In data 14 febbraio 2007 è pervenuta richiesta di rinvio a giudizio nei confronti di XXX in ordine all'imputazione sopra enunciata.
All'udienza del 17 maggio 2007, dichiarata, la contumacia dell'imputato, è stato disposto rinvio su richiesta della difesa dell'imputato al fine di valutare l'ipotesi di definizione del procedimento con applicazione della pena.
All'udienza del 9 luglio 2007 producendo procura speciale il difensore di XXX , in assenza di un accordo con il pubblico ministero per il patteggiamento, ha chiesto la definizione del procedimento con rito abbreviato.
Il processo è stato rinviato per la discussione al 15 ottobre quando, comparso l'imputato e revocata la dichiarazione di contumacia, CartaSi s.p.a. si è costituita parte civile.
Il pubblico ministero ha concluso chiedendo la condanna dell'imputato per i reati a lui ascritti, unificati i fatti nel vincolo della continuazione, alla pena di tre anni e due mesi di reclusione e 700 euro di multa.
L'imputato ha poi reso dichiarazioni spontanee, dichiarandosi dispiaciuto e sostanzialmente ammettendo i fatti, affermando di avere trovato su Internet, su un blog che non ha peraltro indicato, le informazioni per realizzare quanto contestategli, da lui realizzato senza aiuto di terzi, che gli ha consentito di lucrare complessivamente, considerato quanto contestatogli anche in altro procedimento, circa 20.000 euro.
Sul sito della ZZZ s.r.l, acquistando un pacchetto di messaggi da inviare a terzi, aveva avuto modo dì accedere ad un programma che consente di estrapolare numeri telefonici da siti Internet che raccolgono annunci privati di compravendita di beni (autoveicoli ed immobili), indicati dagli stessi privati che avevano inserito l'annuncio.
Inviato un Sms dal testo indicato nel capo d'imputazione sub A) ai telefoni cellulari così acquisiti, alla chiamata dei titolari di carte di credito allarmati dall'Sms ricevuto rispondeva non XXX personalmente, ma, sotto le apparenze di un numero telefonico al quale corrispondeva in realtà l'indirizzo elettronico del suo personal computer, una voce sintetica che forniva una risposta automatica e richiedeva i dati della carta di credito a colui che stava chiamando.
Proseguendo nelle conclusioni la parte civile associandosi alle richieste del pubblico ministero ha chiesto la condanna dell'imputato al risarcimento del danno morale nella misura di 10.000 euro, ed ha depositato conclusioni scritte e nota spese.
Il difensore dell'imputato ha depositato sentenza pronunciata dal g.i.p. presso il Tribunale di Varese il 29 marzo 2007 nei confronti dello stesso XXX ed ha chiesto l'assoluzione dell'imputato dai reati a lui ascritti ai sensi del 2° comma dell'alt. 530 e.p.p., ed in subordine condanna a pena minima, con circostanze attenuanti generiche, per il solo reato contestato sub E), ritenendo i fatti di cui al capo A) in esso assorbiti; in ulteriore subordine ha chiesto la condanna dell'imputato, con circostanze attenuanti generiche ed unificati i fatti nel vincolo della continuazione, a pena contenuta nel minimo.
Dopo le repliche del pubblico ministero e del difensore è stato pronunciato il dispositivo della presente sentenza.
I fatti, sostanzialmente ammessi dall'imputato al processo, sono stati ricostruiti grazie all'attività d'indagine del compartimento della polizia postale e delle comunicazioni di Milano e della polizia tributaria di Catania.
La tecnica utilizzata dall'imputato è quella del phishing (che suona come fishing, dall'inglese pescare), cioè dell'acquisizione dei dati di utenti di un servizio di carta di credito, i quali volontariamente rispondono ad una richiesta di dati, inviata a un grande numero di persone, contattate grazie all'acquisizione dei loro recapiti, nel caso di specie per mezzo di programmi informatici che estrapolano i numeri dei telefoni cellulari da siti che raccolgono inserzioni private.
