I tentativi di frode informatica sono una minaccia costante per la sicurezza delle imprese e dei cittadini, che sono bersaglio sempre più frequente di campagne di phishing, smishing o di vendita di prodotti contraffatti.

Questa percezione è confermata anche dalle statistiche ufficiali diffuse dalla Polizia di Stato, che confermano la diffusione di questi fenomeni. Nel 2020 la Polizia postale ha trattato oltre 98.000 casi di truffa online. Nell’anno precedente sono stati segnalati circa 5.000 reati di financial cybercrime, con un valore di oltre 18 milioni di Euro.

Questi reati possono costare molto cari alle imprese, non soltanto in termini economici, ma anche in termini di immagine.

Come per tutte le minacce cyber, è fondamentale adottare adeguate misure di prevenzione, non soltanto tecniche, ma anche di formazione e sensibilizzazione.

Quando queste misure falliscono e la frode si consuma, non resta che chiedere il supporto delle forze dell’ordine, perché identifichino i colpevoli ed aiutino, dove possibile, ad ottenere la restituzione di quanto sottratto o il risarcimento del danno.

Vediamo dunque in questo nuovo approfondimento della nostra guida sui reati informatici in azienda, come funzionano i reati di truffa online e frode informatica e come si possono perseguire penalmente.

Le differenze tra il reato di truffa online ed il reato di frode informatica

Sotto il profilo giuridico, occorre anzitutto evidenziar tra le ipotesi di truffa “semplice”, che può avvenire anche attraverso la rete e le ipotesi di frode informatica.

Il reato di truffa commessa online

Il reato di truffa, punito dall’art. 640 del codice penale, ricorre infatti ne caso in cui taluno induca una persona in inganno mediante una manipolazione della realtà o altri comportamenti ingannevoli (cd. “artifizi e raggiri”) con il fine preciso di conseguire un ingiusto profitto danneggiando un’altra persona.

Uno dei grandi classici di truffa online è rappresentato dalla “truffa del Principe Nigeriano” e delle sue numerose varianti.

Ancora, una forma di truffa online che colpisce in modo diffuso imprese e persone è la cosiddetta “truffa contrattuale”, nella quale il truffatore, creando un sito web o un annuncio su marketplace o altre piattaforme per la vendita di prodotti che in realtà non possiede, raccoglie degli ordini per la merce, intascando il compenso e non spedendo il bene promesso (vedi, ad esempio, la sentenza della Cassazione penale n. 198/2019).

La pandemia globale ha portato alla diffusione di altre forme di truffa online legate alla vendita di dispositivi di protezione individuale o di altri strumenti di contrasto al contagio. Si sono moltiplicate, infatti, le offerte di vendita di beni dei quali veniva ingannevolmente attestato, ad esempio mediante la riproduzione di certificati falsi o loghi relativi a certificazioni inesistenti, il possesso di determinati requisiti di sicurezza.

La pena per il reato di truffa

Il reato di truffa è punito normalmente con la reclusione da sei mesi a tre anni e con la multa da Euro 51 a Euro 1.032.

Le pene sono aumentate e punite con la reclusione da uno a cinque anni e con la multa da Euro 309 a Euro 1.549 nel caso in cui sussistano alcune circostanze aggravanti. In particolare, la truffa è aggravata nel caso in cui il colpevole abbia approfittato “di circostanze di tempo, di luogo o di persona, anche in riferimento all’età, tali da ostacolare la pubblica o privata difesa” (aggravante della “Minorata difesa”).

La corte di Cassazione penale, in numerose pronunce, ha ritenuto che nel caso delle truffe “contrattuali” sussista l’aggravante della minorata difesa, in quanto “la distanza tra il luogo ove si trova la vittima, che di norma paga in anticipo il prezzo del bene venduto, e quello in cui, invece, si trova l’agente, determina una posizione di maggior favore di quest’ultimo, consentendogli di schermare la sua identità, di non sottoporre il prodotto venduto ad alcun efficace controllo preventivo da parte dell’acquirente e di sottrarsi agevolmente alle conseguenze della propria condotta” (Sentenza n. 40045/2018).

Questa posizione non è però condivisa unanimemente dalla giurisprudenza: ad esempio, si è pronunciato in senso contrario il Tribunale di Pescara, in una sentenza del 22 ottobre 2020.

Questa incertezza interpretativa ha però delle conseguenze rilevanti: infatti, mentre la truffa semplice è punibile solo a querela della persona offesa, la truffa aggravata è punibile anche d’ufficio.

Per evitare che il colpevole resti impunito, è dunque prudente in tutti i casi di truffa online presentare una denuncia-querela alla polizia giudiziaria (e non limitarsi dunque ad una mera segnalazione del fatto), in modo da assicurare che, nel caso in cui i responsabili vengano identificati, l’autorità giudiziaria possa procedere nei loro confronti.

