TUTELA DEI DATI PERSONALI
Suprema Corte di Cassazione: frode informatica, il concetto di "identità digitale" trova applicazione anche nei casi di home banking.
La nozione di identità digitale, che integra l'aggravante ex art. 640-ter, comma terzo, c.p., non presuppone una procedura di validazione adottata dalla PA, ma trova applicazione anche nei casi di utilizzo di credenziali di accesso a sistemi informatici privati.
L'imputato veniva condannato dal Tribunale in ordine al reato di riciclaggio, per aver messo a disposizione di ignoti il proprio conto corrente ove era confluito denaro proveniente dai delitti di accesso abusivo ad un sistema informatico e frode informatica. La Corte d'Appello, parzialmente riformando la sentenza di primo grado, qualificava il fatto ai sensi dell' art. 640-ter c.p. e rideterminava la pena in senso favorevole all'uomo.
L'imputato ricorre così in Cassazione, lamentando violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza dell'aggravante ex comma 3, art. 640-ter cit.. Evidenzia egli che le risultanze processuali non proverebbero la sussistenza del furto o dell'indebito utilizzo dell'identità digitale, concetto non adattabile al caso in esame, nel quale, per accedere al conto corrente della vittima, ci si era serviti di una chiavetta elettronica idonea a comunicare il codice di accesso da utilizzare di volta in volta.
Con sentenza n. 13559 del 3 aprile, la Seconda sezione Penale rigetta il ricorso.
La nozione di identità digitale, che integra l'aggravante in questione, non è circostanziata alle procedure di validazione adottate dalla PA, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati.
Il Legislatore non ha infatti fornito alcuna definizione di identità digitale.
La dottrina ha evidenziato che la traslazione in sede penale di definizioni tratte da fonti esterne trova un evidente ostacolo nel fatto che si tratta di concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono.
L'Ufficio del Massimario ha affermato che «l'identità digitale è comunemente intesa come l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione (..)».
Sebbene si tratti, quindi, di un concetto destinato ad una futura perimetrazione, non può essere accolta la tesi difensiva che pretende di limitare l'identità digitale alle sole procedure di validazione adottate dalla PA debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita online.
E tali indicazioni, espresse a proposito dell'utilizzo di credenziali personali per l'accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all'uso illegittimo dei cosiddetti PIN e di chiavette elettroniche che producono di volta in volta un codice per effettuare l'operazione bancaria, dal momento che, in tutti i casi, quel che rileva è che «i dati di accesso al sistema informatico di volta in volta compulsato dall'agente direttamente o attraverso l'uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata (..) solo dal titolare o da soggetto da questi autorizzato».
Venendo al caso di specie, si può confermare che l'aver utilizzato, carpendola senza autorizzazione, la chiavetta elettronica appartenente al titolare del conto, integra l'aggravante contestata e presuppone, comunque, a monte, un uso non autorizzato delle credenziali di accesso al conto inerenti alla persona del suo titolare.
Corte di Cassazione, sez. II Penale, sentenza (ud. 13 marzo 2024) 3 aprile 2024, n. 13559
L'imputato veniva condannato dal Tribunale in ordine al reato di riciclaggio, per aver messo a disposizione di ignoti il proprio conto corrente ove era confluito denaro proveniente dai delitti di accesso abusivo ad un sistema informatico e frode informatica. La Corte d'Appello, parzialmente riformando la sentenza di primo grado, qualificava il fatto ai sensi dell' art. 640-ter c.p. e rideterminava la pena in senso favorevole all'uomo.
L'imputato ricorre così in Cassazione, lamentando violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza dell'aggravante ex comma 3, art. 640-ter cit.. Evidenzia egli che le risultanze processuali non proverebbero la sussistenza del furto o dell'indebito utilizzo dell'identità digitale, concetto non adattabile al caso in esame, nel quale, per accedere al conto corrente della vittima, ci si era serviti di una chiavetta elettronica idonea a comunicare il codice di accesso da utilizzare di volta in volta.
Con sentenza n. 13559 del 3 aprile, la Seconda sezione Penale rigetta il ricorso.
La nozione di identità digitale, che integra l'aggravante in questione, non è circostanziata alle procedure di validazione adottate dalla PA, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati.
Il Legislatore non ha infatti fornito alcuna definizione di identità digitale.
La dottrina ha evidenziato che la traslazione in sede penale di definizioni tratte da fonti esterne trova un evidente ostacolo nel fatto che si tratta di concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono.
L'Ufficio del Massimario ha affermato che «l'identità digitale è comunemente intesa come l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione (..)».
Sebbene si tratti, quindi, di un concetto destinato ad una futura perimetrazione, non può essere accolta la tesi difensiva che pretende di limitare l'identità digitale alle sole procedure di validazione adottate dalla PA debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita online.
E tali indicazioni, espresse a proposito dell'utilizzo di credenziali personali per l'accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all'uso illegittimo dei cosiddetti PIN e di chiavette elettroniche che producono di volta in volta un codice per effettuare l'operazione bancaria, dal momento che, in tutti i casi, quel che rileva è che «i dati di accesso al sistema informatico di volta in volta compulsato dall'agente direttamente o attraverso l'uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata (..) solo dal titolare o da soggetto da questi autorizzato».
Venendo al caso di specie, si può confermare che l'aver utilizzato, carpendola senza autorizzazione, la chiavetta elettronica appartenente al titolare del conto, integra l'aggravante contestata e presuppone, comunque, a monte, un uso non autorizzato delle credenziali di accesso al conto inerenti alla persona del suo titolare.
Corte di Cassazione, sez. II Penale, sentenza (ud. 13 marzo 2024) 3 aprile 2024, n. 13559