5 maggio 2009 Auditorium MICROSOFT Centro Direzionale San Felice SERVIZI ONLINE: TRA SICUREZZA DELL IMPRESA E DIRITTI DI PROPRIETÀ INTELLETTUALE

Transcript

1 5 maggio 2009 Auditorium MICROSOFT Centro Direzionale San Felice SERVIZI ONLINE: TRA SICUREZZA DELL IMPRESA E DIRITTI DI PROPRIETÀ INTELLETTUALE Avv. Alberto Sirani IL PHISHING: UN REATO IN CERCA D AUTORE. I PROFILI PROBLEMATICI DI UNA NUOVA FENOMENOLOGIA DI TRUFFA ATTRAVERSO INTERNET. Sommario: 1. Il phishing: definizione e modalità operative di un fenomeno illecito; 2. La qualificazione giuridica; 2.1. Il ruolo dei cosiddetti financial managers ; 3. I profili problematici; 4. Il financial manager come concorrente nella truffa; 5. Conclusioni. 1. Il phishing: definizione e modalità operative di un fenomeno illecito. Il termine phishing, probabilmente derivante dall unione del vocabolo inglese fishing (pescare) al termine phreaking (una sorta di intrusione nei sistemi telefonici) 1, è entrato nel vocabolario giuridico per indicare una tecnica fraudolenta che punta ad ottenere, tramite la rete internet o SMS, i dati personali di clienti di banche, servizi finanziari e 1 Ma sull etimologia della locuzione persistono diverse interpretazioni, ben riassunte da FLOR, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 ss.

2 servizi on-line, convincendo gli utenti a fornire tali dati con falsi pretesti. Gli attacchi di phishing costituiscono una delle principali tecniche utilizzabili per realizzare una frode di identità. Il phishing è infatti una tecnica capace di carpire informazioni personali, abitudini e stili di vita. Non vi è dubbio che il fulcro della sua dimensione offensiva debba essere individuata nel c.d. identity theft, ossia furto di dati personali e riservati. Seppur con questa stessa tecnica sia possibile ottenere qualunque dato sensibile, la casistica ci dimostra come il phishing abbia finalità ben precise: l uso indebito di carte di credito nonché l abusivo accesso a servizi di home banking e conti correnti on line. Come evidenziato dalla dottrina 2 e dalla giurisprudenza formatasi fino ad oggi 3, il fenomeno del phishing si sviluppa generalmente attraverso una serie di condotte successive e tra loro collegate, vere e proprie fasi di un complesso ed unitario fenomeno. Prima fase. In una prima fase, il c.d. phisher invia un numero elevato e indeterminato di messaggi di posta elettronica ad un pari numero di soggetti individuati a caso con il metodo dello spamming. Le mails hanno la veste grafica ed utilizzano il logo di istituti di credito o di deposito e, tipicamente, contengono false dichiarazioni finalizzate a creare l impressione che ci sia una minaccia immediata o un rischio di 2 Si vedano, fra gli altri, CAJANI, Profili penali del phishing, in Cass. Pen., 2007, 2294 ss.; FLOR, Phishing, cit., 899 ss., D ARCANGELO, La criminalità informatica ed il cyber crime nella interpretazione della giurisprudenza, intervento al convegno di studio organizzato dal Consiglio Superiore della Magistratura, La Criminalità informatica dopo la ratifica della Convenzione di Budapest (legge 18 marzo 2008). Profili sostanziali e processuali. Tecniche di indagine, Milano, 26 giugno Si vedano Tribunale di Milano, Ufficio GIP, 10 dicembre 2007 (Giudice Dott. Gamacchio), nonché Tribunale di Milano, Ufficio GIP, 15 ottobre 2007 (Giudice Dr.ssa Interlandi).

3 disabilitazione per l account della persona a cui sono destinate. Esse quindi invitano il destinatario a seguire un link presente nel messaggio per regolarizzare la sua posizione con l ente o la società di cui il messaggio simula la grafica e l impostazione. L utente è così indotto a cliccare il link indicato, il quale, tuttavia, non porta al sito web ufficiale, ma ad una sua copia fittizia, situata su un server controllato dal phisher. Per mascherare l indirizzo del sito o renderlo simile a quello del sito clonato, i phisher adottano diverse tecniche, quali: - registrare nomi a dominio simili a quelli originali: il falso sito ha un nome molto simile a quello originale. Questa è la tecnica più semplice ma anche la più facile da scoprire per gli utenti accorti; - mascherare l indirizzo web: grazie a diverse modalità operative, quali ad esempio il reindirizzamento, l utente visualizza un certo indirizzo, ma in realtà viene dirottato su un altro sito; - sostituire la barra degli indirizzi con una falsa immagine della stessa contenente un falso URL: il phisher fa quindi scomparire la barra degli indirizzi, mentre la facciata della pagina presenta in alto l immagine di un barra falsa con un indirizzo ingannevole. Seconda fase. Nella seconda fase si procede alla raccolta o pesca delle informazioni di cui il phisher è alla ricerca: password, credenziali di accesso, che vengono acquisite o per il tramite di form da compilare ovvero attraverso il reindirizzamento a siti. Terza fase. Segue ovviamente la fase della vera e propria utilizzazione delle informazioni e dei dati così raccolti: accesso abusivo al servizio

