Analizzando il variegato universo dei reati contro il patrimonio digitale potremmo scoprire che le principali aggressioni ai sistemi hanno in realtà ben poco da condividere con i cosiddetti “reati informatici”, caratterizzandosi prevalentemente, invece, come reati comuni perpetrati mediante l’uso di un dispositivo informatico.
Ma andiamo per gradi.
Phishing e ransomware
Negli ultimi anni c’è stata una notevole crescita dei reati contro il patrimonio, soprattutto attraverso il fenomeno del phishing, una condotta consistente nell’uso di tecniche di ingegneria sociale per eludere le misure di sicurezza dei sistemi attaccati, grazie al coinvolgimento, spesso involontario, della vittima o dei suoi collaboratori
Altrettanto veloce è stata la crescita del fenomeno ransomware, l’estorsione perpetrata tramite un virus informatico che, una volta attivato su sistema bersaglio, ne copia i dati all’esterno e procede alla cifratura di tutte le memorie connesse alla rete, per costringere la vittima a pagare una somma, solitamente in BitCoin, per riottenere la disponibilità dei propri dati. Rispetto al ransomware, il phishing è solitamente un reato mezzo, che favorisce il perfezionamento del crimine principale.
Ma, come accennavamo, questi due reati non sono necessariamente da ascrivere nel novero dei reati informatici.
Recita, infatti, l’art. 640 cp: “Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.”
Diverso è invece il testo dell’art. 640 ter: “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.”
Il primo elemento che distingue le due ipotesi delittuose è il coinvolgimento dell’essere umano, che deve essere tratto in inganno, nel caso di frode semplice, mentre non è affatto contemplato nel testo relativo alla frode informatica.
Le situazioni ascritte erroneamente nel novero delle frodi informatiche
Passiamo quindi ad esaminare le singole situazioni in cui l’interprete può trovarsi a dover classificare, dal punto di vista giuridico, la condotta con la quale, materialmente, taluno procura a sé o ad altri un ingiusto profitto con altrui danno, elemento comune alle due fattispecie.
Trasferimento di denaro dietro falsa email
Una delle condotte che maggiormente spaventa le aziende è quella della falsa e-mail che provoca un pagamento non dovuto o induce un soggetto, munito del potere di disporre delle somme presenti su un conto corrente, ad effettuare bonifici verso un conto errato, dal quale, ovviamente, i fondi scompaiono poco dopo. L’induzione in errore, in questo caso, è abbastanza evidente, poiché il malcapitato (titolare del conto o suo collaboratore che materialmente esegue l’operazione) viene tratto in inganno dal testo del messaggio, che lo induce a ritenere corretta l’operazione di versamento.
A monte, il reato può essere organizzato attraverso la predisposizione di una falsa e-mail che, apparentemente, proviene da un superiore (che chiede l’esecuzione di un versamento) o da un fornitore (che chiede il pagamento su un determinato conto), oppure addirittura da una compromissione del sistema informatico del mittente, per cui, a parità di richiesta di esecuzione dell’operazione, anche un controllo approfondito di tipo tecnico non consente di scoprire la frode, perché la comunicazione proviene da un indirizzo regolare e non creato ad arte.
In assenza di ulteriori verifiche (ad esempio, telefonando ad un numero già noto e chiedendo conferma del codice Iban sui quale eseguire il pagamento) l’operazione sarà probabilmente eseguita e, mentre nel primo caso, chi ha eseguito il pagamento non sarà liberato dall’eventuale obbligazione, nel secondo, a causa della compromissione del sistema informatico del mittente, anche la transazione sarà regolare dal punto di vista del saldo del debito, con danno per il solo creditore.
Questioni civilistiche a parte, è comunque evidente che tale situazione sia del tutto estranea alla fattispecie della frode informatica, che richiede l’alterazione del funzionamento di un sistema informatico che, nel caso di specie, non è avvenuta, perché le transazioni sono state eseguite dai diretti interessati. Si tratta, invece, di un caso di frode tradizionale, poiché attraverso l’artifizio della e-mail finta o modificata, un soggetto è stato raggirato e tratto in inganno affinché procedesse al versamento del tutto spontaneamente. Il danno ed il profitto ingiusto sono conseguenti.
Sospette operazioni sul conto corrente
Analoga situazione si riscontra nelle situazioni in cui all’intestatario di un conto corrente perviene un messaggio (di solito SMS o Whatsapp) che lo invita a contattare un sedicente ufficio antifrode della propria banca perché ci sono operazioni sospette da verificare. Di solito questa tipologia di aggressione è preceduta dalla compromissione del conto corrente della vittima, al quale i criminali hanno avuto accesso senza poter compiere operazioni che richiedono codici dispositivi. L’inganno scatta con il messaggio, che induce l’utente meno esperto a chiamare il numero indicato e non quello al quale solitamente si rivolge per interloquire con la propria banca e la crescente spersonalizzazione dei servizi a vantaggio delle app per smartphone agevola tale induzione in errore.
Il sedicente impiegato del servizio antifrode segnalerà alla vittima la presenza di due o tre operazioni provenienti da paesi in black list, come le Isole Cayman o Panama, chiedendo una conferma dell’esecuzione delle stesse che, ovviamente, in titolare del conto escluderà radicalmente. Spostata l’attenzione sulla possibile perdita economica e gratificata la vittima con il sollievo derivante dal blocco delle prospettate operazioni, per il criminale sarà semplice farsi dare i codici OTP (one time password) inviati tramite SMS o app, per eseguire invece le reali operazioni di sottrazione dei fondi che, fino a quel momento, erano stati al sicuro.
