Versione per la stampa
La sentenza in esame affronta un caso di utilizzo indebito di carte di credito, sostituzione di persona e truffa, a seguito dell’acquisto di un pacchetto di messaggi e dell’estrapolazione dei relativi numeri telefonici da siti Internet che raccolgono annunci privati di compravendita di beni.
La tecnica utilizzata dal soggetto responsabile è dunque quella dello “ SMishing”, quale variante particolare del “ Phishing” [1]: attività che consiste nell’invio massiccio di messaggi di posta elettronica, o comunque telematici, falsi e ingannevoli, apparentemente provenienti da società affidabili, come banche o imprese che comunque si muovono nell’ambito creditizio, e con i quali si rappresentano esigenze di sicurezza o inviti perentori a recarsi presso alcuni siti indicati in appositi link, al fine di inserire o modificare i codici d’accesso personali relativi ai propri conti on line. Non appena viene visualizzato il sito relativo al link inserito nel messaggio, nel computer dell’utente appare una pagina web in tutto e per tutto identica [2] a quella del proprio istituto di credito. Mentre il Phishing viaggia nel web (tramite la e-mail truffa), lo SMishing è un meccanismo che si concreta in un raggiro telefonico per il quale, dunque, non sussiste la necessità di utilizzare un computer o connessioni ad internet: è sufficiente un programma di invio SMS, che permetta di settare a proprio piacimento il nome del mittente ed una linea telefonica.
Il Phishing è dunque consustanziato al reato di truffa di cui all’art. 640 c.p., ma può altresì integrare gli estremi della frode informatica, di cui all’art. 640 ter c.p. [3]. La complessità della condotta dell’attività del Phishing, può tuttavia prevedere, come nel caso di specie, anche il perfezionamento di diverse fattispecie di reato teleologicamente connesse tra di loro e dunque, come stabilito nella sentenza in esame, concorrenti in senso materiale. Non troverebbe applicazione, quindi, il principio della consunzione, che parte della dottrina adotta per risolvere nel senso dell’apparenza il concorso di norme qualora la disposizione che preveda la pena più grave esaurisca l’intero disvalore del fatto [4].
Tali profili della pronuncia, tuttavia, meritano di essere approfonditi con particolare riguardo:
a) alla circostanza che il soggetto abbia utilizzato indebitamente le carte di credito di cui non sia titolare e al fatto che detto utilizzo indebito sia di per sé sufficiente per il perfezionamento del reato anche quando il soggetto non pervenga all’acquisto o all’impossessamento della merce o al godimento del servizio.
b) al fatto che la concreta attuazione del piano criminoso, all’attenzione della pronuncia in esame, determini il concorso tra il reato di cui all’art. 12 d.l. 3 maggio 1991, n. 143, convertito in l. 5 luglio 1991, n. 197 e i reati di cui agli articoli 494 e 640 c.p., risultando integrati i rispettivi elementi costitutivi posti in essere contestualmente nell’unica azione criminosa. La condotta, costituita da una serie di azioni materiali succedutesi in un tempo ravvicinato e collegate funzionalmente, si realizzerebbe attraverso la sostituzione illegittima del nome “CartaSi” o “Visa” al proprio, oltre che nell’induzione in errore dei destinatari degli SMS (ai quali si chiedeva di fornire i dati delle proprie carte di credito).
La normativa prevista dall’art. 12 d.l. 3 maggio 1991, n. 143, convertito in l. 5 luglio 1991, n. 197, si estrinseca in una triplice modalità di condotta criminosa [5]Infatti, la problematica relativa all’impiego effettivo della carta considerata nella sua materialità oppure al solo utilizzo dei dati operativi del documento, pur in assenza del possesso del supporto materiale, ha trovato già concordi definizioni da parte della suprema Corte[7]. La Cassazione ha, infatti, sancito come l’impiego dei soli dati della carta sia, in realtà, sufficiente per realizzare la condotta di utilizzazione (e quindi la sussistenza del reato) [8].. L’utilizzo indebito di una carta di pagamento (o meglio del codice segreto della stessa) costituisce, in realtà già di per sé, integrazione della condotta incriminata dal momento che l’apprensione dei dati relativi al supporto perfeziona il reato a prescindere dal possesso del relativo supporto magnetico, consentendo l’utilizzo della carta come mezzo di pagamento [6].
