Il falso profilo virtuale
La creazione di un falso profilo virtuale su un social network o in genere in rete, va a ledere il bene giuridico dell'identità personale del soggetto impersonato, come tutelato dall'articolo 2 della Costituzione. E' ovvio che l'individuo al giorno d'oggi deve essere protetto anche nella sua dimensione di utente della rete. Ogni essere umano ha pacificamente il diritto a vedere riflessa nella società una rappresentazione di sé che corrisponda alla sua reale identità.
L'identità digitale, infatti, è ormai espressamente tutelata ai sensi dell'articolo 9 del D.L. 14 agosto 2013, n. 93, convertito dalla legge 15 ottobre 2013 n. 119, che inserisce nell'articolo 640 ter del codice penale (frode informatica) un aggravio di pena per l'ipotesi in cui il fatto sia commesso "con furto o indebito utilizzo dell'identità digitale".
Nel momento in cui tale rappresentazione di sé è alterata o mortificata a causa dell'indebita intromissione di un terzo, questi sarà chiamato a rispondere, anche penalmente, della distorsione dell'altrui immagine.
Furto di identità
La normativa definisce il furto di identità tramite il decreto legislativo n. 64 dell'11 aprile 2011, in materia di prevenzione di frodi nel credito al consumo, il quale modifica il decreto legislativo 141 del 2010 che, in attuazione di una direttiva comunitaria, regola i contratti di credito ai consumatori.
1. Ai fini del presente decreto legislativo per furto d'identità si intende:
a) l'impersonificazione totale: occultamento totale della propria identità mediante l'utilizzo indebito di dati relativi all'identità e al reddito di un altro soggetto. L'impersonificazione può riguardare l'utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto;
b) l'impersonificazione parziale: occultamento parziale della propria identità mediante l'impiego, in forma combinata, di dati relativi alla propria persona e l'utilizzo indebito di dati relativi ad un altro soggetto, nell'ambito di quelli di cui alla lettera a)
Si tratta, ovviamente, di una definizione circoscritta nell’ambito applicativo del decreto, che tra l'altro riguarda l'identità in genere e non l'identità digitale, ma che finisce inevitabilmente per orientare l’applicazione delle fattispecie penali e delle controversie civili che riguardano l’appropriazione di dati identificativi di altre persone.
A tale proposito, pur rimarcando che la definizione di “furto di identità” non è corretta perché in realtà ci si appropria dei dati identificativi di una persona al fine di usare l’identità altrui, possiamo ricordare che in essa si cumulano numerose fattispecie abbastanza simili. L’ipotesi più rilevante è il reato di sostituzione di persona previsto dall'art. 494 del codice penale. In subordine si può configurare il reato di accesso abusivo ad un sistema informatico, od altre fattispecie minori.
In campo penale dal 2013 è stata introdotta un'aggravante per la frode informatica (art. 640 ter cod. pen.): “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”, al fine di rendere più efficace il contrasto del preoccupante fenomeno del furto di identità digitale.
Sostituzione di persona
L'articolo 494 del codice penale punisce il reato di sostituzione di persona. Quindi la condotta di "chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici".
Questo, però, solo se il fatto non costituisce altro delitto contro la fede pubblica. Si pensi ai casi in cui il reato si realizza mediante falsificazione di una scrittura privata o falsa attestazione ad un pubblico ufficiale. E', invece, configurabile un concorso con norme poste a tutela di beni giuridici differenti dalla pubblica fede (truffa, frode informativa, accesso abusivo ad un sistema telematico).
Oggetto della tutela della norma è l’interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali. Per lesione alla fede pubblica si deve intendere la falsità che ha la capacità di ingannare il pubblico, cioè un numero indeterminato di persone. Ciò dipende generalmente dalla fiducia che le persone ripongono in segni o attestazioni, e tale affidamento consente l’inganno dei terzi.
Il legislatore ha ravvisato in questi inganni una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome. Il discrimine tra la fattispecie penale della sostituzione di persona e la semplice lesione di stampo civilistico è, quindi, proprio nel concetto di fede pubblica, in quanto l’inganno supera generalmente la ristretta cerchia di un determinato destinatario.
L’art. 494 prevede quattro ipotesi attraverso le quali si perfeziona il reato:
1) sostituzione fisica della propria all’altrui persona, che consiste nell’assunzione di contegni idonei a far apparire la propria persona diversa da quella che è;
2) attribuzione a sé o ad altri di un falso nome, laddove per nome si intende uno qualsiasi dei contrassegni di identità, come il prenome, il nickname, il luogo di nascita, la paternità, ecc….;
3) attribuzione di un falso stato, cioè la condizione complessiva della persona nella società, comprendente la cittadinanza, la capacità di agire, la potestà familiare, la condizione di coniugato, i rapporti di parentela, ecc…;
4) attribuzione di una qualità cui la legge collega effetti giuridici (come nel caso di chi dichiari di aver raggiunto la maggiore età), purché la qualità in questione sia essenziale per la realizzazione dell’atto giuridico.
