato anziché quello di frode informatica, previsto dall'art. 640-ter  l'inserimento negli apparecchi elettronici da gioco di una scheda informatica, attivabile a distanza, mediante la quale la quota di spettanza dell'erario non viene comunicata e, conseguentemente, versata all'amministrazione finanziaria, senza che ciò comporti alcuna alterazione del sistema informatico o telematico altrui (Cass. VI, n. 41767/2017).

Profili processuali

Il reato era procedibile a querela della persona offesa; si procedeva d'ufficio ove ricorresse una delle circostanze aggravanti previste nell'art. 640-ter comma 2 o le circostanze previste dall'art. 61 co. 1 n. 5 c.p., limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età e dall'art. 61, comma 1, n. 7.

Tuttavia, a seguito della c.d. “Riforma Cartabia (d.lgs. n. 150/2022 di attuazione della legge 27 settembre 2021, n. 134, recante delega al Governo per l'efficienza del processo penale nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari), è stata prevista l'eliminazione della procedibilità di ufficio nell'ipotesi di ricorrenza della circostanza aggravante prevista dall'art. 61 n. 7; il suddetto decreto, ai sensi dell'art. 6 del d.l. n. 162/2022 convertito nella legge n. 199/2022, è entrato in  vigore il 30 dicembre 2022.

Nella parte in cui comporta la procedibilità a querela di parte per fattispecie in precedenza procedibili di ufficio, secondo quanto stabilito dalle disposizioni transitorie ad hoc di cui all'art. 85, comma 1, D. Lgs. n. 150 del 2022, e di quelle introdotte dalla l. n.199 del 2022 (sostituendo nel corpo del predetto art. 85 il comma 2, ed introducendovi, inoltre, i nuovi commi 2-bis e 2-ter), la predetta modifica, immediatamente operante per i reati commessi a partire dal 30/12/2022, data di vigenza della novella, opererà, per i reati commessi fino al 29/12/2022, divenuti procedibili a querela di parte in forza delle nuove disposizioni, nei termini di seguito indicati:

A) nei casi in cui non pende il procedimento penale:

- se il soggetto legittimato a proporre querela ha avuto in precedenza notizia “del fatto costituente reato”, il termine per proporre querela (di mesi tre, ex art. 124 c.p., non toccato dall'intervento novellatore) decorre dal 30/12/2022, data di entrata in vigore della novella, e scade, pertanto, il 30/03/2023;

- in forza della predetta disposizione, letta a contrario, se il soggetto legittimato a proporre querela non ha avuto in precedenza notizia “del fatto costituente reato”, il medesimo termine per proporre querela decorre, secondo la disciplina ordinaria, in parte qua non modificata, dal momento in cui ne abbia avuto conoscenza;

B) nei casi in cui pende il procedimento penale:

- avendo il soggetto legittimato a proporre querela necessariamente avuto in precedenza notizia “del fatto costituente reato”, il termine trimestrale per proporre querela decorre dal 30/12/2022, data di entrata in vigore della novella, e scade il 30/03/2023: diversamente rispetto a quanto previsto dall'originario comma 2 della disposizione, nessun onere di informare la p.o. di tale facoltà incombe sul giudice procedente, presumendosi, pertanto, che la p.o. debba avere conoscenza della novella.

Ferma restando la predetta disciplina, si è anche stabilito che le misure cautelari personali in corso di esecuzione perdono efficacia se, entro venti giorni dalla data di entrata in vigore del D. Lgs. n. 150 del 2022, e quindi entro il 19/01/2022, l'autorità giudiziaria che procede (da individuare nel giudice che ha emesso il provvedimento impugnato, ove penda ricorso per cassazione) non acquisisce la querela: a tal fine, l'a.g. procedente effettua ogni utile ricerca della p.o., anche avvalendosi della polizia giudiziaria.

Durante la pendenza del predetto termine di venti giorni, i termini di cui all'art. 303 c.p.p. sono sospesi.

Durante la pendenza del termine per proporre querela, si applica quanto disposto dall'art. 346 c.p.p. in tema di atti compiuti in mancanza di condizioni di procedibilità.