Il fatto che non sia stato individuato il soggetto che materialmente abbia operato l’intrusione nel sistema informatico della Poste Italiane con illecito accesso personale al conto della persona offesa, non vale ad escludere la partecipazione, a titolo di concorso ex art. 110 c.p., alla consumazione dei reati di cui agli artt. 615-ter e 640-ter c.p. di colui che sia titolare della carta Poste Pay su cui venivano illegittimamente riversate le somme prelevate dal conto della persona offesa attraverso la tecnica di illecita intromissione in via informatica.
La Seconda Sezione della Cassazione sentenza n. 5748/19, depositata il 6 febbraio afferma la sussistenza della responsabilità a titolo di concorso nei delitti di accesso abusivo a sistema informatico e truffa informatica di colui che risulti mero titolare della Poste Pay beneficiaria degli illeciti prelievi. Il delitto di phishing. Il termine phishing” è una variante di fishing” letteralmente pescare in lingua inglese , probabilmente influenzato da phreaking termine che fa riferimento a frodi telefoniche per realizzare chiamate senza pagarne il correlato costo , e allude all'uso di tecniche sempre più sofisticate per pescare dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f” è comunemente sostituita con ph”. Con detto termine si indica un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale molto spesso una e-mail . Alla progressiva estensione dell’utilizzo della rete per operazioni bancarie e finanziarie di qualunque tipo da parte di una utenza sempre più generalizzata ha fatta da contraltare lo sviluppo esponenziale delle frodi informatiche e soprattutto del fenomeno del phishing. La repressione del phishing. Il legislatore ha reagito tempestivamente di fronte a questa forma di criminalità completamente nuova, introducendo una lunga serie di reati informatici all’interno del codice penale, riservando peraltro la competenza investigativa sui medesimi alle Direzioni Distrettuali Antimafia come competenza funzionale. La reazione sul piano sostanziale e processuale non è stata tuttavia sufficiente ad arginare il dilagare del fenomeno, che è risultato sempre di difficile repressione, soprattutto perché quasi sempre gli autori del crimine – utilizzando la rete web – si trovano dall’altra del globo rispetto alla vittima, con i conseguenti problemi investigativi e di assicurare il reo alla giustizia. Nell’esperienza giudiziaria un grandissimo numero di frodi informatiche viene archiviata stante l’impossibilità di individuare il colpevole o comunque di processarlo. La reazione giurisprudenziale. Il proliferare di crimini informatici si è accompagnato ad innumerevoli interventi della giurisprudenza che hanno chiarito, spesso in termini di maggior ampiezza, il campo di applicazione delle nuove fattispecie criminose. Di recente Cass., Sez. Un., 18 maggio 2017, ha chiarito che integra il delitto previsto dall’art. 615- ter , comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso nella specie, Registro delle notizie di reato RE.GE. , acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita. Pronuncia assolutamente in linea con Cass., Sez. Un., 27 ottobre 2011 dep. 7 febbraio 2012 , n. 4694, secondo cui è penalmente illecita la condotta di soggetto che, pur legittimato all'accesso a un sistema informatico o telematico, violi condizioni e limiti imposti dal titolare per disciplinarlo, a nulla rilevando scopi e finalità dell'accesso stesso. Diversi gli interventi anche sotto il profilo processuale così Cass., Sez. Un., 26 marzo 2015 dep. 24 aprile 2015 , n. 17325, ha statuito che il luogo di consumazione del delitto di accesso abusivo del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615- ter c.p., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente . La vicenda in esame. Il caso sottoposto al vaglio della Suprema Corte rappresenta senza dubbio uno degli esiti investigativi delle spesso infruttuose indagini sul delitto di phishing. Assai raramente, infatti, viene individuato il soggetto che materialmente realizza la condotta di invio della mail fraudolenta e il successivo accesso abusivo a sistema informatico grazie ai dati carpiti, o meglio pescati, con la mail fraudolenta. Più frequentemente invece si perviene alla identificazione del soggetto titolare del conto corrente o della carta prepagata sulla quale vengono accreditate – di regola con bonifico