Quindi, il delitto in questione non è a forma libera ma si realizza solo nelle ipotesi predeterminate, e si consuma con l’induzione in errore della terza persona. Questo comporta necessariamente un comportamento positivo dell’agente.
Occorre tenere presente che la "sostituzione" di persona può talvolta assumere confini incerti. Ad esempio, il reato potrebbe realizzarsi attribuendosi (qualità a cui la legge collega effetti giuridici) i codici identificativi dell'home banking, le chiavi di accesso ad aste online o a servizi online (una mail, ad esempio per trasferire su un altro l'obbligo di pagare beni acquistati in rete).
Perché sia configurato il reato, però, questo deve essere commesso al fine di procurare a sé od altri un vantaggio, oppure per arrecare ad altri un danno, anche se il vantaggio non deve essere necessariamente ingiusto.
Casi concreti
Tale delitto è particolarmente facile da realizzare in rete. Tra l'altro, si tratta di un reato che prevede una responsabilità dei genitori per i fatti commessi dai figli minorenni.
Secondo la Suprema Corte di Cassazione, integra il reato in questione la condotta di colui che crei ed utilizzi un "profilo" su social network, utilizzando abusivamente l'effige di una persona del tutto inconsapevole, al fine di comunicare con altri iscritti e di condividere materiale in rete (Cassazione penale 16 giugno 2014, n. 25774). Come anche chi utilizza foto altrui come immagine del proprio profilo Facebook (Cassazione Penale, 30 gennaio 2018, n. 4413).
Anche la creazione di un account di posta elettronica con un nominativo diverso dal proprio può configurare il reato di sostituzione di persona purché il gestore, o gli utenti, del sito, siano tratti in inganno credendo erroneamente di interloquire con una determinata persona mentre si trovano ad avere a che fare con una persona diversa. Questo è quanto stabilisce la sentenza della Cassazione n. 46674 del 8 novembre 2007, la quale ritiene configurati tutti gli elementi del reato in una ipotesi come quella dell’esempio, cioè l’inganno, l’induzione in errore e l’insidia alla fede pubblica.
Ancora, possiamo considerare il caso di chi divulga un numero di cellulare altrui come se fosse il proprio, così ingannando l'interlocutore sulla propria identità (Cass. 18826 del 2013).
È importante evidenziare, data la facilità con la quale in rete si può creare una personalità virtuale, che un elemento essenziale, dal quale non si può prescindere, per configurare il reato di sostituzione di persona è la presenza di un dolo specifico, appunto consistente nel perseguimento di una finalità di vantaggio, proprio od altrui (che può realizzarsi chiedendo amicizie online), o di un danno altrui (il danno può realizzarsi attribuendo al profilo falso caratteristiche negative). L’accertamento del dolo è opera del giudice, è deve essere quanto mai rigoroso. Nei casi menzionati consisteva nelle diverse telefonate di uomini che chiedevano alla vittima del reato incontri sessuali.
In assenza di questi elementi, però, il fatto potrebbe comunque costituire altro tipo di reato, come l’accesso abusivo ad un sistema informatico.
Tutela del correntista bancario
Per quanto riguarda la tutela del correntista bancario che ha subito un furto di identità, la giurisprudenza nel tempo si è evoluta. Inizialmente, per l'assenza di clausole contrattuali volte a tenere indenne il cliente, unita alla mancata dimostrazione delle modalità di sottrazione delle credenziali di accesso al servizio di home banking, risultava difficile ottenere una pronuncia di responsabilità a carico dell'istituto di credito.
Oggi, invece, sulla base della considerazione che il correntista è la parte debole del rapporto contrattuale, cioè un consumatore, mentre l'istituto di credito opera quale professionista e quindi deve attenersi ad un livello di diligenza elevata (diligenza del buon banchiere), la situazione è alquanto mutata.
Tra l'altro dal marzo 2010 è in vigore la Payment Service Directive (PSD) europea, recepita tramite il decreto legislativo 11 del 2010, che sposta l'onere della prova sulla banca.
In base alla direttiva, il correntista ha l'obbligo di comunicare tempestivamente alla banca il disconoscimento di operazioni, mentre la banca ha l'obbligo di impedire l'accesso a terzi rispetto all'utilizzatore degli strumenti di pagamento. Se il cliente dimostra di aver adottato misure di protezione adeguate (all'utente medio), sarà la banca a dover dimostrare che la colpa della truffa dipende dal cliente. In assenza di prova di colpa grave del cliente (es. se il cliente ha fornito le credenziali di accesso a terzi), la banca deve restituire le somme truffate.
