Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto produce un trasferimento di denaro, di valore monetario o di valuta virtuale o è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o la circostanza prevista dall'articolo 61, primo comma, numero 5, limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età.

Procedibilità: il reato di frode informatica è procedibile a querela di parte. La procedibilità è d'ufficio nelle ipotesi descritte dal secondo comma o se sussiste una delle circostanze aggravanti previste dall'articolo 61, primo comma, numero 5 (limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età).

Competenza: per il reato di frode informatica è competente il tribunale in composizione monocratica

Udienza preliminare: per il reato di frode informatica è prevista l'udienza preliminare solo nelle ipotesi descritte nel secondo e terzo comma.

Prescrizione: il reato di frode informatica si prescrive in 6 anni (7 anni e mezzo in caso di atti interruttivi della prescrizione).

Arresto: per il reato di frode informatica non è consentito l'arresto nell'ipotesi semplice (primo comma), è facoltativo nelle ipotesi descritte dal secondo e terzo comma.

Fermo: per il reato di frode informatica il fermo non è consentito.

Custodia cautelare in carcere: per il reato di frode informatica è consentita la custodia cautelare in carcere solo nelle ipotesi descritte dal secondo e terzo comma.

Indice:

1. Che cos'è e come è punita la frode informatica? 

2. Quando si configura il reato di frode informatica? 

3. Esempi di frode informatica 

4. Differenza tra truffa informatica e detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici 

5. Le principali sentenze della Corte di Cassazione in tema di frode informatica 

1. Che cos'è e come è punita la frode informatica?

La frode informatica è un reato previsto dall'art. 640 ter del codice penale e punisce chi si procuri un profitto, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti.

Il reato è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro.

Nelle ipotesi aggravate previste dall'art. 640 ter c.p., la pena può arrivare fino a sei anni di reclusione.

Il delitto di frode informatica di cui all'art. 640 ter c.p. è una forma speciale di truffa che si pone in rapporto di complementarietà, sussidiarietà e specialità rispetto ad essa.

La norma è posta a tutela sia della riservatezza e della regolarità dei sistemi informatici che del patrimonio altrui.

L'evento consiste nel conseguimento da parte del soggetto attivo di un ingiusto profitto con altrui danno. 

Il delitto di frode informatica è un reato a forma libera che prevede alternativamente una condotta consistente nell'alterazione del funzionamento del sistema informatico o telematico, ovvero in un intervento autorizzato (Cass. Pen. 24 novembre 2003, n. 4576).

Secondo un costante orientamento giurisprudenziale, a differenza del reato di truffa, nel caso di frode informatica l'attività fraudolenta dell'agente non investe il soggetto passivo, di cui manca l'induzione in errore, ma il sistema informatico di pertinenza della stessa persona offesa che viene manipolato al fine di ottenere una penetrazione (cfr. Cass. Pen. 10 settembre 2018, n. 48553).

Gli stessi giudici di legittimità hanno, inoltre, evidenziato che integrerebbe il delitto di frode informatica la condotta di colui che, servendosi di una carta di credito fasciata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, tra cui quella di prelievo di contanti attraverso i servizi di cassa continua (cfr. Cass. pen. 30 settembre 2015, n. 41777), più nel dettaglio si è arrivati a stabilire che l'operazione fraudolenta di trasferimento fondi da un conto corrente postale ad un altro mediante penetrazione abusiva nel sistema informatico di (...), utilizzando un codice carpito con frode, integra il delitto di cui all'art. 640 ter c.p. e non quello di cui all'art. 55 comma 9, legge 231/2007.

2. Quando si configura il reato di frode informatica?

Come si è detto in precedenza, l'art. 640 ter c.p. punisce "Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da Euro 51 a Euro 1.032."

Sulla struttura del delitto in esame è possibile affermare, sulla scorta del dato normativo e della sua interpretazione giurisprudenziale, che la norma di cui all'art. 640 ter c.p. incrimina due condotte.

La prima consiste nell'alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico.

Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull'hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello originariamente programmato.

Per sistema informatico o telematico deve intendersi un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un'attività di codificazione e decodificazione - dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, ossia di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dall'elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente.

E' stato osservato, altresì, che il sistema informatico, per essere definito tale, debba presentare tre caratteristiche essenziali:

"a) la registrazione o memorizzazione, "per mezzo di impulsi elettronici e su supporti adeguati, di dati rappresentati attraverso simboli (bit) numerici (codice) in combinazioni diverse";

b) "l'elaborazione automatica" da parte della macchina dei dati così registrati o memorizzati;

c) l'organizzazione di tali dati "secondo una logica che consenta loro di esprimere un particolare significato per l'utente" (utilità)".

Una volta compreso il concetto di sistema informatico, si può ricavare in maniera molto più agevole la nozione di sistema telematico.

Semplificando, si può affermare che è telematico un sistema formato da un insieme di sistemi informatici connessi tra loro attraverso una rete elettrica ovvero mediante un sistema di trasmissione via etere al fine di trasmettere e ricevere informazioni (l'esempio classico è quello di Internet, ma rientrano nel concetto anche le c.d. intranet in uso, ad esempio, nella maggior parte delle realtà aziendali).

La seconda condotta è costituita dall'intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti.

