Cyber Crimes

Delitti Informatici

L’impiego delle nuove ICT nelle modalità tecniche di commissione del reato determina una costante trasformazione delle manifestazioni delle attività penalmente illecite nel cyberspace. Si tratta quindi di riconoscere il rilievo penale alle “nuove” tipologie di reati-presupposto e reati strumentali di ultima emersione e di evidenziarne la specifica potenzialità espansiva nel contesto contemporaneo.

Il cybercrime è il punto di incontro del moderno diritto penale dell’economia con le tecnologie di recente evoluzione e, talvolta, di preoccupante espansione.

Al riguardo vi è un’ampia casistica giurisprudenziale che ha ravvisato il delitto di riciclaggio a seguito di phishing, quale condotta di “pesca” delle credenziali di accesso ai servizi home banking mediante artifizi, che possono integrare non solo ipotesi di truffa comune ex art. 640 c.p., pur commessa nel cyberspace, ma anche frodi informatiche, aggravate da furto di identità digitale (ex art. 640-ter, comma 3), acquisizione e cessione illecite di password (ex art.615-quater), accessi abusivi a sistemi informatici o telematici (ex art.615-ter), ed altri delitti che possono divenire reati-presupposto dei delitti di riciclaggio, impiego o autoriciclaggio, rappresentando l’origine illecita dei proventi. Si fa riferimento al c.d. financial cybercrime, ovvero a illeciti penale compiuti tramite malware inoculati mediante tecniche di phishing, soprattutto nell’ambito dei rapporti commerciali.

L’attuale sistema di repressione del cybercrime non può prescindere da quelle fattispecie dedicate all’accesso abusivo al sistema informatico art. 615-ter c.p., agli indebiti utilizzi di chiavi crittografiche art. 493-ter c.p., alla diffusione e detenzione abusiva di codici di accesso a sistemi informatici art. 615-quater, alla frode informatica art. 640, alla sottrazione fraudolenta e illecito utilizzo di identità digitale art. 494, in sostanza da quella costellazione di reati informatici presupposto o strumentali al riciclaggio nella sua versione digitale.

Cyberlaundering

Il cyberlaundering, non avendo una previsione normativa propria, si “appoggia” sulle fattispecie incriminatrici “classiche” di riciclaggio e impiego di denaro, beni o utilità di provenienza illecita.

Tramite strumenti di pagamento, accumulo, investimenti, scambi o trasferimenti di diversa natura od intestazione, vengono poste in essere attività idonee ad “occultare” la provenienza criminale ed a “convertire” il denaro, i capitali, i beni, i valori, le utilità, in sintesi a trasformarne il potere d’acquisto “potenziale” in un potere d’acquisto “effettivo” nel sistema economico legale.

Il ventaglio di questo complesso di attività criminose è dunque ampio ed articolato in ogni sorta di operazioni specie in circuiti illeciti o non regolamentati, che possono integrare altresì reati bancari, societari, tributari ed in materia di mercati finanziari. Tali attività e condotte sarebbero riconducibili al delitto di “riciclaggio” di cui all’art. 648-bis c.p., ma anche al “reinvestimento di capitali di provenienza illecita” (art. 648-ter c.p.) e il c.d. auto-riciclaggio (art. 648-ter.1 c.p.), nonché altri reati strumentali, accessori o comunque connessi.

Analizzando la specifica rilevanza giuridico-penale del complesso fenomeno del cyberlaundering, si deve precisare che non si è soltanto di fronte a nuove modalità tecniche di realizzazione dei delitti di riciclaggio, reimpiego ed autoriciclaggio, ma anche a fattispecie quali l’uso indebito o alla forzatura di sistemi legali di pagamento ed investimento, furto o indebito utilizzo dell’identità digitale, al delitto di sostituzione di persona, di cui all’art. 494 c.p. ad un caso di sottrazione dell’identità digitale. Analogamente a quanto osservato per il moneylaundering, anche per l’analisi del cyberlaundering è infatti possibile distinguere le tre fasi del placement, del layering e dell’integration durante le quali i reati sopracitati svolgono diversi ruoli nella ripulitura del capitale illecito.

