II furto di identità digitale costituisce un reato pericoloso non solo per i singoli cittadini, ma anche per le organizzazioni aziendali.

Sentiamo spesso notizie di cronaca che descrivono casi in cui i criminali si sono appropriati dell’identità di una persona fisica o di un’impresa per scopi illeciti.

Potremmo chiederci quale sia la ragione che spinge un terzo a rubare l’identità altrui. Le ragioni sono molteplici, come subito vedremo.

Perché commettere un furto di identità?

A volte può risultare molto utile spendere il nome altrui, oppure servirsi dell’identità di una persona diversa da sé stessi.

Chi di noi non ha mai desiderato spacciarsi per un parente o un conoscente per ottenere gli stessi vantaggi spettanti a quest’ultimo, oppure per far ricadere su di lui le conseguenze negative di un certo comportamento?

Semplificando potremmo dire che queste sono le stesse ragioni spingono i criminali a commettere il reato di sostituzione di persona, previsto dall’art 494 c.p.

Spacciandosi per un diverso soggetto oppure attribuendosi una qualità non posseduta, il reo vuole ottenere un vantaggio o provocare un danno. Il furto di identità viene quindi realizzato per due ragioni principali:

  • per ottenere un effetto particolarmente vantaggioso per sé o per altri;
  • per far ricadere sulla persona il cui nome viene speso gli effetti negativi di una specifica condotta, danneggiandone la reputazione.

Tali scopi possono essere raggiunti “rubando” l’identità sia di un singolo individuo, sia di un’organizzazione aziendale.

Identità “reale” e identità “digitale”

Originariamente il reato di sostituzione di persona comprendeva le sole ipotesi in cui il colpevole avesse utilizzato l’identità “reale” di un soggetto per indurre terzi in errore.

Questa forma di identità è quella di più facile percezione, definibile come:

l’insieme di caratteristiche uniche che rendono un individuo unico e inconfondibile, e quindi ciò che ci rende diverso dall’altro”.

[voce Identità su Wikipedia]

Grazie allo sviluppo tecnologico e all’implementazione di nuovi strumenti capaci di creare relazioni virtuali tra le persone, il delitto punito dall’art. 494 c.p. si è “evoluto” arrivando a comprendere anche – ma non solo – le ipotesi di furto in danno dell’identità digitale altrui.

Per identità “digitale” intendiamo:

l’insieme delle risorse digitali associate in maniera univoca ad una persona fisica che la identifica, rappresentandone la volontà, durante le sue attività digitali. In un’accezione più ampia essa è costituita dall’insieme di informazioni presenti online e relative ad un soggetto”.

[voce Identità digitale su Wikipedia]

Un’altra definizione di “identità digitale” è ricavabile dall’art. 1, lett. o), del D.P.C.M. 24 ottobre 2014 (cd. Decreto SPID) che qualifica questo concetto come:

la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale”.

L’identità digitale comprende quindi anche tutte quelle tecnologie di identificazione tramite strumenti informatici che consentono di attribuire in maniera univoca a un determinato soggetto le azioni dallo stesso compiute online.

Assumono rilievo in tal senso soprattutto i dispositivi di firma digitale e lo SPID, il Sistema Pubblico d’Identità Digitale che consente di accedere ai servizi online della PA e dei privati che vi aderiscono utilizzando credenziali personali di accesso (username/password).

Casi affrontati dalla giurisprudenza

Anche la giurisprudenza, nell’ultimo decennio, ha preso atto del cambiamento cui è andata incontro la fattispecie di reato prevista dall’art. 494 c.p., ricomprendendovi anche tutte le ipotesi di uso abusivo o furto dell’identità digitale altrui. La Corte di Cassazione penale, ad esempio, ha ricondotto al delitto di sostituzione di persona le seguenti fattispecie:

  • l’iscrizione ad un sito di eCommerce utilizzando i dati anagrafici di un soggetto inconsapevole, al fine di far ricadere su quest’ultimo l’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete o altri strumenti contrattuali (Sentenza Cass. Pen. n. 42572/2018)
  • la creazione e l’utilizzo di un profilo fake su un social network con un nickname di fantasia associato all’immagine di un soggetto ignaro utilizzata illegittimamente dal reo (Sentenza Cass. Pen. n. 25774/2014);
  • la sostituzione della persona del criminale a quella del titolare di un conto corrente, effettuata tramite l’utilizzo dei codici di accesso al servizio di online-banking di quest’ultimo, finalizzata al compimento di trasferimenti di denaro ad insaputa del correntista (Sentenza Cass. Pen. n. 23760/2020).