e, dunque, con una operazione tracciata” che agevola la identificazione del beneficiario – le somme oggetto della illecita disposizione di prelevamento dal conto della vittima. Peraltro, abbastanza di frequente il beneficiario della somma illecitamente prelevata si trova nello stesso paese della vittima, poiché i bonifici internazionali sono di regola più complicati e hanno tempi di esecuzione più lunghi, che aumentano il rischio che la frode sia scoperta prima che il bonifico vada a buon fine. Nel caso in esame dunque, come in un gran numero di casi, le indagini portano alla identificazione del solo soggetto beneficiario, mentre rimane ignoto l’autore dell’accesso abusivo al sistema informatico. Il concorso del primo beneficiario nel delitto di phishing. La pronuncia in commento si presenta, dunque, come particolarmente interessante perché riguarda una ipotesi assolutamente frequente e tratteggia i principi secondo i quali il soggetto titolare del rapporto bancario su cui vengono accreditate le somme illecitamente prelevate dal conto della vittima della frode informatica, risponde dei delitti di cui agli artt. 615- ter e 640- ter c.p., pur essendo rimasto ignoto l’autore materiale delle condotte integranti tali reati come accade quasi sempre . Il ricorrente, infatti, si doleva della affermazione di penale responsabilità nei propri confronti per tali ipotesi di reato per il solo fatto di essere titolare della Poste Pay, sulla quale risultavano accreditate le somme oggetto di prelievi illeciti a seguito di accesso abusivo e frode informatica dal conto corrente della vittima. L’imputato era stato, altresì, trovato nella disponibilità materiale della carta suddetta oggetto di sequestro presso la sua abitazione , ma era rimasto ignoto l’autore materiale dell’invio della mail condotta di cui all’art. 640- ter c.p. e del successivo accesso abusivo al conto corrente della vittima condotta di cui all’art. 615- ter c.p. . Osservano gli Ermellini che la condotta di apertura della Poste Pay sicuramente attribuibile all’imputato identificato dal funzionario delle Poste tramite i suoi documenti di identità costituisce una frazione dell’illecita condotta apprezzabile per l’apprestamento dei mezzi necessari per la consumazione dell’illecito, con conseguente affermazione della penale responsabilità del medesimo a titolo di concorso nei reati contestati. Al già intervenuto ampliamento dei confini delle suddette fattispecie, dunque, si accompagna ora un ampliamento, obiettivamente vasto, delle ipotesi di concorso eventuale nei reati medesimi ai sensi dell’art. 110 c.p Senza dubbio preoccupante il dilagare di tali forme di criminalità, ma certamente non meno lo è il progressivo dilatarsi di fattispecie penali di fronte ad obbiettive difficoltà investigative, che, tuttavia, non dovrebbero essere superate attraverso una progressiva abdicazione del principio della necessaria dimostrazione della penale responsabilità al di là di ogni ragionevole dubbio.
Corte di Cassazione, sez. II Penale, sentenza 19 settembre 2018 – 6 febbraio 2019, n. 5748 Presidente Davigo – Relatore Crescienzo Ritenuto in fatto B.R. , condannato alla pena di mesi dieci di reclusione ed Euro 300,00 di multa per la violazione dell’art. 81 cpv. c.p., art. 61 c.p., n. 2, art. 615 ter c.p., comma 2, n. 3 artt. 81 cpv. e 640 ter c.p. fatti commessi in data omissis personalmente ricorre per Cassazione avverso la sentenza 10.7.2015 con la quale la Corte di Appello di Firenze ha confermato la pronuncia della condanna. Il ricorrente chiede l’annullamento della decisione impugnata deducendo i seguenti motivi così riassunti entro i limiti previsti dall’art. 173 disp. att. c.p.p. 1 ex art. 606 c.p.p., comma 1, lett. e vizio di illogicità manifesta e/o contraddittorietà della motivazione con riferimento alla commissione dei delitti contestati e vizio di carenza di motivazione con riferimento all’elemento psicologico del reato. Avverso la medesima sentenza, tramite il difensore, ricorre la parte civile G.L. denunciando ex art. 606, comma 1, lett. b l’inosservanza e l’erronea applicazione dell’art. 185 c.p. relativamente all’estromissione del responsabile civile Poste Italiane spa . Dalla lettura della decisione impugnata si apprende quanto segue. L’imputato è stato condannato per il delitto di concorso nella violazione della protezione del sistema informatico di accesso ai servizi