Il meccanismo comporta l'utilizzo di plurimi mezzi fraudolenti: in primo luogo l'alterazione dell'identità di chi chiede di essere chiamato (fatto che costituisce un autonomo reato) fingendo di essere emissario di una società emittente carte di credito — nel caso di specie CartaSi, BNL, Consum Credito, Visa —, la falsa segnalazione di un allarme-esca che induca l'utente a rispondere al messaggio, e la predisposizione di un servizio automatico di risposta che sia simile a quello effettivamente corrispondente alla società di gestione delle carte di credito, ed induca l'interlocutore ad indicare i dati relativi alla propria carta di credito e al codice segreto, che verranno quindi utilizzati da chi ha predisposto la truffa.
Dall'annotazione riassuntiva della polizia tributaria servizi di polizia giudiziaria aliquota web della guardia di finanza di Catania del 22 giugno 2006, dalla comunicazione di notizia di reato del 31 agosto 2006 e dall'allegata annotazione del 29 agosto, si evince che erano state iniziate indagini a seguito della denuncia sporta da Tizio il 6 febbraio 2006: questi aveva riferito di avere ricevuto un Sms, apparentemente proveniente da CartaSi, che lo invitava a chiamare un numero per verificare una transazione con la sua carta di credito. Alla telefonata di Tizio aveva risposto una voce automatica che gli aveva richiesto i dati relativi alla carta di credito, che Tizio non aveva fornito. Informatosi presso i servizi interbancari CartaSi, aveva poi appreso che il numero indicato sulI'Sms non corrispondeva ai servizi interbancari, e che là società di gestione delle carte di credito aveva ricevuto analoghe segnalazioni da altri clienti.
La conseguente analisi da parte della guardia di finanza di Catania dei dati relativi al traffico telefonico del denunciante e quindi del numero da cui era partito il messaggio a lui diretto aveva consentito di verificare che il messaggio, identico, era stato spedito a ventuno diversi numeri, grazie ad un pacchetto di Sms acquistati dalla ZZZ s.r.l.
Il messaggio appariva come spedito dal mittente CartaSi con il testo: «Attenzione: chiami il numero 02 ............. di servizi interbancari per verificare la transazione con la sua carta di credito, al fine di evitarne usi fraudolenti».
In realtà il numero indicato nel corpo del messaggio, che l'interlocutore era invitato a chiamare, non corrisponde ai servizi interbancari ma costituisce una numerazione VOIP intestato a «e. l.», cui corrisponde l'indicato indirizzo e-mail
xxx@yyy.com, e l'indicazione dell'utenza fissa. 02 ............ intestata a YYY, di cui è legale rappresentante Caio.
L'utente che aveva il messaggio, presso la ZZZ s.r.l. ove era stato acquistato il pacchetto, risultava però avere un nominativo diverso, Sempronia, risultato inesistente così come il codice fiscale indicato. Anche alla ZZZ s.r.l. l'indirizzo di posta elettronica indicato era <
xxx@xxx.yyy.com>; tuttavia questo indirizzo e-mail era stato creato negli Stati uniti e non costituiva un utile filone di indagine.
Caio sentito a sommarie informazioni il 18 dicembre 2006 ha dichiarato di non conoscere XXX, ne sono emersi ulteriori elementi nella presente indagine che lo coinvolgano.
Appare quindi evidente che chi spediva gli Sms si nascondeva dietro identità altrui o fittizie.
Contemporaneamente alle indagini svolte dall'autorità giudiziaria di Catania, altre indagini venivano svolte dall'autorità giudiziaria di Milano (cfr. comunicazione di notizia di reato della polizia postale e delle comunicazioni per la Lombardia del 14 aprile 2006), su denuncia sporta da CartaSi in persona del responsabile dell'ufficio investigazioni e sicurezza Mevio il 1° febbraio 2006, a seguito di segnalazioni da parte di utenti del servizio CartaSi del gennaio 2006.
Anche in questi casi il numero che i destinatari degli Sms erano invitati a contattare era lo 02 ..........., al quale rispondeva una voce automatica che chiedeva al titolare della carta di credito di digitare il numero, la data di scadenza e il codice segreto, comunicando poi che gli operatori del servizio interbancario erano occupati e avrebbero richiamato; cosa che naturalmente non accadeva. Ne il numero corrispondeva a CartaSi, e nemmeno risultava registrato negli elenchi telefonici pubblici.