 La sostituzione di persona offline e online

L’evoluzione tecnologica consente oggi la commissione del reato di sostituzione di persona in due diverse forme: offline e online.

Nel primo caso, il furto di identità è commesso senza l’utilizzo di mezzi informatici.

Nel secondo caso, al contrario, la sostituzione di persona avviene grazie all’impiego della tecnologia, in particolar modo del web.

Il furto di identità commesso online rappresenta certamente la modalità più frequente di esecuzione del delitto. La tecnologia consente infatti ai criminali di raggiungere l’obiettivo illecito con più facilità: con pochi accorgimenti, un bravo hacker riuscirà a cancellare le proprie tracce (es. navigando con una VPN o usando sistemi di navigazione anonima come TOR).

Tuttavia non dobbiamo fare l’errore di ritenere che il reato di sostituzione di persona possa essere commesso ormai soltanto via internet. Sono ancora numerosi gli episodi di furto di identità “reali” commessi offline, anche nell’ambito del contesto aziendale.

Il furto di identità digitale in danno dell’impresa: alcuni esempi

Come detto, il furto di identità può riguardare anche una persona giuridica o un’organizzazione. In questi casi, di solito, l’autore del reato è un soggetto estraneo all’azienda che agisce per ottenere un vantaggio o per danneggiare l’impresa stessa. Si tratta quindi di un tipo di minaccia esterna, per utilizzare la classificazione già proposta nella Guida ai reati informatici in azienda.

Di seguito alcuni esempi di delitti di sostituzione di persona commessi in danno delle imprese, o comunque strettamente collegati al contesto aziendale:

1. Uso dei dati di contatto altrui per creare annunci o profili social

Una ex-dipendente iscrive in una chat erotica la propria ex datrice di lavoro usando il suo numero di telefono. Lo scopo della dipendente è quello di danneggiare la ex-titolare, rubandone l’identità e contemporaneamente ingannando gli altri soggetti iscritti alla chat. Per effetto della condotta, l’ex-datrice di lavoro riceve numerose proposte indecenti dagli utenti della piattaforma, alcune anche in orario notturno. Si tratta di un caso realmente accaduto e qualificato dalla Cassazione come reato di sostituzione di persona ex art. 494 c.p. con la sentenza 28 novembre 2012, n. 18826.

2. Uso dei contatti e delle informazioni aziendali per fingersi un rappresentante dell’impresa

Una persona crea un finto indirizzo aziendale usando il vero dominio della sua organizzazione, dal quale invia numerose email ai clienti della società chiedendo loro di fornire i propri dati personali per portare a termine delle procedure. Gli utenti della rete sono così indotti in errore, ritenendo che la corrispondenza inviata e ricevuta sia imputabile all’impresa, e sono spinti a comunicare i dati richiesti. In questa ipotesi si pone anche un problema di tutela dell’immagine e della dignità dell’impresa, la quale potrebbe venire pregiudicata dal fatto che il reo si sia presentato falsamente come un dipendente dell’impresa.

Una persona si qualifica come dipendente di una nota società dichiarando di essere  legato alla stessa da un rapporto di lavoro subordinato a tempo indeterminato, in realtà non esistente, per poter incassare un assegno scoperto. Anche in questo caso l’obiettivo del criminale è quello di ottenere un vantaggio patrimoniale inducendo in errore un terzo (qui il prenditore dell’assegno) servendosi della propria falsa qualità. L’ipotesi, realmente accaduta, è stata qualificata dalla Corte di Cassazione come reato di sostituzione di persona ai sensi dell’art. 494 c.p.

