Il phishing come accesso abusivo ad un sistema informatico
Il comportamento del phisher è idoneo, astrattamente, ad integrare gli elementi di un ulteriore reato: l’accesso abusivo ad un sistema informatico, previsto dall’art. 615 ter c.p. ed anch’esso introdotto, come il reato di frode informatica, dalla legge n. 547/93 (legge istitutiva dei cosiddetti reati informatici o computer crimes). Anche questa figura delittuosa prevede una ipotesi semplice ed una aggravata.
Il reato di accesso abusivo ad un sistema informatico è punito, nell’ipotesi non aggravata, con la reclusione da uno fino a 3 anni ed è procedibile a querela. Viceversa nell’ipotesi aggravata (ovvero qualora il fatto sia stato commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema, oppure se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato, od ancora se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti) la pena è della reclusione da uno a cinque anni.
Quindi se l’azione di phishing abbia causato anche il blocco, anche momentaneo dell’accessibilità dell’account dell’utente presso il suo istituto creditizio, ricorreranno gli elementi dell’ipotesi aggravata dell’accesso abusivo, sanzionata più duramente, con le relative conseguenze di natura processuale già richiamate in precedenza.
Esiste una ulteriore ipotesi aggravata di accesso abusivo a sistema informatico, la quale si potrebbe verificare qualora l’accesso abusivo, sia nell’ipotesi semplice che in quella aggravata, abbia avuto ad oggetto sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico. In tal caso la pena prevista dalla norma è, rispettivamente, la reclusione da uno a cinque anni se relativa ad un accesso abusivo semplice, mentre da tre a otto anni se ha avuto ad oggetto un’ipotesi aggravata.
La Corte di Cassazione ha più volte espresso il proprio convincimento circa la possibilità di un concorso di reati fra l’accesso abusivo a un sistema informatico e la frode informatica. La condotta di accesso, infatti, non possiede tutti gli elementi puniti dal reato di frode informatica. La condotta punita da quest’ultimo è necessariamente caratterizzata dalla manipolazione dei dati presenti nel sistema («intervenendo senza diritto con qualsiasi modalità su, dati, informazioni o programmi», secondo la formula utilizzata dalla norma).
Tale manipolazione non è prevista nè richiesta per il reato di accesso abusivo, il quale si configura nel momento in cui un soggetto «abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo».
Soffermandosi sulla prima parte delle due condotte contemplate dalla norma pocanzi richiamata appare evidente l’”abusività” del phisher il quale accede all’account della propria “vittima” senza averne alcun titolo eludendo le procedure di autenticazione e di identificazione predisposte dal sistema per tutelare i dati ivi custoditi da accessi non consentiti, quindi abusivi.
Pertanto pare non irragionevole ipotizzare che nel caso del phishing possa esservi anche un accesso abusivo, accompagnato ad una frode informatica. Appare invece da escludere l’eventualità del concorso formale fra i due reati: ovvero la violazione di più norme penali con la commissione di una sola azione od omissione. L’esclusione del concorso formale appare è dovuta all’esistenza di due momenti concettualmente slegati nell’attività del phisher: in primo luogo v’è l’introduzione all’interno del sistema (che realizza il reato di accesso abusivo), successivamente la manipolazione dei dati contenuti nell’accont dell’utente (che realizza invece la frode informatica).
Appare preferibile descrivere l’intera gamma degli illeciti compiuti dal phisher nell’ambito del reato continuato, poiché il phisher commette una molteplicità di reati collegati fra loro (truffa, illecito trattamento dei dati personali, accesso abusivo, frode informatica ed eventualmente ulteriori reati fiscali) nell’esecuzione di un medesimo disegno criminoso. Anche se, in fin dei conti, il trattamento sanzionatorio previsto per il concorso formale è identico a quello previsto per il reato continuato, ovvero l’applicazione della pena prevista per il reato più grave moltiplicato per tre. Nella migliore delle ipotesi al phisher, ove gli venga riconosciuto il reato continuato, non gli si potrà infliggere una pena inferiore a nove anni.
Avv. Luca Bovino – legal@anti-phishing.it
I nostri RSS nel tuo PC. Iscriviti