Come si è detto in precedenza, la frode informatica è un reato a forma libera che, finalizzato pur sempre all'ottenimento di un ingiusto profitto con altrui danno, si concretizza in un'illecita condotta intensiva, ma non alterativa del sistema informatico o telematico (Sez. 2, n. 13475 del 06/03/2013, Se., Rv. 254911)" (così Cassazione penale, sez. II, 29/05/2019, n. 26604).

Il reato di frode informatica si consuma nel momento in cui il soggetto agente consegue l'ingiusto profitto con correlativo danno patrimoniale, sicché la condotta di colui che mette a disposizione di terzi rimasti ignoti il proprio conto corrente per ricevere direttamente la somma di denaro conseguita mediante accesso abusivo al sistema informatico altrui, si inserisce nella fase di esecuzione del reato di frode informatica (cfr. Cass. Sez. 2, n. 16023/2020 e Cass. Sez. 2, n. 48553/2018).

Giova evidenziare che è ormai pacificamente ammesso il concorso tra il delitto di cui all'art. 615 ter c.p. e quello previsto dall'art. 640 ter c.p., sulla base della considerazione che sono diversi "i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il cosiddetto domicilio informatico sotto il profilo dello "ius excludendi alios", anche in relazione alle modalità che regolano l'accesso dei soggetti eventualmente abilitati, mentre il secondo contempla e sanziona l'alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto" (così Cassazione penale, sez. V, 19/02/2020, n. 17360, relativa a una fattispecie in cui la condotta specificamente addebitata all'imputato era quella di aver proceduto, in concorso con ignoto, ad aprire, con propri documenti di identità, conti correnti postali sui quali affluivano, poco dopo, somme prelevate da conti correnti o da carte (...) di altri soggetti. (Tribunale Nola, 16/08/2022, (ud. 08/06/2022, dep. 16/08/2022), n.1205.

3. Esempi di frode informatica

Si propongono, di seguito, due esempi di contestazioni elevate per il reato di frode informatica ex art. 640 ter c.p.

Esempio n.1

"Tizio, imputato in ordine al reato p. e p. dall'art. 615 ter, 615 quater, 640 ter c.p. perché al fine di trarne profitto, abusivamente si procurava gli estremi ed il codice di accesso della carta di credito prepagata n. (omissis) di C.S.; si introduceva abusivamente nel sistema informatico/telematico relativo alla gestione della predetta carta di credito contro la tacita volontà di chi aveva il diritto di escluderlo e, con le modalità appena descritte, disponeva n. 9 operazioni di acquisto per complessivi euro 901,24 in favore di vari siti commercio - on line - con spedizione di beni acquistati a suo favore, con importo in addebito alla carta di credito prepagata n. (omissis) di C.S. con pari danno per la stessa p. o.

In luogo imprecisato a mezzo della rete internet in data 10-5-2017

Competenza ex art 51 co. 3 quinquies c.p.p."

Esempio n.2

"Tizio, imputato del delitto p. e p. dall'art. 61 n. 7 e 640 ter comma 1 c.p., perchè, introducendosi fraudolentemente e alterando il funzionamento del sistema informatico o telematico del denunciante o dell'ente bancario, con le condotte e con le modalità tipiche di un "man in the middle" descritte al capo precedente, effettuando il "phishing" dei dati bancari e disponendo il trasferimento dei fondi inviati dalla Società (...), (acconto sulla fattura n. (...) del 15.12.2017 della Società (...) a favore del conto corrente a lui intestato (...), si procurava un ingiusto profitto patrimoniale di euro 6.549,33 con danno di rilevante gravità per la persona offesa. Commesso in luogo imprecisato il 19.12.2017.

Querela del 01.02.2018"

4. Differenza tra truffa informatica e detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

Quanto al reato previsto dall'art. 615 quater c.p. (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), esso punisce chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo.

Il bene giuridico oggetto di tutela è la riservatezza informatica e la indisturbata fruizione del sistema informatico da parte del gestore e viene punita una condotta prodromica alla commissione del delitto di cui all'articolo precedente (615 ter, "accesso abusivo ad un sistema informatico o telematico"), sanzionandosi infatti la detenzione o la messa a disposizione di apparecchiature in grado di infrangere i presidi posti a tutela del "domicilio informatico altrui".

Viene ad ogni modo richiesto il dolo specifico costituito dal fine di procurarsi un profitto, di danneggiare o di permettere il danneggiamento o comunque il non funzionamento (anche temporaneo) di un sistema informatico.

Infine, l'art. 640 ter c.p. sanziona chi, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno.

Viene in tal modo offerta tutela al patrimonio individuale, ma più specificatamente al regolare funzionamento dei sistemi informatici ed alla riservatezza dei dati ivi contenuti, e ciò con un evidente richiamo a quanto disposto dall'art. 640 c.p. che punisce - a titolo di dolo generico - chi, con artifizi o raggiri, induca taluno in errore, procurando a sé o ad altri un ingiusto profitto con altrui danno.

Differenze tra le due norme si riscontrano, però, in merito all'elemento causale, dato che per la configurabilità del reato di cui all'art. 640 ter c.p. non è richiesta l'induzione in errore della vittima, in quanto l'attività fraudolenta investe il sistema informatico della stessa e consiste nell'alterazione, comunque realizzata, del sistema informatico e dell'intervento, senza averne diritto, con qualsiasi modalità, su dati, informazioni, programmi di un sistema informatico.

5. Le principali sentenze della Corte di Cassazione in tema di frode informatica