Il secondo profilo merita altresì alcune considerazioni sul nesso intercorrente tra le fattispecie dell’art. 12 e gli altri reati considerati in sentenza.
Va precisato che la disposizione a fattispecie plurima di cui all’art. 12 contempla, nel medesimo contesto, una pluralità di previsioni autonome di reato, con la conseguenza che l’indebito utilizzo del documento non viene ad assorbire in sé la previsione relativa all’acquisizione illecita dello stesso, in quanto, in caso contrario, si infrangerebbe il concorso formale di reato stabilito dall’art. 81, primo comma c.p. [9]. La soluzione deve muovere dalla considerazione delle diverse modalità di commissione del reato quali fattispecie alternative o cumulative [10] tra di loro, ed altresì dall’individuazione del nesso intercorrente tra le condotte analizzate e il reato presupposto.
L’utilizzazione indebita di carte di credito o simili strumenti di pagamento integra infatti il reato previsto dall’art. 12 d.l. 3 maggio 1991, n. 143, convertito in l. 5 luglio 1991, n. 197 e non il reato di truffa, che dunque risulta essere assorbito [11]. Le ragioni vanno individuate nel fatto che: - l’oggettività giuridica della l. 5 luglio 1991, n. 197, destinata alla prevenzione dell’utilizzazione del sistema finanziario a scopo di riciclaggio, tutela l’ordine pubblico ma anche il patrimonio del soggetto, privato o pubblico, vittima del raggiro (come nel reato della truffa);
- il legislatore ha ritenuto sufficiente, per la configurazione del reato di cui all’art. 12, che la condotta dell’agente sia finalizzata al conseguimento del profitto (per sé o per altri), indipendentemente dal verificarsi del danno. La sfera di applicabilità della norma è, dunque, tanto ampia da ricomprendere sia i casi in cui il danno non si verifichi, sia quelli in cui il danno si sia verificato (come nell’ipotesi della truffa che è reato di danno);
- la sanzione del reato di indebito utilizzo ricomprende interamente quella stabilita per il reato di truffa semplice.
Deve, dunque, considerarsi esclusa la configurabilità del concorso materiale tra il reato dell’uso indebito di carte di credito o di pagamento e il reato della truffa, del quale la disponibilità della carta costituisce il prodotto “ ponendosi quale svolgimento della pregressa attività criminosa” [12]; il reato di truffa viene assorbito in virtù del principio di cui all’art. 15 c.p., considerato che l’adozione di artifici o raggiri è uno dei possibili modi in cui si estrinseca l’uso indebito di una carta di credito[13]. Il concorso è, dunque, solo apparente essendo le due fattispecie in rapporto di specialità. In senso conforme (nonostante le opposte interpretazioni di parte della dottrina) si noti l’orientamento giurisprudenziale che considera necessaria la sussistenza di un quid pluris per evitare l’assorbimento della fattispecie generale nella speciale. In particolare il reato di truffa non risulta assorbito in quello di indebita utilizzazione, ogniqualvolta, la condotta incriminata non si esaurisca nel mero utilizzo della citata tessera, ma sia connotata da un quid pluris[14]. Non è dunque ipotizzabile un concorso tra condotte che evidenzino comportamenti costituenti gli uni logica conseguenza degli altri; “«ordinario» postfatto – in senso atecnico – rispetto alle precedenti” [15].
Prof. Avv. Riccardo Borsari - ricercatore di diritto penale nell’Università degli Studi di Padova - febbraio 2008
(riproduzione riservata)
[1] L’espressione phishing deriva dalla deformazione lessicale del verbo inglese to fish che significa pescare. L’uso della parola è strettamente connesso con l’immagine che essa evoca, ovvero la “ pesca” di utenti nella rete, pronti ad abboccare alle insidie disseminate dall’autore degli atti di phishing. Le carte di credito, i conti correnti on-line, i codici relativi a depositi effettuati in banca, i pin dei bancomat costituiscono l’obiettivo del phisher (ovvero l’autore degli atti di phishing), il quale, per riuscire a snidare il danaro sottratto dai legittimi titolari, si serve anche della “collaborazione” degli stessi utenti.
[2] Il fenomeno della “clonazione” di pagine web viene chiamato “ pharming”.
