Voce enciclopedica · Parte speciale · Delitti contro il patrimonio
La frode informatica (art. 640-ter c.p.).
Non un inganno a una persona, ma una manipolazione del sistema: la frode informatica colpisce chi altera un programma, un database, un trasferimento di denaro — senza che nessuna vittima umana sia tratta in errore e indotta a disporre del proprio patrimonio.
L'art. 640-ter c.p. (frode informatica) è stato introdotto dall'art. 10 della legge 23 dicembre 1993, n. 547, che ha adeguato il codice penale alla realtà dei sistemi informatici e telematici. Nella sistematica del codice la norma si colloca tra i delitti contro il patrimonio mediante frode, accanto alla truffa ex art. 640 c.p., da cui tuttavia si distingue strutturalmente per l'assenza di qualsiasi inganno rivolto a un essere umano. Il bene giuridico tutelato è il patrimonio del soggetto leso; lo strumento di aggressione non è la mendace persuasione di una persona, ma la diretta manipolazione di un sistema informatico o dei dati che lo alimentano.
«Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 a 1.032 euro.
La pena è della reclusione da uno a cinque anni e si procede d'ufficio se il fatto è commesso con abuso della qualità di operatore del sistema.»
La ratio legis: rispondere alla criminalità informatica patrimoniale
Prima della l. 547/1993, i fatti oggi riconducibili alla frode informatica venivano difficilmente sussunti nella truffa, perché questa richiede un'interazione con un soggetto umano che sia indotto in errore. Il sistema informatico, in quanto privo di capacità di cadere in errore nel senso psicologico presupposto dalla truffa, non può essere «raggirato». La frode informatica ha colmato questa lacuna creando una fattispecie ad hoc, costruita sulla manipolazione del sistema piuttosto che sull'inganno della persona, e ha consentito di punire le condotte di alterazione dei flussi di dati e di denaro nell'ambiente digitale, restituendo effettività alla tutela penale del patrimonio nel nuovo contesto tecnologico.
Le due condotte alternative
L'art. 640-ter individua due condotte alternative, tra loro equivalenti sul piano della tipicità:
- Alterazione del funzionamento del sistema informatico o telematico: qualsiasi modifica del regolare svolgimento dei processi informatici — dall'inserimento di istruzioni non autorizzate alla modifica di parametri operativi, dall'introduzione di codice malevolo alla manomissione degli algoritmi di esecuzione. Non occorre che l'alterazione sia permanente: è sufficiente che, anche momentaneamente, il sistema sia indotto a operare in modo diverso da quello previsto.
- Intervento senza diritto su dati, informazioni o programmi: qualsiasi interazione non autorizzata con il contenuto del sistema — inserimento, cancellazione, modificazione o trasmissione di dati senza il consenso del titolare o al di fuori dell'autorizzazione eventualmente ricevuta. Il riferimento ai dati «pertinenti» al sistema estende la copertura penale anche a informazioni esterne ma destinate all'elaborazione.
Le due ipotesi possono coincidere — un intervento sui dati può al tempo stesso alterare il funzionamento del sistema — ma restano concettualmente distinte: la prima riguarda il piano operativo del sistema; la seconda il suo piano contenutistico. In entrambi i casi la condotta deve essere finalisticamente orientata a procurare un profitto ingiusto con danno altrui.
Il profitto ingiusto e il danno altrui
Come nella truffa, la frode informatica è un reato di evento patrimoniale: il profitto deve essere ingiusto (privo di base legale o contrattuale) e il danno deve essere altrui (non si punisce il mero vantaggio senza pregiudizio di terzi). Non è necessario che profitto e danno abbiano identico ammontare: è sufficiente che la condotta abbia dirottato risorse economiche a vantaggio dell'agente o di terzi, con correlativo depauperamento del soggetto leso. Il momento consumativo coincide con il conseguimento del profitto ingiusto: nelle frodi bancarie, ciò avviene di regola con l'accredito della somma sul conto di destinazione, momento in cui si realizza il definitivo depauperamento della vittima.
La differenza fondamentale con la truffa (art. 640 c.p.)
Il confronto con la truffa ex art. 640 c.p. è la questione interpretativa centrale. Le due norme condividono la struttura patrimoniale — profitto ingiusto e danno altrui — ma divergono radicalmente sul meccanismo causale:
- Nella truffa, l'autore inganna un essere umano con artifizi o raggiri; la vittima, tratta in errore, compie un atto di disposizione patrimoniale pregiudizievole di propria iniziativa, sia pure viziata dall'inganno.
