Con il cosiddetto DDL cyber (DDL C.1717) la Camera ha approvato in via definitiva, lo scorso 15 maggio, le nuove «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» che introducono, fra le altre, una modifica dell’art. 640 c.p. (truffa) finalizzata a tutelare le vittime di frodi “on line”.
Il provvedimento è, adesso, all’esame del Senato (S.1143) che, salvo soprese, dovrebbe approvarlo così com’è.
Indice degli argomenti
DDL cyber e truffe online: la riformulazione dell’art. 640 c.p.
L’art. 640 c.p. è così formulato (in grassetto le modifiche):
«Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:
1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o dell’Unione europea o col pretesto di far esonerare taluno dal servizio militare;
2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’Autorità;
2-bis) se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero
2-ter) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal secondo comma, a eccezione di quella di cui al numero 2-ter)».
Il Legislatore, da quanto si può osservare, non ha introdotto una fattispecie nuova, ma ha inserito fra le aggravanti c.d. “ad effetto speciale” la circostanza dell’utilizzo dei sistemi informatici o telematici idonei ad ostacolare l’altrui identificazione.
In effetti, dalla concreta esperienza nelle aule di Giustizia, le contestazioni relative agli atti di frode in danno dei privati sono, usualmente, quelle di truffa e/o sostituzione di persona; pertanto, il chiaro intento del legislatore è quello, in chiave general-preventiva, di aggravare tali condotte prevedendo un importante aumento di pena sia nel minimo che nel massimo edittale.
In ogni caso, per non mortificare gli effetti deflattivi della riforma “c.d. Cartabia”, il reato, seppure aggravato, rimane rilevabile a querela della persona offesa proponibile entro 90 giorni dalla conoscenza del fatto.
Dubbi interpretativi sulla concreta applicazione
Se l’intento appare chiaro, non è altrettanto condivisibile il modo in cui è stata formulata l’aggravante che, alla lunga, potrebbe non ottenere i risultati pratici sperati.
Difatti, quanto la norma parla di fatto commesso “a distanza” «attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione» in realtà non è ben chiaro se si sia voluto punire l’utilizzo tout court del mezzo telematico, ovvero solo in quei casi in cui, effettivamente, l’identificazione degli autori del reato sia stata resa difficoltosa.
La differenza non è da poco, difatti se l’interpretazione prevalente considerasse l’utilizzo del mezzo informatico automaticamente idoneo per far contestare l’ipotesi di truffa aggravata, l’imputato non avrebbe molti margini di difesa, perlomeno in relazione alla valutazione dell’elemento psicologico, che, si ricorda, soggiace ai medesimi canoni ermeneutici previsti per la fattispecie non aggravata.
Se, al contrario, il legislatore avesse inteso aggiungere un quid pluris rispetto all’utilizzo del computer per frodare la vittima, si potrebbe ragionare in chiave di maggiore garanzia.
Per esempio, consideriamo il caso di un sito “civetta” che offre polizze RCA a prezzi particolarmente vantaggiosi, ma che in realtà, risulteranno false; continuando, i truffatori per comunicare con la vittima utilizzeranno una e-mail, anonima ovvero creata con un nome di fantasia o di un’ignara terza persona.
La condotta risulterà perfezionata all’atto del pagamento del falso premio (ovvero, anche prima, quindi verrà contestato il tentativo) generalmente a mezzo di un IBAN riferibile a carte di pagamento prepagate.
Va detto che, l’utilizzo di una e-mail senza particolari accorgimenti (proxy, nat, VPN ecc.) non appare misura idonea schermare sufficientemente gli autori del fatto, atteso che, l’individuazione dell’indirizzo IP (rectius del titolare della linea telefonica) non comporta particolari accorgimenti tecnici da parte degli organi inquirenti.
Fra l’altro, sempre l’esperienza giudiziaria suggerisce che sia gli intestatari delle SIM che delle carte prepagate non coincidono (quasi) mai con gli organizzatori della truffa: talvolta si tratta di persone disperate che, per pochi euro, accettano di farsi intestare le schede; ma in questo caso si tratta di modalità di “mascheramento” che non sfruttano le reti telematiche, quanto il bisogno.
In buona sostanza, se il Giudice dovesse accertare che non sono state utilizzate particolari misure di “mascheramento” dell’IP, l’aggravante in oggetto potrebbe cadere, con un sostanziale “sconto” di pena finale.
Confisca obbligatoria dei profitti e degli strumenti usati
Un ulteriore deterrente si rinviene dalle modifiche apportate, rispettivamente, sugli articoli 240 c.p. e 640-quater c.p. per disporre, in caso di condanna per il reato di truffa aggravata dal mezzo informatico, la confisca obbligatoria dei beni e degli strumenti informatici o telematici utilizzati in tutto o in parte per la commissione del reato, nonché dei beni che costituiscono il profitto o il prodotto del reato medesimo ovvero di somme di denaro, beni o altre utilità di cui il colpevole ha la disponibilità per un valore corrispondente a tale profitto o prodotto, se non è possibile eseguire la confisca diretta del profitto o del prodotto.
Conclusioni
In conclusione, come sempre in questi casi, l’applicazione in concreto potrebbe fugare i dubbi interpretativi al riguardo.
Infine, fermo restando il principio di complementarità fra Codice penale e Codice penale militare, il legislatore non ha previsto la modifica dell’equivalente fattispecie di cui all’art. 234 C.P.M.P., anche in relazione allo spirito complessivo della legge a tutela della sicurezza cibernetica dello Stato, nel caso di coinvolgimento di apparati e/o personale militare.