bancari di Poste Italiane s.p.a. e, in particolare, dell’ intrusione nel conto corrente n. intestato a G.L. . Dagli accertamenti compiuti veniva appurato che dal suddetto conto erano stati prelevati Euro 500,00 successivamente accreditati su una carta Poste pay rinvenuta, a seguito di perquisizione domiciliare, nella disponibilità dell’imputato. Veniva altresì appurato che altri 4.101,00 Euro erano stati accreditati sul conto corrente postale omissis intestato all’imputato. La parte offesa riferiva di avere ricevuto nei giorni precedenti un falso messaggio come successivamente accertato dalle Poste Italiane che lo informava dell’accredito di 149,00 Euro con l’invito di comunicare i suoi codici dispositivi la parte offesa rispondendo alla richiesta, forniva i propri dati di accesso al conto. Attraverso successivi accertamenti di polizia si appurava che il conto corrente intestato all’imputato era stato acceso utilizzando il codice fiscale e i documenti di identità del medesimo. Rinviato a giudizio, l’imputato veniva pertanto condannato dal Tribunale di Firenze sulla base delle prove costituite 1 dall’accredito di Euro 500,00 sulla carta Posta pay sequestrata all’imputato 2 dalle modalità di apertura del conto corrente postale intestato all’imputato stesso. Il Tribunale con la suddetta sentenza dichiarava altresì Poste Italiane s.p.a. solidalmente tenuta con l’imputato a risarcire il danno patito dalla persona offesa costituita parte civile. La difesa appellava la decisione del Tribunale deducendo 1 la mancanze di prove circa le modalità con le quali l’imputato avrebbe partecipato alla commissione del reato, non avendo il possesso della carta Posta Pay valenza dimostrativa dei reati contestati 2 l’assenza di una precisa contestazione della frazione di azione attribuita all’imputato con conseguente violazione dell’art. 521 c.p.p. 3 l’assenza della violazione dell’art. 615 ter c.p.p La Corte d’Appello rigettava tutti i motivi confermando la decisione di primo grado, nel contempo escludeva la responsabilità civile delle Poste Italiane s.p.a., non ricorrendo le condizioni previste dall’art. 185 c.p., con conseguente revoca delle statuizioni civili in parte qua. Ritenuto in diritto Il ricorso del B. è inammissibile non rispondendo ai canoni previsti dall’art. 581 c.p.p., comma 1, lett. c e art. 606 c.p.p., comma 1, lett. e . Dalla lettura del capo di imputazione, ove si evince che il ricorrente è accusato del delitto di concorso nei reati di cui agli artt. 615 ter e 640 ter c.p., si rileva la puntuale descrizione della frazione di condotta consistita, tramite l’uso dei propri documenti di identità e del proprio codice fiscale, nell’apertura di un conto corrente postale e nella acquisizione della disponibilità di una carta Posta Pay rinvenuta a seguito di perquisizione del domicilio dell’imputato , su cui venivano rispettivamente versate le somme di 4.100 Euro e 500,00 Euro, prelevate dal conto della persona offesa attraverso la tecnica di illecita intromissione in via informatica. Il fatto che i giudici di merito non abbiano individuato chi materialmente abbia operato l’ intrusione nel sistema informatico delle Poste con illecito accesso al conto personale della parte offesa, non vale ad escludere la partecipazione, ex art. 110 c.p. del B. alla consumazione dei reati, alla luce della condotta dallo stesso compiuta ed esattamente descritta nelle due sentenze di merito. La frazione di condotta riconducibile al B. è apprezzabile sotto il profilo fattuale ed essenziale, posto che consiste nella predisposizione degli strumenti necessari alla ricezione delle somme indebitamente prelevate dal conto della vittima. Il ruolo svolto dal B. per la parte che ha una sua dimostrazione storica, è da considerarsi attivo sotto il profilo della partecipazione tenuto conto che per aprire il conto per l’accredito delle somme illecitamente carpite sono stati adoperati i documenti personali dell’imputato, ivi compresa la carta di identità che ha permesso all’impiegato postale che ha curato l’operazione la verifica della corrispondenza tra il documento di documento di identità e la persona che accedeva alla procedura di apertura del conto. Trattasi di frazione dell’illecita condotta apprezzabile, se non altro per l’apprestamento dei mezzi necessari per la consumazione dell’illecito, sicché il ruolo attribuito al B. è definito nei suoi contorni