Phishing

Il termine phishing individua l’abuso di tecniche di social engineering finalizzato all’induzione della vittima a fornire i propri dati riservati d’accesso ai servizi di home banking. I dati vengono poi abusivamente utilizzati per operare trasferimenti od operazioni a danno del titolare stesso, con ingiusto profitto degli autori o di terzi. L’identità digitale è sottratta mediante artifizi, che possono integrare un’ipotesi di truffa comune avendo realmente indotto “in errore” la vittima ad immettervi le credenziali, acquisite dal phisher, e utilizzate dallo stesso per accedere abusivamente al sistema informatico dell’istituto di credito. Una volta guadagnato l’accesso, è eseguito il trasferimento abusivo di fondi della vittima a favore di un conto corrente eventualmente intestato ad un terzo, il c.d. financial manager.

Tale soggetto è destinatario del delitto di riciclaggio ex art. 648bis c.p., se consapevole della provenienza illecita delle somme, essendosi prestato ad un’apparente intermediazione finanziaria, acquisendo o trattenendo “provvigioni” per ogni trasferimento che da detto conto egli operi delle somme così ricevute, a favore del fisher o di terzi a lui collegati, normalmente su altri conti correnti all’estero, possibilmente in paesi non legati da convenzioni di assistenza o cooperazione internazionale.

È  quindi evidente che in questi ultimi trasferimenti possono ravvisarsi gli estremi del delitto di riciclaggio ex art. 648-bis c.p. commesso dal financial manager, che sia consapevole della provenienza illecita delle somme, mentre al phisher che vi concorra od operi esso stesso anche il trasferimento all’estero o ad altri conti del provento della truffa o della frode informatica o degli altri reati menzionati, commessi da lui o da suoi complici, dovrebbe applicarsi la fattispecie di autoriciclaggio, ex art. 648ter.1c.p.

Problema cruciale è l’accertamento del dolo in capo al financial manager, richiedente la consapevolezza della provenienza delittuosa delle somme ricevute e da trasferire. Secondo la nota sentenza della Cassazione a Sezioni unite sul dolo della ricettazione, l’elemento rappresentativo avente ad oggetto il delitto presupposto potrebbe coincidere con il dolo eventuale, purché l’accertamento vada al di là del mero “sospetto”, che potrebbe già emergere dalla stranezza dell’incarico o dalla “provvigione” esagerata rispetto alla prestazione richiesta.

Il “BEC fraud” o “CEO fraud” sono la moderna applicazione della tecnica di attacco denominata “man in the middle”, finalizzata alla captazione dei codici e quindi al dirottamento delle somme verso conti correnti nella disponibilità dei malviventi.

In particolare, diverse sono state le segnalazioni di tentativi di spear-phishing diretti a figure apicali di organizzazioni appartenenti a diversi settori merceologici, tra cui energia e trasporti e servizi legali.

Frode informatica e accesso abusivo ad un sistema informatico

Un “nuovo” reato presupposto del cyberlaundering è la frode informatica, eventualmente aggravata dal furto di identità digitale (art.640-ter, comma 3 c.p.), che può ravvisarsi nelle condotte di “manipolazione” del chip di una smart card o dei relativi programmi di gestione. L’alterazione del funzionamento del sistema come pure ogni altro intervento “senza diritto” su dati e programmi, da cui consegua un ingiusto profitto con altrui danno, realizza il reato “presupposto” del successivo trasferimento od impiego dei proventi illeciti così conseguiti.

Esattamente come la frode informatica quale “reato informatico in senso stretto”, ovvero connotata dalla previsione specifica di elementi di tipizzazione della fattispecie che fanno esplicito riferimento alle ICT, l’accesso abusivo ex art.615-tertipizza condotte inconcepibili fuori dal cyberspace. Accanto all’accesso abusivo, è bene tenere in considerazione alcune fattispecie prodromiche di cui agli artt. 615-quater “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici” e 615-quinquies e “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”.