Il reato di frode informatica

Diverso invece è il reato di frode informatica, punito dall’art. 640 ter del codice penale. In base a questa previsione, il reato si configura in due casi:

  • nel caso di alterazione di un sistema informatico o telematico, in qualunque modo esso avvenga. In questi casi, il sistema informatico continua ad operare, ma il suo funzionamento viene modificato per ottenere dei risultati diversi;
  • nel caso di intervento “senza diritto” su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad essi afferenti in qualunque modo effettuato.

In entrambe le ipotesi, il comportamento deve essere finalizzato a conseguire un ingiusto profitto a scapito di un’altra persona.

La frode informatica si caratterizza dunque perché le manomissioni e le alterazioni sono dirette ai sistemi ed ai dati e non alle persone: in altre parole, la frode informatica non richiede necessariamente che la vittima sia tratta in inganno (potrebbe infatti restare inconsapevole della manomissione).

Questo reato sussiste, per esempio:

  • nel caso di manomissione di apparecchiature elettroniche per falsare le misurazioni o le rilevazioni che effettuano. In questo caso, è molto frequente ad esempio la manomissione di contatori o di apparecchiature a fini fiscali, come quelle inserite nelle slot machines per la misurazione del volume delle giocare e collegate direttamente con l’Agenzia dei Monopoli (vedi, per esempio, la sentenza della Cassazione penale n. 869/2020);
  • nel caso di creazione di una falsa interfaccia di un sito di online banking, che porti all’acquisizione delle credenziali di accesso della vittima e nel successivo utilizzo di questi dati per disporre operazioni di trasferimento fondi;
  • nel caso di sottrazione illecita di dati da un sistema informatico, e di utilizzo abusivo di questi dati per trarre un ingiusto profitto.

La pena per il reato di frode informatica

Il reato di frode informatica è punito normalmente con la reclusione da sei mesi a tre anni e con la multa da Euro 51 a Euro 1.032.

Il reato può essere aggravato in alcuni casi.

La prima aggravante riguarda il caso in cui il reato è commesso in danno dello Stato, di un ente pubblico o dell’Unione Europea oppure se è commesso da chi sia un operatore del sistema (es. utenti autorizzati o amministratori) ed in questo caso è punito con la reclusione da uno a cinque anni e la multa da Euro 309 a Euro 1.149.

La frode informatica è aggravata anche quando sia commessa “con furto o indebito utilizzo dell’identità digitale” in danno di uno o più soggetti (ad esempio, rubando le credenziali SPID o violando altri strumenti di identità digitale) e in questo caso la pena è la reclusione due a sei anni e la multa da Euro 600 a Euro 3.000.

Non è del tutto chiaro se questa ultima aggravante possa applicarsi anche nel caso in cui ad essere violato non sia un sistema di identità digitale avente efficacia legale, ma ad esempio un semplice account di un social network o di un sistema di online banking. La Cassazione penale, in questi casi, ha però ritenuto che il reato di frode informatica possa concorrere con quello di sostituzione di persona punito dall’art. 494 c.p. (sentenza n. 23760/2020).

Il reato, nella sua forma non aggravata, è punibile a querela della persona offesa; nelle forme aggravate è punibile anche d’ufficio.

La frode informatica del dipendente in danno dell’azienda e il rapporto con l’accesso abusivo a sistema informatico

Come si è visto, il reato di frode informatica si può consumare anche nel caso di intervento senza diritto su dati, informazioni o programmi presenti in un sistema informatico.

Questa particolare ipotesi di reato si può configurare in tutti i casi in cui un dipendente o un ex dipendente della società intervenga abusivamente sui dati conservati nel sistema informatico aziendale, al fine di trarre per sé un ingiusto profitto in danno dell’azienda.

Ad esempio, una sentenza della Cassazione penale ha ritenuto colpevoli del reato di frode informatica due ex dipendenti di una società che, dopo aver lasciato l’azienda, avevano continuato ad accedere ai suoi sistemi informatici ed avevano utilizzato i dati in essi contenuti (informazioni sui clienti e sulle attività aziendali) per sviare la clientela a loro vantaggio (sentenza n. 26604/2019). I giudici hanno ritenuto in questo caso che l’uso indebito delle password di accesso e l’uso dei sistemi costituisse un indebito intervento sui dati presenti nel sistema aziendale.

In questo caso, oltre alla frode informatica, è stato ritenuto configurabile anche il reato di accesso abusivo a sistemi informatici, punito dall’art. 615 ter del Codice penale, poiché in quanto il comportamento degli ex dipendenti, costituiva anche un accesso illegittimo al sistema informativo aziendale, contro la volontà del loro ex datore di lavoro.

Del reato di accesso abusivo a sistema informatico e delle sue applicazioni nei riguardi delle condotte illecite dei dipendenti abbiamo già parlato qui.