- Nella frode informatica, non vi è alcuna vittima umana ingannata: il profitto è conseguito agendo direttamente sul sistema — modificandone il funzionamento o i dati — senza che alcuno sia indotto in errore e compia una disposizione patrimoniale consapevole.
La distinzione è netta nella struttura, ma nella prassi le due figure possono cumularsi: il phishing, ad esempio, si articola spesso su una prima fase di inganno della vittima (condotta tipica della truffa) seguita da una manipolazione del sistema bancario (condotta tipica della frode informatica). La giurisprudenza consolidata valuta caso per caso quale norma prevalga o se sussista il concorso di reati.
«Integra il reato di frode informatica, e non quello di truffa, la condotta di chi — senza ingannare alcun soggetto umano — accede abusivamente al sistema di home banking della vittima e dispone trasferimenti non autorizzati: il profitto è conseguito attraverso la diretta manipolazione del sistema, senza che la vittima sia indotta in errore a compiere alcun atto di disposizione.» — giurisprudenza consolidata della Corte di cassazione
Il phishing e le frodi su home banking
La forma più diffusa di frode informatica nel panorama contemporaneo si innesta nei sistemi di pagamento digitale. Il phishing classico prevede due fasi: un'e-mail o un SMS che simula una comunicazione istituzionale (banca, servizio postale, ente pubblico) e induce la vittima a fornire le proprie credenziali di accesso — questa è la fase dell'inganno, tipica della truffa; l'accesso successivo al sistema della banca e il bonifico fraudolento disposto a favore dell'agente costituiscono invece la manipolazione del sistema, tipica della frode informatica. Quando la frode è integralmente automatizzata — codice malevolo che intercetta e reindirizza le operazioni bancarie senza alcuna interazione con la vittima — la figura prevalente o esclusiva è quella della frode informatica. Lo skimming (duplicazione dei dati della carta di pagamento tramite dispositivi illecitamente installati sugli sportelli ATM) integra analogamente la frode informatica, attraverso la cattura e la successiva utilizzazione di dati informatici altrui. Il man-in-the-browser — codice malevolo che altera in tempo reale le coordinate bancarie di un bonifico già impostato dall'utente — costituisce il paradigma più puro della sola alterazione del funzionamento del sistema.
Le circostanze aggravanti
L'art. 640-ter prevede una circostanza aggravante speciale: se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata (reclusione da uno a cinque anni) e si procede d'ufficio. L'«operatore del sistema» è chi ha accesso legittimo al sistema informatico per ragioni di lavoro o di funzione — il dipendente della banca, il tecnico informatico, l'amministratore di rete — e sfrutta tale posizione privilegiata per realizzare la frode. La qualifica aggravata riflette il maggiore disvalore di una condotta che tradisce la fiducia che fonda l'accesso autorizzato e che rende il fatto più facile da realizzare e più difficile da scoprire. Accanto all'aggravante speciale, il giudice può applicare le circostanze del codice penale compatibili con il reato, tra cui la minorata difesa ex art. 61 n. 5 c.p., rilevante quando la vittima si trovi in condizioni di particolare vulnerabilità informatica.
Procedibilità
La frode informatica nella forma base è procedibile a querela della persona offesa. Si procede invece d'ufficio quando ricorre la circostanza aggravante dell'abuso della qualità di operatore del sistema, e più in generale ogni volta che sussista una circostanza aggravante a effetto speciale. La procedibilità d'ufficio nella forma aggravata rappresenta una scelta di politica criminale coerente: il legislatore ha voluto sottrarre alla disponibilità della parte offesa l'azione penale nelle ipotesi in cui la frode è commessa da chi ha accesso fiduciario ai sistemi, perché il danno si ripercuote spesso su un numero indeterminato di soggetti e l'interesse pubblico alla repressione supera quello privato alla disponibilità dell'azione.
Concorso con l'accesso abusivo (art. 615-ter c.p.)