[3] Si veda Cass. sez. IV, 4 ottobre 1999, n. 3056: “Il reato di frode informatica ha la medesima struttura, e quindi i medesimi elementi costitutivi, della truffa, dalla quale si distingue solamente perché l’attività fraudolenta dell’agente investe non la persona, bensì il sistema informatico (significativa è la mancanza del requisito della “induzione in errore” nello schema legale della frode informatica, presente invece nella truffa). Il phishing da un lato, induce in errore la persona che fornisce inconsapevolmente i propri dati al phisher, dall’altro lato la sua azione investe il sistema informatico dell’istituto creditizio poiché interviene sine titulo all’interno dello stesso. La norma istitutiva del reato di frode informatica, di cui all’art. 640 c.p., punisce, infatti, chiunque « intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a sé o ad atri un ingiusto profitto con altrui danno»”.
[4] Si veda per tutti BORSARI, Concorso apparente di norme e concorso di reati nella disciplina penale delle “carte di pagamento”, in Riv. trim. d. pen. ec., 1998, II-III, 554; ROMANO, Il rapporto tra norme penali: intertemporaneità, spazialità, coesistenza, Milano, 1996, 170; MANTOVANI, Diritto penale, Parte generale, Padova, 2004, 473; DE FRANCESCO, voce “ Concorso apparente di norme”, in Dig. Disc. Pen., Torino, 1994, II, 417.
[5] MANNA, Artifici e raggiri on-line: la truffa contrattuale, il falso informatico e l’abuso dei mezzi di pagamento elettronici, in Riv. inf., 2002, VI, 955: “L’una è quella di indebita utilizzazione, non essendone titolare, come recita giustamente la norma. L’altra è quella di falsificazione o alterazione che, ovviamente qui riguarda anche lo stesso titolare, e la terza è quella di possedere, cedere o acquistare queste carte, che sono di provenienza illecita, o, comunque, falsificate od alterate. Il legislatore ha punito con la stessa pena, sia la fattispecie “a valle”, che è quella dell’indebita utilizzazione, sia le due fattispecie prodromiche, che sono quelle della falsificazione, o alterazione e del possedere, cedere o acquistare. Questo, a mio giudizio, può suscitare perplessità di ordine costituzionale, giacché si punisce con la stessa pena fattispecie con diverso disvalore penalistico. Tale scelta legislativa sembra, infatti, urtare contro il principio di uguaglianza formale, ex art. 3, comma 1, Cost., perché equivarrebbe a punire nella stessa maniera e senza alcuna plausibile ragione un reato di danno ed un reato di pericolo. Non vale, peraltro, replicare che tutto ciò rientrerebbe nella discrezionalità del legislatore, giacché può ormai considerarsi un dato acquisito che la discrezionalità del legislatore in materia sanzionatoria non è libera, bensì è vincolata al canone della ragionevolezza, perciò, se l’equiparazione sanzionatoria non trova una giustificazione razionale, essa sarà censurabile, ex art. 3 Cost”.
[6] In senso conforme si veda Cass. pen., sez. II, 18 luglio 2003, n. 32440: “Integra il reato previsto dall’art. 12 d.l. 3 maggio 1991 n. 143, conv. in l. 5 luglio 1991 n. 197, in tema di uso illecito di carte di credito o di pagamento, la condotta di chi procede a ricaricare il cellulare utilizzando indebitamente codici relativi a carte di credito telefoniche fraudolentemente sottratte da altri a chi le deteneva legittimamente, dovendosi ritenere che, ai sensi del citato art. 12, la scheda prepagata sia un “documento analogo” alle carte di credito o di pagamento che abilita alla prestazione dei servizi telefonici”.
[7] In tal senso Cass. pen., sez. II, 18 luglio 2003, n. 32440 e in senso conforme BALDI, Brevi note in tema di utilizzazione illecita del codice di una carta telefonica prepagata (nota a Cass. pen., 18 luglio 2003, n. 32440), in Cass. pen. 2004, 11, 3757.