Dalla denuncia emerge anche che Cartasì fornisce un servizio denominato.:«Sms alert». che consenta al cliente il' quale fornisce il proprio numero di telefonò cellulare di ricevere un messaggio per ogni spesa effettuata con la carta di ereditò; tuttavia non tutti i clienti contattati dagli Sms fraudolenti avevano aderito al .servizio Sms alert, ed anzi alcuni non erano titolari di CartaSi ed alcuni non erano titolari di alcuna carta di credito. ,
L'8 e il 23 .marzo 2006 CartaSi integrava la denuncia a seguito di ulteriori segnalazioni da parte di clienti di Sms che invitavano a chiamare i diversi numeri 02 ........., 02 ............., 02 ..............
Nella denuncia dell'8 marzo 2006 si specifica che CartaSi a.veva verificato che in alcuni casi i dati delle carte di credito comunicati nelle telefonate effettuate a seguito della ricezione dell'Sms fraudolento erano stati utilizzati per acquisti.
Le indagini hanno consentito di accertare che anche gli ultimi tré numeri corrispondono ad un servizio VOIP, e sono state registrate a nome di M. S., L. A., R. R., con i rispettivi indirizzi e-mail e, in un caso, di nuovo al nome , di dominio straniero.
Ulteriore integrazione di denuncia è stata presentata da CartaSi il 16 maggio 2006; in questo caso il numero indicato da contattare era lo 02 ........, anche questo VOIP, registrato al nome già emerso di L. A.
Il 23 febbraio 2006 anche B. J., amministratore unico di ZZZ s.r.L, società che offre servizi per l'invio di Sms presso cui era stato acquistato il pacchetto di Sms emerso nel Corso delle indagini di Catania, ha a sua volta sporto denuncia a seguito del disconoscimento da parte di un cliente di un acquisto di un altro pacchetto dì Sms risultante a suo notte e addebitatogli. Anche in questo caso l'account di registrazione presso il venditore ZZZ corrispondeva non al nome del cliente della società ma al nome di M. V.
B. J. si era insospettito anche perché alcuni degli Sms del pacchetto erano stati inviati a nome CartaSi (e non CartaSi come nel logo della società).
Dall'annotazione del 23 giugno 2006 della polizia postale emerge che l'acquisizione dei files dì log comprensivi dei caller ID dei messaggi del pacchetto oggetto della denuncia di B. J. ha consentito di accertare che le connessioni per la spedizione dei messaggi avvenivano attraverso l'utenza fissa intestata alla madre dell'attuale imputato 0332 ..........., presso l'abitazione di XXX, fornendo però I.P vari e falsi. Lo stesso nominativo, di XXX, corrisponde altresì al titolare dell'utenza cellulare 338 1639XXX alla quale era stato inviato uno degli Sms del medesimo pacchetto.
Nel frattempo l'acquisizione da parte dell'autorità giudiziaria di Catania dei dati relativi al traffico (della numerazione VOIP e di tutti gli Sms del pacchetto acquistato presso la Linkas comprensivo dei Sms inviati a C.), nonché degli IP di registrazione per l'utenza 02 .........., dei mittenti degli Sms presso la ZZZ nonché di M. V. che aveva tra l'altro inviato Sms con IP simili tra loro, hanno consentito di accertare che i primi messaggi del pacchetto, di prova del sistema di adescamento delle vittime, erano stati trasmessi tra l'altro ad una utenza cellulare (338 ............) intestata a XXX , il quale era anche stato il primo a chiamare il numero VOIP 02 ...............
Sempre a XXX , e precisamente alla linea Adsl intestata a XXX, sono risultati riconducibili gli. indirizzi IP utilizzati. per la registrazione al servizio Sms della ZZZ S.r.l., per la trasmissione del' messaggio oggetto della denuncia sporta da C. e per la registrazione del numero VOIP.
Le indagini svolte a Catania erano cioè giunte ai medesimi risultati delle indagini svolte a Milano, dove gli atti sono stati trasmessi.
È anche stato accertato che l'invio degli Sms non tramite cellulare ma tramite web era funzionale a consentire l'apparizione sullo schermo dei cellulari che ricevevano gli Sms, come mittente dei messaggi, non un numero telefonico ma una stringa di testo, appunto CartaSi, che ha indotto i destinatari a credere di ricevere il messaggio da parte della società di gestione delle carte di credito.