Anche in questo caso, non c’è alterazione del sistema informatico, che ha funzionato correttamente, eseguendo le operazioni per le quali è stato progettato e programmato, e ci si trova in presenza di una frode comune, ex art. 640 cp. È infatti l’induzione in errore della vittima a consentire all’aggressore di eseguire tali trasferimento dei fondi, sfruttando le peculiarità del sistema a proprio vantaggio.
Frode tradizionale in concorso con quella informatica
Diversa è la situazione del trasferimento degli arrotondamenti di un conto corrente, non necessariamente bancario ma, sempre più spesso, relativo al settore del gioco on line, su un conto ulteriore al quale ha accesso solo il criminale, modificando le impostazioni del sistema di elaborazione delle transazioni. Ogni sistema di gestione delle operazioni di conto corrente ha un meccanismo automatico di arrotondamenti che dovrebbe far confluire le cifre rimaste ingestite su un conto di transito detto anche “di compensazione”. Analoga situazione avviene con le operazioni tra aziende che hanno rapporti di “conto corrente” derivanti da continue transazioni d’affari, nelle quali, anche per effetto dell’applicazione di imposte e dazi, gli arrotondamenti sono continui.
In più di un’occasione è stato riscontrato che un operatore di sistema operava con la c.d. salami tecnique, limitandosi a far confluire gli arrotondamenti o piccolissime percentuali di ogni singola transazione su un conto di transito che periodicamente veniva svuotato e cancellato, per aprirne subito dopo un altro, da destinare al medesimo utilizzo. L’ingente quantità di transazioni quotidiane, tipica di un sistema di interscambio come quello bancario, quello dei concessionari del gioco on line o quello delle aziende di un gruppo internazionale, consente di accumulare i residui di migliaia di operazioni, generando consistenti profitti illeciti.
In questo caso è evidente l’alterazione del funzionamento del sistema informatico rispetto alle impostazioni che avrebbe dovuto avere e la mancanza di induzione in errore della vittima o di un qualunque essere umano coinvolto, anche se, in passato, la Corte di Cassazione ha ritenuto di potersi comunque riconoscere la frode tradizionale, in concorso con quella informatica, per l’induzione in errore dei funzionari tenuti al controllo delle operazioni, ma la tesi appare poco convincente anche in ragione del rapporto di specialità tra le due norme.
Frode informatica: la prenotazione on-line con richiesta dei dati della carta di credito
Un’altra situazione in cui si riscontra palesemente il meccanismo della frode informatica è quella di alcuni sistemi di prenotazione on-line che sono stati oggetto di attacco informatico nel mese di febbraio 2023, a seguito del il sistema è stato alterato in modo che ad ogni prenotazione venisse inviata al cliente una e-mail con richiesta di fornire i dati della carta di credito per garantire l’operazione, circostanza abbastanza inconsueta ma non tale da insospettire gli utenti meno smaliziati. Acquisiti i dati della carta di credito, il sistema eseguiva il prelievo accreditando i fondi direttamente su conto di transito dei criminali, dal quale, ovviamente, venivano spostati verso altre destinazioni non soggette a giurisdizioni idonee ad ottenere lo storno delle transazioni.
Mentre per i clienti il disagio è consistito nel dover contestare l’operazione al fine di ottenere il rimborso, per la società di prenotazioni on-line il danno è stato rilevante, poiché la richiesta era effettivamente pervenuta dai loro sistemi e si presume, pertanto, che abbiano dovuto rimborsare alle varie banche interessate gli importi delle transazioni effettuate.
Un settore nel quale la frode informatica è spesso in agguato è quello del gioco, nel quale operatori poco corretti possono alterare il funzionamento degli apparecchi da gioco (slot machine, videolottery, ecc.) per modificare il meccanismo di pay-out che è invece garantito in percentuale dalla legge. Mentre negli anni della scarsa regolamentazione, tale meccanismo veniva alterato per consentire vincite maggiori di quelle consentite, al fine di attirare un maggior numero di giocatori, concretizzando una ipotesi di frode atipica, che determinava un vantaggio per alcuni utenti (sebbene ciò avvenisse in danno degli altri che non vincevano, affinché il bilancio dell’apparecchio rimanesse comunque positivo per il proprietario), successivamente, i meccanismi di alterazione degli apparecchi e delle procedure di gioco si sono spostati verso la riduzione dei pagamenti o verso l’aumento dei cicli di gioco negativi, che determinano comunque un danno ingiusto per gli interessati, perché gli apparecchi non conteggiano nel volume complessivo migliaia di sessioni di gioco non vincenti, operando casualmente e determinando una riduzione del volume complessivo delle vincite rispetto a quanto la norma prevede, con doppio danno, per l’utente ed anche per l’erario, che vede ridotto il proprio gettito (basato sui volumi di gioco).
Conclusioni
Nell’individuazione delle condotte, occorre quindi sempre tener presenti gli elementi dell’induzione in errore dell’essere umano (frode semplice) e dell’alterazione del sistema informatico (frode informatica) mentre permangono le caratteristiche dell’ingiusto profitto con altrui danno che sono comuni ad entrambe le fattispecie.