Ma già dal 2009 la giurisprudenza ha modificato il suo orientamento in materia, con la sentenza del 20 dicembre 2009 del tribunale di Palermo. Nella citata sentenza il tribunale ritiene che spetti al correntista provare il rapporto contrattuale, e poi in relazione alla prova dell'inadempimento, considerato che se essa dovesse consistere nella prova che il sistema informatico è inidoneo finirebbe per divenire prova diabolica, ritiene che la banca debba adottare tutte le misure di sicurezza tecnicamente idonee e conosciute in base al progresso tecnico (es. one time password), per prevenire danni, non valutando sufficiente la non violazione di norme di legge proprio perché la prestazione dell'istituto si inserisce nell'ambito di una attività professionale.
La Banca d'Italia, col provvedimento del 5 luglio 2011, ha fissato le pratiche bancarie al fine di realizzare strumenti di pagamento più sicuri. Non si tratta di presidi obbligatori ma comunque rappresentano dei parametri di riferimento importanti.
Questa tesi si basa sulla normativa in materia di protezione dei dati personali, infatti l'art. 131 del Codice Privacy recita:
Art. 131. Informazioni a contraenti e utenti
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa il contraente e, ove possibile, l'utente circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei.
2. Il contraente informa l'utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede del contraente medesimo.
La normativa in materia di privacy impone, infatti, la custodia ed il controllo dei dati personali oggetto di trattamento “anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (art. 31 Codice privacy), per cui, ai sensi dell'art. 15 del medesimo Codice, il titolare del trattamento (la banca) è obbligato a risarcire il danno conseguente al trattamento medesimo.
L'apprensione da parte di terzi delle credenziali di accesso al sistema di home banking, quindi, viene considerata una conseguenza di una insufficiente diligenza da parte della banca nella custodia dei dati (tribunale di Milano, sentenza del 4 dicembre 2014).
Cioè, se la diligenza dell'istituto di credito non è adeguata al livello richiesto quale esercente un'attività professionale (art. 1176 cod. civ., diligenza del debitore qualificato), e quindi il sistema informatico non è adeguato agli standard di sicurezza, la banca incorre in responsabilità. Per andare esente da responsabilità la banca deve dimostrare che le credenziali fornite al cliente sono entrate in possesso di un terzo per una condotta colposa del cliente.
Di contro la diligenza del correntista (consumatore) viene valutata sulla base dell'utente medio (cliente comune). Nella sentenza del tribunale di Milano citata, si evidenzia che il correntista non fosse a conoscenza del fenomeno del phishing, e che le mail ricevute non presentassero palesi evidenze di contraffazione. Tali elementi sono ritenuti sufficienti ad evitare una responsabilità del correntista, cliente comune non dotato di specifica competenza in ambito informatico.
Si tratta di una palese inversione dell'onere della prova che avvantaggia il cliente/consumatore.
Anche l'Arbitro Bancario e Finanziario sta consolidando l'orientamento in base al quale il correntista risponde solo dei casi in cui sussiste una prova di colpa grave o dolo a suo carico.
In conclusione, il cliente deve dimostrare soltanto di aver adottato misure minime di protezione delle credenziali e del proprio personal computer (es. antivirus), di non aver agito in maniera fraudolenta, e deve avvisare tempestivamente l'istituto di credito in caso di operazioni non autorizzate o non correttamente eseguite, disconoscendole.
La banca, invece, per andare esente da responsabilità deve dimostrare che le credenziali d'accesso al sistema di home banking sono entrate in possesso di un terzo per una condotta colposa del cliente, in assenza di ciò si presuppone che i suoi sistemi di sicurezza non sono adeguati.
Trattamento illecito di dati
Ricordiamo, infine, che aprire un indirizzo di posta elettronico utilizzando i dati personali di una persona realmente esistente, con la volontà di recare a quest’ultima un nocumento, realizza non solo il reato di sostituzione di persona, ma anche quello di cui all’art. 167 del D. Lgs 23 giugno 2003 n. 196 (Codice della privacy). Tale condotta costituisce una vera e propria sostituzione di identità che permette all’agente di concludere contratti con il provider per l’erogazione di servizi, in nome e per conto di terzi. Per questo il Garante per la protezione dei dati personali ha ricordato che la circostanza che gli indirizzi email siano conoscibili da una pluralità di soggetti non li rende liberamente utilizzabili e non autorizza comunque l’invio di informazioni, di qualunque genere, senza un preventivo consenso.