Può integrare il reato di frode informatica l’accesso abusivo a un servizio di home banking?
L’analisi dell’articolo che ci apprestiamo a scrivere richiede la preliminare e sintetica descrizione delle disposizioni del codice penale interessate. Vengono in rilevo l’articolo 640 ter, che disciplina il reato di frode informatica, il quale punisce con la reclusione e la multa chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o a esso pertinenti, procuri a sé o ad altri un ingiusto profitto; e il comma 3 del medesimo articolo, che configura una circostanza aggravante, la quale determina un aumento di pena, se il fatto sopra descritto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. In questo breve articolo ci concentreremo su un caso di accesso abusivo a un servizio di “home banking” e cercheremo di individuare la nozione di identità digitale ai fini della configurabilità della frode informatica.
Le credenziali di accesso tramite internet al conto corrente costituiscono identità digitale del titolare?
Qualcuno sostiene che le credenziali di accesso al conto corrente non costituiscano identità digitale del titolare alla stregua di quanto previsto dal d.lg. n. 82 del 2005. Le norme vigenti, infatti, non prevedono l’accesso ai conti correnti bancari mediante identità digitale tramite credenziali, quali il nome utente e passward. Da questo punto di vista, quindi, non può sussistere il reato di frode nella ipotesi di accesso abusivo a un sistema di home banking. Qualcun altro perviene alla medesima conclusione, ossia della insussistenza del reato in ipotesi di accesso tramite home banking, ma utilizzando un ragionamento diverso: il concetto di identità digitale corrisponde all’univoca individuazione di un soggetto su piattaforme digitali on line, sulla scorta del fatto che la legge ha fornito una chiara definizione di identità digitale affermando che la stessa costituisce la rappresentazione informatica della corrispondenza tra utente e suoi attributi identificativi. Il concetto di identità, pertanto, per chi la pensa così, non può prescindere dalla verifica della pubblica amministrazione della reale identità del soggetto che la utilizza. E visto che il sistema di accesso all’home banking non è validato dalla pubblica amministrazione, non si può parlare di frode informatica.
Cosa è l’identità digitale?
In realtà il legislatore non ha fornito alcuna definizione di identità digitale, distinguendo plurime e diversificate accezioni.
L’identità digitale è comunemente intesa come l’insieme delle informazioni e delle risorse concesse da un sistema informatico a un particolare utilizzatore attraverso un processo di identificazione che consiste per l’appunto nella validazione dei dati attribuiti in modo esclusivo e univoco a un soggetto. Tali dati consentono poi l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie poste in essere anche al fine di garantire la sicurezza dell’accesso. Non si può limitare l’identità digitale alle procedure di validazioni adottate dalla P.A. (SPID, per esempio) debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita on line.
Considerazioni personali
Esistono secondo me diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale e intese a rafforzare la fiducia dei cittadini nell’utilizzazione dei servizi on line e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumo mediante il furto di identità. Ritengo quindi che siano da ravvisare gli estremi del reato anche in relazione a un accesso abusivo di sistema home banking. Un esempio proverà a chiarire i dubbi sulla configurabilità del reato.
In tema di identità digitale, la giurisprudenza di legittimità ha riconosciuto il delitto di sostituzione di persona nella condotta di colui che crea ed utilizza un profilo su social network servendosi abusivamente dell’immagine di un diverso soggetto, inconsapevole, in quanto idonea alla rappresentazione di un’identità digitale non corrispondente a quello che ne fa uso.