La realizzazione della frode informatica presuppone spesso un accesso non autorizzato al sistema bersaglio. L'art. 615-ter c.p. (accesso abusivo a sistema informatico o telematico) tutela il domicilio informatico e la riservatezza dei dati; la frode informatica tutela il patrimonio: i beni giuridici protetti sono distinti, cosicché il concorso di reati è in linea di principio configurabile. La giurisprudenza ammette il concorso tra art. 615-ter e art. 640-ter quando le condotte, pur collegate, offendono beni giuridici diversi e non sussiste un rapporto di specialità o di assorbimento necessario. Il problema del concorso apparente di norme si pone invece quando l'«intervento senza diritto su dati» dell'art. 640-ter coincida integralmente con l'accesso abusivo, situazione nella quale occorre valutare se le due disposizioni concorrano o si elidano.
Casistica
- Frode su home banking: accesso abusivo al conto corrente altrui tramite credenziali sottratte e disposizione di bonifici non autorizzati → frode informatica, eventualmente in concorso con truffa se le credenziali sono state carpite con inganno (phishing).
- Skimming su ATM: installazione di dispositivi che clonano i dati della banda magnetica o del chip della carta e consentono prelievi fraudolenti → intervento senza diritto su dati pertinenti al sistema, frode informatica.
- Man-in-the-browser: codice malevolo che altera, all'insaputa dell'utente, le coordinate bancarie di un bonifico già inserito dall'utente stesso → alterazione del funzionamento del sistema, frode informatica nella forma pura.
- Manipolazione di sistemi gestionali aziendali: dipendente che modifica i dati contabili del software aziendale per far risultare crediti inesistenti o pagamenti a sé → intervento senza diritto su dati, circostanza aggravante dell'abuso della qualità di operatore del sistema, procedibilità d'ufficio.
- Frode su sistemi di biglietteria o di fidelizzazione: alterazione dei parametri di un programma per accreditarsi punti o acquistare biglietti senza pagamento → alterazione del funzionamento del sistema, frode informatica.
Rinvii sistematici
La voce si collega a quella sulla truffa online (art. 640 c.p.) per il confronto strutturale e i casi di confine, ai delitti contro il patrimonio per il quadro sistematico del titolo XIII, al riciclaggio e autoriciclaggio per le successive operazioni di reimpiego dei proventi, e alla prescrizione del reato per i termini estintivi. Per i profili di responsabilità concorsuale nelle organizzazioni criminali informatiche si rinvia alla voce sul concorso di persone nel reato.
La presente voce ha carattere esclusivamente informativo e non costituisce consulenza legale.
Domande frequenti
Cos'è la frode informatica ex art. 640-ter c.p.?
Il delitto che punisce chi, alterando il funzionamento di un sistema informatico o intervenendo senza diritto su dati, procura a sé o ad altri un ingiusto profitto con altrui danno. Introdotta dalla l. 547/1993, è il reato cardine della criminalità informatica patrimoniale.
Differenza con la truffa online (art. 640 c.p.)?
Nella truffa l'inganno è rivolto a una persona, indotta in errore dagli artifizi o raggiri dell'autore. Nella frode informatica non vi è nessuna vittima ingannata: il profitto si ottiene manipolando il sistema o i suoi dati, senza che nessuno compia una disposizione patrimoniale consapevole.
Il phishing è frode informatica o truffa?
Dipende dalla fase rilevante. L'inganno che carpisce le credenziali è tipicamente truffa; il successivo accesso al sistema bancario per disporre bonifici non autorizzati è frode informatica. Nella prassi le due figure concorrono.
Qual è la pena?
Reclusione da sei mesi a tre anni + multa nella forma base. La pena sale a reclusione da uno a cinque anni se il fatto è commesso con abuso della qualità di operatore del sistema, con procedibilità d'ufficio.
La frode informatica è procedibile d'ufficio?
Nella forma base a querela; d'ufficio se ricorre la circostanza aggravante dell'abuso della qualità di operatore del sistema o altra aggravante a effetto speciale. Differenza rilevante rispetto alla truffa semplice, procedibile a querela entro tre mesi.
Può concorrere con l'accesso abusivo (art. 615-ter c.p.)?
Sì. L'art. 615-ter c.p. tutela il domicilio informatico; l'art. 640-ter il patrimonio: beni giuridici distinti. Chi accede senza autorizzazione a un sistema e ne manipola i dati per ottenere un profitto risponde, in linea di principio, di entrambi i reati in concorso.
Marco Buono
Il Prof. Marco Buono insegna Diritto penale e Procedura penale presso l'Università di Roma Tor Vergata.
Ha dedicato attenzione alla criminalità informatica e ai reati contro il patrimonio nell'economia digitale, con interesse per i confini tra le fattispecie tradizionali e le nuove forme di aggressione informatica.