3. Furto delle credenziali di accesso a servizi online

Un soggetto entra abusivamente nell’area riservata dell’online banking dell’azienda fingendosi il dipendente che normalmente opera sul conto corrente di riferimento, servendosi delle credenziali di accesso normalmente utilizzate dallo stesso. Una volta accreditatosi, il malintenzionato compie operazioni illecite su detto conto corrente effettuando dei bonifici a proprio favore, in danno dell’organizzazione. Si tratta di un’ipotesi che, a seconda del caso, può configurare anche il reato di accesso abusivo a sistema informatico.

4. Uso di titoli professionali o posizioni lavorative non possedute

Una persona in cerca di nuove opportunità lavorative si attribuisce falsamente una qualità e delle competenze in realtà non possedute. Per attirare l’attenzione dell’azienda per cui vorrebbe lavorare,  il lavoratore indica nel proprio profilo LinkedIn un titolo professionale mai conseguito. In questo caso non si verifica un vero e proprio furto di identità: l’autore semplicemente trae in inganno il recruiter attribuendosi una qualifica falsa da cui la legge fa dipendere determinati effetti giuridici. Anche questo comportamento è punito ai sensi dell’art 494 c.p., in quanto lesivo della pubblica fede.

Questi sono solo alcuni esempi della nutrita casistica relativa al delitto di sostituzione di persona in danno di un’azienda, commesso sia offline sia online.

Un caso particolare: il furto di firma digitale

Un caso particolare di furto dell’identità digitale riguarda l’utilizzo indebito dei sistemi di firma digitale.

Come noto, infatti, numerosi atti giuridici relativi alla vita di un’impresa possono essere redatti con modalità informatiche ed essere sottoscritti digitalmente ai fini della trasmissione alla Camera di Commercio e conseguente registrazione nel Registro delle Imprese.

Tuttavia, in ipotesi di utilizzo poco prudente o di rilascio illegittimo dei sistemi di firma digitale, si potrebbero verificare delle conseguenze particolarmente dannose in capo all’impresa.

E’ ciò che si è verificato in un noto caso accaduto nel 2011 in danno di un imprenditore romano. A seguito dell’attivazione di una firma digitale elettronica tramite smart card falsamente intestata a quest’ultimo, l’imprenditore è stato privato della titolarità delle quote sociali detenute.

L’uomo ha infatti scoperto che le quote dell’azienda di cui era titolare erano state cedute a un terzo in forza di un atto di cessione sottoscritto digitalmente mediante l’uso di un dispositivo di firma associato al nominativo dell’imprenditore. La smart card era stata attivata dal reo presso un’agenzia di servizi di certificazione servendosi di copia della carta di identità dell’imprenditore.

L’atto di cessione delle quote, con contestuale nomina del reo ad amministratore unico della società, era stato comunicato via internet alla Camera di Commercio e quindi iscritto nel Registro delle Imprese.

Le conseguenze derivanti dal furto dell’identità digitale possono quindi essere dirompenti, soprattutto quando tale sostituzione avvenga tramite l’utilizzo indebito di strumenti di firma digitale.

Diventa quindi fondamentale prestare la massima attenzione al momento della domanda di rilascio di certificati di firma digitale (ma lo stesso vale anche per lo SPID), sottoponendo a stringenti controlli il soggetto richiedente e verificando la corrispondenza tra l’identità di quest’ultimo e quella del soggetto di cui trattasi.

Parimenti, il dispositivo di firma e il PIN dovranno essere conservati con la massima cura e non comunicati o consegnati a terzi, per nessuna ragione.

Il reato di sostituzione di persona

Come abbiamo visto, nelle ipotesi di furto di identità digitale che abbiamo descritto, uno dei reati che sono stati contestati all’autore dei fatti è stato quello di sostituzione di persona, previsto dall’art. 494 c.p..

Per concludere la nostra esposizione, vediamo più da vicino cosa prevede queste disposizione e quali sono i comportamenti che in base ad essa vengono puniti come reato.

