| |
Il phishing come accesso
abusivo ad un sistema informatico
Il comportamento del phisher è idoneo, astrattamente, ad integrare gli elementi
di un ulteriore reato: l’accesso abusivo ad un sistema informatico, previsto
dall’art. 615 ter c.p. ed anch’esso introdotto, come il reato di frode
informatica, dalla legge n. 547/93 (legge istitutiva dei cosiddetti reati
informatici o computer crimes). Anche questa figura delittuosa prevede una
ipotesi semplice ed una aggravata.
Il reato di accesso abusivo ad un sistema informatico è punito, nell’ipotesi non
aggravata, con la reclusione da uno fino a 3 anni ed è procedibile a querela.
Viceversa nell’ipotesi aggravata (ovvero qualora il fatto sia stato commesso da
un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei
poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da
chi esercita anche abusivamente la professione di investigatore privato, o con
abuso della qualità di operatore del sistema, oppure se il colpevole per
commettere il fatto usa violenza sulle cose o alle persone, ovvero se è
palesemente armato, od ancora se dal fatto deriva la distruzione o il
danneggiamento del sistema o l'interruzione totale o parziale del suo
funzionamento ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in esso contenuti) la pena è della reclusione da
uno a cinque anni.
Quindi se l’azione di phishing abbia causato anche il blocco, anche momentaneo
dell’accessibilità dell’account dell’utente presso il suo istituto creditizio,
ricorreranno gli elementi dell’ipotesi aggravata dell’accesso abusivo,
sanzionata più duramente, con le relative conseguenze di natura processuale già
richiamate in precedenza.
Esiste una ulteriore ipotesi aggravata di accesso abusivo a sistema informatico,
la quale si potrebbe verificare qualora l’accesso abusivo, sia nell’ipotesi
semplice che in quella aggravata, abbia avuto ad oggetto sistemi informatici o
telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza
pubblica o alla sanità o alla protezione civile o comunque di interesse
pubblico. In tal caso la pena prevista dalla norma è, rispettivamente, la
reclusione da uno a cinque anni se relativa ad un accesso abusivo semplice,
mentre da tre a otto anni se ha avuto ad oggetto un’ipotesi aggravata.
La Corte di Cassazione ha più volte espresso il proprio convincimento circa la
possibilità di un concorso di reati fra l'accesso abusivo a un sistema
informatico e la frode informatica. La condotta di accesso, infatti, non
possiede tutti gli elementi puniti dal reato di frode informatica. La condotta
punita da quest’ultimo è necessariamente caratterizzata dalla manipolazione dei
dati presenti nel sistema («intervenendo senza diritto con qualsiasi modalità
su, dati, informazioni o programmi», secondo la formula utilizzata dalla
norma).
Tale manipolazione non è prevista nè richiesta per il reato di accesso abusivo,
il quale si configura nel momento in cui un soggetto «abusivamente si
introduce in un sistema informatico o telematico protetto da misure di sicurezza
ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto
di escluderlo». Soffermandosi sulla prima parte delle due condotte
contemplate dalla norma pocanzi richiamata appare evidente l’”abusività” del
phisher il quale accede all’account della propria “vittima” senza averne alcun
titolo eludendo le procedure di autenticazione e di identificazione predisposte
dal sistema per tutelare i dati ivi custoditi da accessi non consentiti, quindi
abusivi.
Pertanto pare non irragionevole ipotizzare che nel caso del phishing possa
esservi anche un accesso abusivo, accompagnato ad una frode informatica. Appare
invece da escludere l’eventualità del concorso formale fra i due reati: ovvero
la violazione di più norme penali con la commissione di una sola azione od
omissione. L’esclusione del concorso formale appare è dovuta all’esistenza di
due momenti concettualmente slegati nell’attività del phisher: in primo luogo
v’è l’introduzione all’interno del sistema (che realizza il reato di accesso
abusivo), successivamente la manipolazione dei dati contenuti nell’accont
dell’utente (che realizza invece la frode informatica).
Appare preferibile descrivere l’intera gamma degli illeciti compiuti dal phisher
nell’ambito del reato continuato, poiché il phisher commette una molteplicità di
reati collegati fra loro (truffa, illecito trattamento dei dati personali,
accesso abusivo, frode informatica ed eventualmente ulteriori reati fiscali)
nell’esecuzione di un medesimo disegno criminoso. Anche se, in fin dei conti, il
trattamento sanzionatorio previsto per il concorso formale è identico a quello
previsto per il reato continuato, ovvero l’applicazione della pena prevista per
il reato più grave moltiplicato per tre. Nella migliore delle ipotesi al phisher,
ove gli venga riconosciuto il reato continuato, non gli si potrà infliggere una
pena inferiore a nove anni.
Avv. Luca Bovino -
legal@anti-phishing.it |