[8] La Cassazione si era già espressa in un caso di dati fraudolentemente carpiti tramite Internet ed utilizzati da chi non avrebbe avuto diritto a farlo. Vedi, Cass. pen., sez. V, 2 ottobre 2002, n. 222582. Altra problematica sul concetto di utilizzazione è quella relativa alla commissione o meno del reato da parte del soggetto, che titolare di un rapporto sottostante ormai terminato, faccia uso della carta di credito non più valida, non avendo tuttavia il diritto di servirsene poichè il rapporto contrattuale è ormai estinto e sospeso. In detti casi la Corte, nel rispondere positivamente, ha comunque precisato che, dal punto di vista del profilo soggettivo, il reato postula che la revoca dell’autorizzazione ad usare la carta di credito sia stata comunicata all’utente: detta conoscenza, peraltro, può essere desunta nel processo sia da eventuali formali comunicazioni sia da altro elemento utile e sintomatico. Contra, Cass. pen., sez. V, 14 luglio 1994, n. 1935; dal presupposto che la norma è diretta a garantire che l’utilizzazione della carta avvenga solo da parte di chi ne risulti titolare, ritiene non sanzionabile la condotta di chi, essendo intestatario della carta in parola, la utilizza indebitamente anche dopo la cessazione del rapporto contrattuale che lo legava all’emittente per intervenuta revoca ad opera di quest’ultimo.
[9] Si confronti Cass. pen., sez. II, 09 gennaio 1998. In nota alla sentenza BORSARI, Concorso apparente di norme e concorso di reati nella disciplina penale delle “carte di pagamento”, in Riv. trim. d. pen. ec., 1998, II-III, 549 ss.
[10] Sull’argomento VASSALLI, Le norme penali a più fattispecie e l’interpretazione della «legge Merlin», in Studii in onore di Antolisei, Milano, 1965, II, 349 ss.; BRICOLA, Il rapporto di alternatività tra le fattispecie di falso in copie autentiche previste dall’art. 478 c.p., in Riv. it. d. proc. pen., 1960, 560.
[11] Cass. pen., sez. un., 28 marzo 2001, n. 22902: “Nell’affermare tale principio la Corte ha precisato che l’eventuale conseguimento, da parte dell’agente, dell’ingiusto profitto con correlativo danno del soggetto passivo rileva, comunque, sotto il profilo della dosimetria della pena. (…) Tornando al rapporto tra le due norme incriminatrici di cui all’art. 12 prima parte del D.L. 143/91 e all’art. 640 c.p., va anzitutto escluso il concorso dei due reati, pur sostenuto dalla giurisprudenza prevalente di questa Corte (Sez. V, 28.2.1995, Borelli; sez. V, 5.5.1995, Lazzaro; sez. V, 9.4.1999, P.G. c/ Sorgente). Non si è anzitutto in presenza di due fatti completamente distinti dalla materialità della condotta, poiché appare evidente che l’adozione di artifici o raggiri è uno dei possibili modi in cui si estrinseca l’uso indebito di una carta di credito, sicché la prima di tali condotte ben può identificarsi nella seconda come specie a genere”.
[12] BORSARI, op. cit., 561; AMATO, Qualche considerazione sulla ricettazione di carte di credito, in Cass. pen., 1995, 1349; PECORELLA, Commento all’art. 12 legge 197/91, in Nuove leggi civ. comm., 1993, 1103. Sul punto si rileva altresì che la medesima conclusione non è sostenibile in relazione alla condotta di cessione, non rappresentando questa evoluzione della pregressa attività criminosa ma piuttosto un potenziale ulteriore momento di aggressione al patrimonio del soggetto passivo del reato.
[13] Cass. pen., sez. V, 12 dicembre 2005, n. 6695. In particolare: “L’indebita utilizzazione, a fine di profitto proprio o altrui, da parte di chi non ne sia titolare, di carte di credito o analoghi strumenti di prelievo o pagamento, integra il reato previsto dal D.L. n. 143 del 03 maggio 1991, art. 12, conv. in L. n. 197 del 05 luglio 1991, e non quello di truffa, che resta assorbito. (…) Ed infatti l'adozione di artifici o raggiri è uno dei possibili modi in cui si estrinseca l'uso indebito d'una carta di credito”.
[14] Confronta Cass. pen., sez. I, 23 aprile 2004, n. 26300: “Il reato di truffa non è assorbito da quello di indebita utilizzazione, da parte di chi non ne sia titolare, di carte di credito o analoghi strumenti di prelievo o pagamento ogni qualvolta la condotta incriminata non si esaurisca nel mero utilizzo di essi, ma sia connotata da un “ quid pluris” che si concretizzi in artifici e raggiri. (fattispecie relativa all’utilizzazione di una tessera “Viacard” illecitamente rimagnetizzata)”.
[15] BORSARI, op. cit., 562; D’AGOSTINO, La tutela penale dei mezzi di pagamento, in Trattato di diritto penale dell’impresa diretto da DI AMATO, Padova, 1993, 417
|