I comportamenti puniti

Il furto di identità può essere commesso da “chiunque” (si tratta infatti di un “reato comune”). Anche in questo caso, come già visto nell’articolo dedicato alla sottrazione fraudolenta di dati conservati in archivi automatizzati,  il legislatore si rivolge a una platea potenzialmente ampia di soggetti per tutelare al massimo la persona offesa dai rischi derivanti da tale delitto.

La condotta tipica  del delitto di sostituzione di persona consiste nella “induzione in errore”, ossia nel fatto di ingannare un determinato soggetto per raggiungere i propri scopi. La condotta prevista dall’art. 494 c.p. può essere realizzata attraverso varie modalità, che sono:

  • la sostituzione illegittima della propria all’altrui persona.

Si tratta dell’ipotesi vera e propria di furto di identità, che si verifica quando un soggetto “ruba” l’identità altrui facendo credere di essere tale persona, anziché sé stesso.

  • l’attribuzione a sé o ad altri di un falso nome

Il concetto di “falso nome” va interpretato in senso ampio, comprendendo anche generalità come data e luogo di nascita o lo pseudonimo, se idoneo a identificare la persona.

  • l’attribuzione a sé o ad altri di un falso stato, concetto che corrisponde a quello di cittadinanza e di capacità d’agire.
  • l’attribuzione a sé o ad altri di una qualità da cui la legge fa dipendere determinati effetti giuridici. Un esempio è dato dal rapporto di lavoro, da cui sorgono infatti il diritto alla retribuzione e al versamento dei contributi previdenziali.

Il “dolo specifico”

La condotta deve essere compiuta “al fine di procurare a sé o ad altri un vantaggio o recare ad altri un danno” (dolo specifico). L’autore del reato deve quindi avere a mente questo preciso obiettivo quando agisce, a prescindere dal fatto che lo scopo sia poi effettivamente raggiunto.

Un’ultima precisazione: è sufficiente che l’agente voglia ottenere un semplice “vantaggio”, non un “profitto”, quindi anche un effetto vantaggioso di natura non patrimoniale.

La pena prevista

Il furto di identità, sia reale sia digitale, è punito con la reclusione fino ad un anno, ossia  una sanzione meno grave di quella prevista per altre fattispecie di reato. Questo perché il delitto di sostituzione di persona ha un’applicazione residuale e si applica nei soli casi in cui il fatto non sia idonea ad integrare un altro reato contro la fede pubblica.

Come può l’impresa impedire il furto della propria identità digitale?

Gli esempi concreti fatti sopra ci permettono di capire la vera pericolosità del reato di cui all’art. 494 c.p.

Verrebbe da chiedersi, però, come sia possibile che un’azienda strutturata e ben organizzata possa subire un furto di identità.

Questo accade perché non sempre i lavoratori hanno una preparazione e un’attenzione tale da consentire l’immediata reazione contro la minaccia posta in essere dai criminali.

In mancanza di una formazione specifica contro i rischi informatici, ad esempio, i dipendenti potrebbero cadere vittime di un attacco di phishing. Come spiegato in questo articolo, si tratta di una minaccia informatica che prevede l’invio alla vittima di una email contenente l’invito a comunicare con urgenza i propri dati personali o i codici di accesso a vari servizi web. Il criminale potrebbe “raggirare” il dipendente spingendolo a comunicare le credenziali di accesso a varie aree riservate (es. home-banking collegato al conto corrente aziendale).

Il phishing può portare alla commissione del reato di cui all’art. 494 c.p. (eventualmente in concorso con i reati di accesso abusivo a un sistema informatico e di truffa) poiché si concretizza in un furto di identità da cui deriva la caduta in errore del terzo.

Tutto ciò potrebbe causare all’organizzazione un danno patrimoniale di rilevante entità.

In conclusione, anche il furto di identità personale rappresenta un’ipotesi di reato di frequente applicazione pratica che può colpire le più varie realtà aziendali. Diventa quindi essenziale per le imprese giocare d’anticipo garantendo un’adeguata formazione ai propri dipendenti e prevenendo, laddove consentito, le possibili fonti di rischio. Solo così le organizzazioni eviteranno che terzi malintenzionati, inducendo in errore i dipendenti più ingenui, causino all’azienda un danno potenzialmente anche molto grave.