e l’affermazione della concorrente responsabilità penale è adeguatamente valutata ed esente da illogicità e contraddizioni anche in riferimento al dolo. In linea generale va osservato che la prova della volontà della commissione del reato è prevalentemente affidata, in mancanza di confessione, alla ricerca delle concrete circostanze che abbiano connotato l’azione e delle quali deve essere verificata l’oggettiva idoneità a cagionare l’evento in base ad elementi di sicuro valore sintomatico, valutati sia singolarmente sia nella loro coordinazione. Cass sez 6 n. 16465 del 6.4.2011 in ced rv 250007 . Nel caso in esame, l’analisi condotta dalla Corte territoriale relativamente alla condotta dell’imputato è idonea a dimostrare implicitamente l’elemento psicologico dei reati, tema quest’ultimo che non è stato oggetto di specifico e motivato di gravame in Corte d’Appello, con le seguenti duplici conseguenze. La motivazione della Corte d’Appello non presenta carenze e la doglianza proposta in modo specifico in questa sede presenta caratteri di inammissibilità ex art. 606 c.p.p., comma 3. L’impugnazione proposta dal G.L. in ordine all’estromissione delle Poste Italiane s.p.a. dal processo, nella sua qualità di responsabile civile è infondata. La parte civile definisce illegittima l’esclusione della responsabilità delle Poste Italiane spa trattandosi di responsabilità propria avuto riguardo a livelli di sicurezza non adeguati che avrebbero consentito le condotte delittuose oggetto delle imputazioni e non esclusivamente per fatto altrui, sicché sarebbe erronea l’applicazione dell’art. 185 c.p., comma 2. La parte civile riconduce l’erroneità della decisione alla non corretta applicazione del D.Lgs. n. 196 del 2003, art. 15 secondo cui chiunque cagiona danno altri per effetto del trattamento dei dati personali è tenuto al risarcimento dei danni ai sensi dell’art. 2050 c.c. . La regola fissata dalla norma citata riconduce l’attività di trattamento dei dati personali nel novero delle c.d. attività pericolose e riconduce la responsabilità in via presuntiva a chi compie l’attività salva la prova che siano state adottate tutte le misure idonee ad evitare il danno. Si tratterebbe pertanto di ipotesi di responsabilità per fatto proprio di colui che ha il compito di procedere al trattamento dei dati D.Lgs. n. 196 del 2003, ex art. 15, con la conseguenza che la condotta del terzo o dello stesso danneggiato potrà avere effetto liberatorio solo in quanto per efficienza causale, abbia reso irrilevante il fatto proprio di chi esercita detta attività Cass. civ. Sez. 3, Sentenza n. 15733 del 18/07/2011, Rv. 619440 - 01 . La censura della parte civile è infondata la circostanza che Poste Italiane s.p.a., debba rispondere per fatto proprio rende inapplicabile l’art. 185 c.p., perché la responsabilità c.d. diretta non si attaglia alla figura del responsabile civile questi infatti è soggetto giuridico tenuto al risarcimento dei danni solo in quanto obbligato a rispondere per il fatto altrui ex art. 185 c.p. e art. 83 c.p.p. Cass. sez. 4 n. 10701 dell’1.2.2012 in Ced Cass. rv. 252674 , fattispecie che si realizza allorquando nel processo sia presente un imputato del cui operato il responsabile civile debba rispondere per legge ex art. 185 c.p. Cass. sez. 5 n. 28157 del 3.2.2015 in Ced Cass. rv 264913 v. rv 252674 . Nel caso in esame, a parte l’aspetto della eventuale responsabilità riconducibile ad un fatto proprio delle Poste italiane s.p.a., non si ravvisa alcuna norma di legge in forza della quale Poste Italiane s.p.a. debba rispondere del fatto illecito commesso da chi non sia un proprio dipendente. Per le suddette ragioni a il ricorso della parte civile è infondato e va rigettato con conseguente condanna al pagamento delle spese processuali b il ricorso dell’imputato è inammissibile e il ricorrente va condannato al pagamento delle spese processuali e della somma di Euro 2.000 alla Cassa delle Ammende, così equi-tativamente determinata la sanzione amministrativa prevista dall’art. 616 c.p.p., ravvisandosi nella condotta del ricorrente gli estremi della responsabilità ivi stabilita. P.Q.M. Rigetta il ricorso della parte civile che condanna al pagamento delle spese processuali. Dichiara inammissibile il ricorso dell’imputato che condanna al pagamento delle spese processuali e al versamento della somma di Euro 2.000,00 alla Cassa delle ammende.