Risultando XXX già indagato per lo stesso tipo di reato dall'autorità giudiziaria di Varese, è stata disposta perquisizione domiciliare.
Al momento della perquisizione effettuata il 30 giugno 2006 l'indagato insieme a alla madre, ha atteso circa quindici minuti prima di aprire la porta dell'abitazione, affermando di non avere sentito il campanello benché un cane continuasse ad abbaiare, e la madre ha cercato di apprendere e gettare via i fogli sui quali erano stati annotati circa quindici numeri di carte di credito, rinvenuti nella tasca di un giubbotto nella stanza da letto dell'attuale imputato, dagli operanti posti in salotto e poi rinvenuti tra altra spazzatura sul balcone.
Nel corso della perquisizione è stato tra l'altro rinvenuto un telefono cellulare sul quale erano memorizzati anche numeri di telefono emersi nel corso della pregressa analisi del traffico telefonico che ha condotto a XXX; sono state inoltre sequestrate numerose fotocopie di assegni esteri.
L'analisi della documentazione sequestrata presso l'abitazione di XXX ha fatto emergere che diverse carte di credito erano state bloccate dai rispettivi titolari ma senza segnalare quanto qui accertato al servizio antifrode della società di gestione; altre erano invece state denunciate in questo contesto e sono emersi tentativi di utilizzazione successivi al blocco, e ciò dimostra dello scopo dell'attività criminosa; talvolta anche quando gli utenti non avevano comunicato di avere ricevuto Sms truffaldini la circostanza è emersa dalle successive indagini interne di CartaSi.
Anche l'analisi della memoria del personal computer di XXX ha confermato la fondatezza dell'ipotesi accusatoria: è stato rinvenuto il software che consente di effettuare telefonate Voice over IP, la registrazione di tali telefonate e il collegamento ad un risponditore automatico che attraverso passaggi successivi presenta il servizio a nome della centrale di allarme dei servizi interbancari ed invita l'ascoltatore a tenere presso dì sé là carta, di credito, attribuendo un codice di chiamata, invitando poi a digitare il numero della carta di crédito, la sua scadenza e il cvv, rimandando alle fasi precedenti o interrompendo la chiamata se non vengono comunicati i dati via via richiesti, ed infine invitando l'ascoltatore a rimanere in linea per essere collegato con un operatore che peraltro non viene contattato, in quanto il risponditore comunica che gli operatori non sono disponibili, suggerendo dì chiamare di nuovo.
Nel personal computer era installato anche un programma per la verifica delle numerazioni delle carte di credito.
Decine sono i numeri di carte di credito rinvenuti nella memoria del personal computer di XXX e ivi inseriti a partire dal 30 gennaio 2006.
Parecchi di questi sono stati oggetto di denuncia da parte di CartaSi, e quattro sono stati rinvenuti anche annotati su foglietti scritti a mano sequestrati in occasione della perquisizione.
In occasione della perquisizione sono peraltro stati rinvenuti segnati su foglietti anche numerosi numeri memorizzati nel computer ma non denunciati da CartaSi. .
È stato accertato, prendendo in considerazione solo cinque dei numeri che i destinatari degli Sms erano invitati a chiamare, che XXX ha inviato oltre 870 Sms, sotto il falso nome CartaSi e anche a nome Visa.
L'analisi dei dati relativi alle carte di credito i cui numeri sono stati rinvenuti nella memoria del computer dell'imputato ha confermato che gli stessi sono stati utilizzati per acquisti (per circa 800 euro complessivamente) e tentativi dì acquisti.
L. M. e G. S., i cui aumeri dì telefono sono stati memorizzati nel personal computer di XXX hanno confermato di essere stati destinatari di un Sms apparentemente proveniente da CartaSi; L., che aveva fornito i dati richiesti a differenza di G. si è visto poi addebitare spese su siti Internet, da lui non effettuate, per 600 euro circa, che aveva denunciato l'8 marzo 2006 alla questura di Milano.
Anche D. C, ha confermato di. avere telefonato al numero indicato su un Sms ricevuto, e che in seguito le erano state addebitate spese per pochi euro mensili.
