Come noto, la velocità con cui le modalità di pagamento si sono evolute nel corso degli ultimi decenni ha assunto una parabola quasi esponenziale, grazie soprattutto ai notevoli avanzamenti tecnologici e sociali a essa connessi. Pensando al panorama europeo, per esempio, gli obblighi di trasparenza e antiriciclaggio, che hanno fortemente diminuito la circolazione di denaro contante, hanno influenzato in maniera notevole la necessità per gli istituti bancari di mettere a disposizione procedure sempre più veloci e “smart” per i pagamenti, sia fisici che a distanza.
La normativa europea PSD e PSD2: obiettivi e impatti
Anche il legislatore si è mosso, più o meno di pari passo con le nuove tecnologie, per quanto concerne la regolamentazione dei servizi di pagamento grazie alla direttiva 2007/64/CE (la PSD Payment Service Directive), che ha consentito alle istituzioni europee di fondare un mercato unico europeo dei pagamenti al dettaglio (SEPA), e con la più recente direttiva 2015/2366/UE8 (la PSD2).
In particolare, la PSD2 è la diretta discendente della PSD, una direttiva pensata dall’Unione Europea per uniformare il mercato dei pagamenti bancari digitali, con la prospettiva di tutelare il consumatore e rendere le transazioni sicure. La norma, però, si è rivelata obsoleta quasi subito, per colpa della proliferazione del fenomeno dell’open banking e di sistemi di scambio di valuta non per forza collegati al circuito bancario tradizionale.
La PSD2, tra le altre indicazioni, fornisce anche un generale obbligo di autenticazione forte, basata, ai sensi dell’art. 4 n. 30, “sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Gli attacchi informatici ai sistemi di pagamento: phishing, malware e non solo
Allo stesso modo con cui si evolvono i sistemi di transazione, si evolvono anche i sistemi per aggirarli, sovente in maniera ancora più veloce ed aggressiva di quanto possa fare il legislatore. La forma più comune di attacco informatico, per quanto riguarda i sistemi bancari, è il deceptive phishing, ossia il “phishing ingannevole”, in cui il truffatore si appropria di tutti i codici bancari dell’utente, portandolo a cliccare, attraverso l’invio di una email piuttosto similare a quella dell’istituto bancario, su un link, oggetto del messaggio, che lo indirizzerà ad una pagina web, pressoché identica a quella del sito ufficiale, dove dovrà inserire tutte le informazioni necessarie per accedere all’internet banking.
Sempre tramite phishing, quindi attraverso comunicazioni che possano trarre in inganno il soggetto leso, si può ricevere un vero e proprio malware (sempre attraverso il click del link inoltrato attraverso la e-mail incriminata), che potrebbe portare alla compromissione dei propri dati e del proprio dispositivo.
Il phishing si può tradurre anche in attività di “vishing”, ossia attraverso chiamate con le quali il phisher, spacciandosi per un operatore dell’istituto bancario e comunicando informazioni “allarmanti”, induce la vittima a divulgare informazioni sensibili. Stesso meccanismo anche per il “smishing”, che si differenzia per l’utilizzo degli SMS.
Sebbene si tratti di approcci truffaldini e piuttosto scontati nella loro semplicità di concezione, gli episodi sopra riportati possono nascondere una struttura molto più complessa e di difficile riconoscimento. Attraverso la cosiddetta ingegneria sociale il phisher può agire attraverso attacchi plausibili e fondati sul precedente recepimento di informazioni sul bersaglio. In tal senso, la compromissione dei propri sistemi informatici e digitali (pensiamo ai malware che colpiscono gli smartphone, ai file indesiderati sul proprio PC, all’utilizzo di password poco efficaci, ecc.) pur non comportando un accesso diretto ai sistemi bancari di un individuo, possono fornire informazioni fondamentali al phisher per poter attaccare con efficacia il malcapitato.
Il ruolo della frode informatica nel panorama penale italiano
La risposta di legislatore e giurisprudenza a queste fattispecie criminali “nuove” è un tema piuttosto dibattuto, dovendosi da un lato tutelare i soggetti vittima di questi attacchi, dall’altro pensare a integrare il panorama penale senza andare ad applicare novelle che siano in contrasto con i principi di tassatività propri dei reati. Tendenzialmente il grosso dubbio degli operatori giuridici era quello di capire se intervenire con reati nuovi o se, semplicemente, optare per un adattamento delle fattispecie già presenti, almeno per quanto concerne il codice penale italiano.
Il legislatore italiano, già nel 1993, decise di optare per una integrazione ex novo del reato di frode informatica all’art. 640 ter c.p.: “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno […]”. Viene anche prevista una aggravante speciale, nel caso di trasferimento illecito di denaro o valuta virtuale.
La risposta della giurisprudenza italiana alle nuove forme di frode informatica
Si evince quindi la volontà di perimetrare meglio quelle attività caratteristiche degli attacchi sopra riportati, senza snaturare la struttura codicistica tradizionale. In tal senso non si può negare la necessità (e lo sforzo) dei giudici di Cassazione, i quali hanno più volte integrato e aiutato nella corretta interpretazione della disposizione. Tra i vari interventi giova ricordare:
- Sulla differenza tra la truffa e la frode informatica: “Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema”.
- Sulla natura di identità digitale: “in tema di frode informatica, la nozione di “identità digitale”, che integra l’aggravante di cui all’art. 640-ter, comma terzo, c.p., non presuppone una procedura di validazione adottata dalla Pubblica amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati”. Intervento fondamentale per poter allargare il novero dei casi di aggravante ogniqualvolta ci si imbatte in sottrazioni di credenziali di accesso non necessariamente collegate a SPID e similari.
- Sulla differenza tra utilizzo indebito di carte di pagamento e frode informatica: “«integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di pagamento di cui all’art. 55, comma 9, d.lgs. 21 novembre 2001, n. 231, la condotta di chi, servendosi di carte per l’erogazione di carburante in precedenza clonate, acceda ai sistemi informatici predisposti presso i relativi impianti, con successivo prelievo abusivo di carburante”.
Come si può notare il panorama giurisprudenziale è in continuo movimento, anche a causa di una certa mancanza di velocità da parte del legislatore, che si trova in evidente difficoltà rispetto al ritmo forsennato che contraddistingue la proliferazione di attività illecite collegate alle transazioni bancarie. E se i sistemi di sicurezza possono arginare il fenomeno, rimane comunque attualissimo il tema della normazione delle fattispecie criminali connesse ai reati informatici, nonché delle eventuali responsabilità connesse agli stessi.
Responsabilità degli utenti e degli istituti bancari nei casi di frode informatica
Per esempio, una recente sentenza della Cassazione Civile n. 7214 del 13 marzo 2023, ha escluso il risarcimento del danno degli utenti truffati verso gli istituti bancari, se questi fanno un uso imprudente e negligente dei codici personali di accesso, non seguendo le indicazioni pubblicitarie antifrode delle banche.
Pur nella sua plausibilità, si tratta di un’affermazione che stona con la realtà dei fatti, nei quali una brochure è inadatta a poter educare le migliaia di utenti non avvezzi all’uso dei sistemi di transazione digitale e per i quali è evidente che l’ordinaria diligenza non ricopra anche la consapevolezza di utilizzo dei sistemi informatici.
Conclusioni
L’auspicio quindi è che si possa arrivare da un lato a una maggiore promozione della sicurezza dei propri sistemi digitali e dall’altra che la normazione riesca a prendere un passo più in linea con la velocità di evoluzione delle minacce cibernetiche.