Scroll Top

Il furto di identità in rete

Il fenomeno del c.d. “identity theft”, ovvero del furto di identità in rete si diffonde a macchia d’olio, complice la continua crescita dell’utilizzo di internet e l’evoluzione esponenziale degli strumenti tecnologici che consentono la diffusione e la condivisione dei dati personali online.

La fattispecie si realizza, infatti, soprattutto nell’ambito dei social network, date sia le modalità (erronee) di custodia delle credenziali di autenticazione degli utenti, sia la possibilità di creare degli account falsi da parte di terzi.

Il meccanismo facilita il furto di identità in rete: utilizzando i procedimenti di social engineering, gli utenti ignari vengono indotti ad eseguire determinate azioni, finalizzate al furto delle credenziali di accesso o all’ottenimento delle informazioni e dei dati personali da utilizzare poi per l’accesso ai sistemi informatici, sostituendosi alle reali identità, anche al fine di porre in essere transazioni economiche illecite, come nel caso del “phishing”..

Pur non corrispondendo “materialmente” ad una sostituzione della persona, in mancanza di una fattispecie incriminatrice specifica, il furto di identità in rete viene ricondotto dalla giurisprudenza di legittimità nell’ambito del reato di cui all’art. 494 c.p., relativo alla “sostituzione di persona”, secondo il quale “chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno”.

Sul punto, la Cassazione si è pronunciata più volte ritenendo che la condotta di chi crea ed utilizzi account o caselle di posta elettronica servendosi dei dati anagrafici di un terzo soggetto, inconsapevole, è in grado di indurre in errore, non il fornitore del servizio, bensì l’intera platea di utenti, i quali, convinti di interloquire con un soggetto, si troveranno ad interagire, invece, con una persona diversa da quella che a loro viene fatta credere, integrando così la fattispecie di reato prevista dalla norma (Cass. Pen. n. 46674/2007).

Dalla lettura della norma incriminatrice, secondo l’interpretazione giurisprudenziale, emerge, infatti, che il bene giuridico tutelato è quello della pubblica fede, poiché la norma non è rivolta esclusivamente alla fede privata ovvero alla tutela civilistica del diritto al nome.

La tutela offerta dall’art. 494 c.p., infatti, interviene in presenza di inganni relativi “alla vera essenza di una persona o alla sua identità o ai suoi attributi reali”, pertanto, laddove questi siano collocati in rete, tale tutela può ben oltrepassare la ristretta cerchia di un destinatario specifico, estendendosi agli utenti dei rapporti telematici (Cass. Pen. n. 46674/2007).

La fattispecie delittuosa ha dunque natura plurioffensiva, in quanto lo scopo è quello di tutelare non solo gli interessi pubblici, ma anche quelli che si trovano nella sfera del soggetto privato (persona offesa), che vengono lesi dalla figura di reato, per la quale è richiesto il dolo specifico (Cass. n. 13296/2013).

Più recentemente, nel 2013, la Cassazione ha confermato il suddetto orientamento, riconoscendo l’applicabilità dell’art. 494 c.p. in una fattispecie in cui è stata ravvisata la sostituzione di persona mediante chat line.

Anche in tal caso, la condanna del soggetto agente, è stata il risultato dell’interpretazione “estensiva” che la S.C. ha riconosciuto alla norma in esame (Cass. Pen. n. 18826/2013).

L’applicabilità dell’art. 494 c.p. ricorre altresì laddove viene creato un preciso profilo al quale è associata una reale immagine della persona offesa.

A tal proposito, gli Ermellini hanno ritenuto integrata la figura di reato in esame nella condotta del soggetto che realizzi e si avvalga di un determinato profilo su un social network che riproduca la foto della vittima (persona offesa) ascrivendo alla stessa una descrizione degradante e, attraverso tale identità, utilizzi il sito comunicando con gli altri iscritti e condividendone i contenuti (Cass. Pen. n. 25774/2014).

Giova osservare, da ultimo, che il legislatore, con d.l. n. 93/2014 (convertito dalla l. n. 119/2014) ha introdotto, per la prima volta, nel codice penale, il concetto di “identità digitale”.

Infatti, l’art. 9 del citato decreto, rubricato “Frode informatica commessa con sostituzione di identità digitale” ha modificato l’art. 640-ter c.p., con l’inserimento di un terzo comma, ove il legislatore ha previsto la pena della reclusione da due e sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; trattasi di un delitto per il quale è prevista la querela della persona offesa salvo che ricorra l’ipotesi di cui al 2° o 3° comma dell’art. 640-ter ovvero altra circostanza aggravante.