F. A. ha confermato di avere subito il medesimo meccanismo truffaldino, e che il suo conto, in precedenza attivo per 116 euro, era poi risultato in rosso, per 92 euro.
Yahoo ha confermato che tramite l'indirizzo e che era emerso nel corso dell'analisi del traffico telefonico che ha portato all'identificazione di XXX, sono stati effettuati numerosi acquisti presso siti italiani ed esteri, però' non quantificati ne specificamente indicati.
Anche gli accertamenti effettuati sui dati emersi dall'analisi della memoria del personal computer sequestrato hanno confermato che non tutti coloro che. avevano bloccato le proprie carte di credito, a seguito del meccanismo qui evidenziato, avevano denunciato il meccanismo truffaldino di cui erano state vittime.
L'imputato non ha reso nel corso delle indagini preliminari dichiarazioni sui fatti contestatigli. Solo all'udienza di discussione del processo con rito abbreviato dopo le conclusioni del pubblico ministero, XXX ha infatti ammesso, attraverso dichiarazioni spontanee, sia di avere ottenuto i numeri di telefono cellulare di un ampio numero di persone estrapolandoli da siti che raccolgono annunci privati di compravendita, sia di avere inviato gli Srns a tali utenti, sia di avere predisposto un sistema automatico di risposta che si attivava alla chiamata di un numero telefonico fittizio, corrispondente al suo indirizzo informatico su personal computer, ed apparentemente riconducibile a CartaSì.
Sono quindi provati tanto il reato di cui all'art: 494 c.p., avendo XXX con gli Sms, allo scopo di procurarsi un vantaggio economico, indotto in errore i destinatari degli Sms sostituendo illegittimamente il nome di CartaSi (e Visa) al proprio, quanto la truffa perpetrata attraverso tale meccanismo unitamente al servizio telefonico apparentemente riconducibile a Servizi interbancari con il quale induceva gli ascoltatori del messaggio vocale a fornire i dati delle carte di credilo, che venivano poi utilizzati da XXX per effettuare e tentare di effettuare acquisti via Internet. Anche tale artificio è, come la sostituzione di persona, connessa teleologicamente all'utilizzo indebito delle carte di credito con relativo profitto ingiusto per XXX.
Il dannò per i destinatari degli Sms corrisponde talora ai prelievi effettuati sui rispettivi conti correnti, talora alle spese, per quanto modeste, comunque sostenute per bloccare le carte di credito, per ottenere il rimborso dei prelievi illegittimi, e comunque gli accertamenti relativi e il rilascio di nuove carte di credito.
Analogamente è provato il reato di cui al capo b) è stato provato che in alcuni casi XXX ha utilizzato indebitamente le carte di credito dì cui non era titolare, talora riuscendovi; ma per la prova del reato è sufficiente l'utilizzo indebito anche quando non pervenga al perfezionamento dell'acquisto e dell'impossessamento della merce o al godimento del servizio, ai sensi dell'art, 12 d.l. 143/91, e persino il solo possesso o l'acquisizione di carte di credito di provenienza illecita al fine di trarne profitto. Certamente l'acquisizione dei numeri dell e carte di credito con i codici segreti (dati la cui apprensione integra il reato a prescindere dal possesso del supporto magnetico relativo, consentendo l'utilizzo della carta come mezzo di pagamento) è avvenuta mediante la pregressa sostituzione di persona sopra descritta, che integra l'illecita provenienza della carta, ben nota a XXX che ne è l'autore.
Lungi dall'essere assorbiti in quelli contestati al capo B), che non richiedono alcun artificio, i fatti-reato di cui al capo A) nella concreta attuazione del piano criminoso qui valutato concorrono con il reato di cui al capo B) integrando i rispettivi elementi costitutivi, posti in essere contestualmente nell'unica azione criminosa, da intendere come condotta finalizzata al perseguimento dello scopo illecito anche se costituita di una serie di azioni materiali succedentisi in un tempo ravvicinato e collegate funzionalmente.
XXX deve quindi essere dichiarato penalmente responsabile di tutti i reati contestatigli.