In tema di abuso di dispositivi o misuse of device vengono in rilievo anche le condotte di detenzione e diffusione abusiva di codici di acceso a sistemi informatici o telematici ex art. 615-quater e la diffusione e detenzione abusive di malware art. 615-quinquies c.p.

Utilizzo di Carte clonate

 Emblematico risulta essere il caso dell’utilizzazione di carte clonate per traferire proventi di un riciclaggio: condotta in cui sono ravvisabili gli estremi del delitto di cui all’art.493-ter “indebito utilizzo e falsificazione di carte di credito e di pagamento” e collocata fra i delitti di “falsità in atti” di cui al capo III del Titolo VII, dedicato ai delitti contro la fede pubblica, nel Libro II del codice penale, punisce «chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi» nonché chi alteri o falsifichi dette carte ovvero le possieda, ceda od acquisisca.

Tale delitto verrebbe in rilievo quale mero “strumento” del delitto di riciclaggio commesso, quando ad esempio la condotta di “utilizzazione” indebita delle carte di credito estero già clonate da terzi ignoti, sia funzionale al trasferimento delle somme di provenienza illecita e all’occultamento della provenienza. Tale fattispecie di “utilizzazione” è stata considerata autonomamente punibile, seppur in continuazione (ex art. 81, comma 2, c.p.) con il delitto di riciclaggio, di cui all’art. 648-bisc.p.

La “clonazione illecita” delle carte di credito, avvenuta anteriormente ad opera di ignoti, va tenuta distinta dall’“utilizzazione” indebita successiva, da parte di altro soggetto, autonomamente punibile, che a sua volta se ne è servito per porre in essere quelle “altre operazioni” di trasferimento, idonee ad ostacolare l’individuazione della provenienza delittuosa del denaro, che ha integrato anche la fattispecie legale del riciclaggio. In conclusione, sono concettualmente distinguibili i due reati “cibernetici” (od informatici, il primo in senso stretto, il secondo in senso ampio), rispettivamente di ricezione ed utilizzazione della carta di credito falsificata, per esserne già avvenuta la clonazione del chip, e di riciclaggio, operato via web con “operazioni di trasferimento all’estero”.

Furto di identità

Un’altra ipotesi di reato cibernetico strumentale al cyberlaundering è il “furto d’identità digitale”, autonomamente punibile ai sensi del terzo comma dell’art. 640-ter “frode informatica” commessa mediante sostituzione (furto o indebito utilizzo) dell’identità digitale, dell’art. 494 c.p. “sostituzione di persona”, dell’art. 616-ter “accesso abusivo ad un sistema informatico o telematico”, che consentano eventualmente la realizzazione di trasferimenti illeciti di denaro o fondi, tramite un sistema di home banking cui sia ottenuto indebito accesso.

Alla decisa criminalizzazione del “furto di identità digitale” quale reato presupposto del riciclaggio contribuisce la V direttiva UE 2018/843 estendendo gli obblighi di utilizzare i «mezzi di identificazione elettronica” di cui al Regolamento (UE) 910/2014, dato che «i più recenti sviluppi tecnici nel settore della digitalizzazione delle operazioni e dei pagamenti consentono una identificazione sicura elettronica o a distanza, che dovrebbero avere un riconoscimento a livello transnazionale».

Il campo del diritto penale dell’informatica vive della criminalizzazione di nuove condotte tramite nuove specifiche norme incriminatrici e nuovi beni giuridici da tutelare: diritto alla riservatezza e sicurezza dei propri dati e spazi informatici, riconducibile ai diritti della personalità e alla vita privata e familiare ex art.8 Convenzione europea dalla Corte europea dei diritti dell’uomo.

Credit Photo
Foto 1
Foto 2

Richiedi una consulenza gratuita

Apri chat
1
Hai bisogno di aiuto?
Come posso aiutarti?