Il danno economico arrecato nel caso di specie ai titolari delle carte di crédito, ed alle società di gestione è modesto (complessivamente menò di 900 euro come si evince dall'annotazione della polizia postale del 14 marzo 2007 e dagli elementi sopra esposti).
Assai grave è invece il danno arrecato al bene protetto dalla norma incriminatrice della sicurezza nelle transazioni economiche, come elevata è la capacità a delinquere dimostrata dall'imputato, il quale ha sfruttato il servizio Sms alert fornito da CartaSi per carpire fraudolentemente dati relativi a carte di credito che poi ha in numerosi casi cercato di utilizzare, come risulta dall'incrocio dei dati memorizzati sul personal computer di XXX con i dati relativi alle carte di credito oggetto della denuncia sporta da CartaSi.
Ulteriore elemento d'inganno, strettamente collegato alla fiducia riposta dal titolare della carta di credito nella società di gestione, è stata la disponibilità da parte di XXX dei numeri di cellulare dei titolari della carte di credito, in quanto i numeri di telefono cellulari allo stato non sono pubblici per cui, salvo estrapolazioni abusive come nel caso di specie, i numeri sono noti solo a coloro ai quali vengano forniti direttamente dall'intestatario o su suo incarico.
Quanto al trattamento sanzionatorio si osserva inoltre quanto segue.
II comportamento tenuto dall'imputato al momento della perquisizione è indicativo del tentativo di occultare le prove della attività illecita.
Le dichiarazioni ammissive rese dall'imputato sono inoltre tardive, e non hanno in alcun modo contribuito a ricostruire i fatti commessi.
Né l'imputato ha risarcito il danno.
Nessun elemento consente quindi di considerare in suo favore circostanze attenuanti generiche.
Infine XXX è già stato giudicato dal Tribunale di Varese per un fatto analogo commesso tra il febbraio 2004 e l'ottobre 2005, per avere abusivamente utilizzato numerose carte di ereditò di cui si era procurato i codici segreti assumendo false generalità inducendo in errore altro soggetto presso il quale aveva effettuato acquisti pagando con le carte di credito di cui non era titolare.
La pena non può peraltro essere calcolata in continuazione, sulla pena inflitta dal Tribunale di Varése in quanto quella sentenza non risulta irrevocabile.
Del resto i fatti là contestati riguardano una diversa tecnica di acquisizione dei dati relativi alle carte di eredito, allora tratti dai dati relativi ai clienti della società Alfa di Milano presso cui XXX aveva lavorato.
Infatti dal verbale di sommarie informazioni rese da C. P., amministratore delegato Alfa s.p.a., del 22 settembre 2006, si evince che i numeri di telefono oggetto della presente indagine non sono ricompresi tra i numeri presenti nell'archivio clienti di quella società.
Inoltre quei fatti sono cessati prima dell'inizio della condotta oggetto del presente procedimento, che e proseguita certamente fino a fine giugno 2006, quando è stata effettuata la perquisizione nell'abitazione dell'imputato, dove sono stati rinvenuti i codici di diverse carte di credito :annotati su fogli.
La pena viene calcolata come segue: partendo dalla pena base di tre anni di reclusione e 700 euro di multa per il più grave reato di cui al capo B), per le considerazioni di cui sopra, si aumenta la pena, per il concorso è la contestuale continuazione nel medesimo disegno criminoso prolungato per diversi mesi, con riferimento al reato di cui all'art. 494 c.p., di un mese di reclusione è di 100 euro di multa, e quindi per il reato di cui all'art. 640 c.p. di undici mesi di reclusione e 700 euro, fino a quattro anni di reclusione e: 1.500 euro di multa.
La pena viene quindi ridotta per la scelta del rito abbreviato a due anni e otto mesi di reclusione e 1.000 euro di multa.
La condanna dell'imputato per i reati ascrittigli comporta la sua condanna al pagamento delle spese processuali.
L'imputato deve inoltre essere condannato al risarcimento in favore di CartaSi, costituitasi parte civile, del danno morale che si liquida in 10.000 euro come richiesto.
Quanto in sequestro, corpo del reato, può essere distrutto.
L'imputato viene infine condannato alla rifusione in favore della parte civile delle spese di costituzione e rappresentanza nel presente procedimento, che si liquidano come da dispositivo.