4 bancario on line al fine di procedere ad operazioni non autorizzate, utilizzo indebito di carte di credito o di pagamento. * * * Non manca chi, come recentemente la sentenza emessa dal GUP presso il Tribunale di Milano (Giudice Dott. Luerti) n. 1935/08 del 15 ottobre 2008), ritiene che le fasi di phishing attack, raccolta dati e loro utilizzazione siano riconducibili ad una unica complessa fase iniziale, seguita poi da una seconda fase in cui il phisher avvia, sempre tramite internet, la ricerca dei c.d. financial manager, ossia persone disposte, dietro compenso di una provvigione, ad aprire un conto corrente nel medesimo paese degli utenti pescati o utilizzare un conto corrente già aperto, sul quale far accreditare i bonifici disposti on line dal phisher mediante l accesso ai conti correnti delle persone di cui erano state carpite le credenziali, per poi trasmettere il denaro, prelevato in contanti, a mezzo servizi di money transfer. Questi terzi vengono reclutati attraverso migliaia di mail spedite ad un pluralità di soggetti. Il testo di tali messaggi consiste in un offerta di lavoro molto allettante: al destinatario non vengono richieste particolari conoscenze né precedenti esperienze professionali, ma è sufficiente la disponibilità di un computer collegato alla rete e di un conto corrente bancario. La prestazione richiesta consiste, come detto, nel trasferimento di piccole somme di denaro dal proprio conto corrente verso un terzo beneficiario. Tale fase è necessaria perché il phisher, generalmente straniero, non può eseguire bonifici all estero senza una ulteriore autorizzazione bancaria, e pertanto ha bisogno di un secondo passaggio domestico e di un successivo trasferimento all estero in altre forme, ad esempio tramite il servizio di money transfer, per non lasciare alcuna traccia. Sempre secondo GUP Milano, 15 ottobre 2008, a tale fase segue l ultima condotta, quella con la quale il c.d. financial manager, dopo aver accettato le condizioni indicate nella mail e indicato le proprie coordinate bancarie, preleva in contanti dal proprio conto corrente la

5 somma accreditata dal phisher, e previa decurtazione di una propria provvigione la trasferisce attraverso i canali delle società di money transfer. 2. La qualificazione giuridica. Il phishing pertanto si presenta dal punto di vista fenomenologico come un insieme di fasi fra loro collegate. Ma come qualificare giuridicamente un tale fenomeno? Come è noto, il nostro ordinamento non conosce una fattispecie incriminatrice di phishing, e pertanto l interprete in questi anni (diciamo dalla primavera del 2005, quando il fenomeno si è presentato per la prima volta in Italia 4 ) si è interrogato su come adeguatamente qualificare questa ipotesi di illecito dell internet. Né è mancata la richiesta di un intervento legislativo precisamente finalizzato a sanzionare autonomamente tale complesso fenomeno. Nella ordinanza del GIP di Milano, (Giudice Dott. Salvini), si evidenzia che sarebbe utile in prospettiva un innovazione legislativa che, come avvenuto alcuni anni or sono negli Stati Uniti prevedesse uno specifico reato di phishing non inquadrabile attualmente nella tipologia di frode informatica descritta nell art. 640-ter c.p. al fine di evitare di contestare quanto meno in relazione alla fase iniziale della condotta del phisher e cioè l invio delle ingannatorie all utente, un reato debole come la semplice truffa di cui all art. 640 c.p.. In ogni caso, in mancanza di tale innovazione normativa, la dottrina pressoché costante, e la stessa giurisprudenza già citata, ritengono che un tale fenomeno illecito non integri una fattispecie autonoma di reato, ma una serie di delitti appartenenti al diritto penale classico 5. 4 Cfr. CAJANI, Profili penali, cit., pag Così GIP Milano, 15 ottobre 2008, cit.

6 Ed i reati di volta in volta contestabili sarebbero diversi a seconda di come in concreto si realizzi il fenomeno di cui stiamo parlando, che percorre strade a volte non univoche, sebbene ispirato allo stesso sia consentito in senso atecnico disegno criminoso. Molti sono stati fino ad oggi i tentativi di inquadrare il fenomeno in una sorta di combinazione di fattispecie incriminatrici, teleologicamente connesse, in quanto nessuna delle stesse esprime adeguatamente il disvalore della intera condotta criminosa 6. In relazione al primo segmento di attività illecita (invio di s apparentemente riconducibili a un istituto di credito), si è ritenuto di poter individuare un ipotesi di sostituzione di persona, delitto previsto dall art. 494 c.p.: il phisher, infatti, al fine di procurare a sé un vantaggio patrimoniale, induce in errore i correntisti titolari di un conto corrente on line o di un servizio di home banking, attribuendo a sé un falso nome e stato, mostrando le insegne e il logo degli istituti di credito. Tale conclusione trova conforto anche in un precedente della Corte di Cassazione (Cass. 8 novembre 2007, n ), la quale ha sostenuto la tesi della configurabilità del reato in parola nel caso di apertura di accounts di posta elettronica intestati ad altri soggetti, per effetto del quale derivi l induzione in errore dei destinatari che si trovano ad interloquire con una persona diversa da quella che ad essi viene fatta credere. Tale interpretazione è stata peraltro criticata in dottrina da diversi autori. Ove poi l acquisizione di dati riservati avvenga attraverso virus che alterano il funzionamento del computer della vittima, indirizzandola ad esempio su pagine diverse apparentemente riconducibili al proprio istituto di credito, potrebbe ritenersi integrato il reato di diffusione di 6 D ARCANGELO, La criminalità informatica, cit., p.4.

7 programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quinquies c.p.). Potrebbe inoltre ritenersi integrato il delitto di cui all art. 615 quater c.p., che punisce colui che al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura codici, parole chiave, o altri mezzi idonei all accesso di un sistema informatico protetto da misure di sicurezza. Tale è il reato che ad esempio ha ritenuto integrato il GIP di Milano. La norma infatti sanziona, tra le altre, la condotta di chi, al fine di procurare a sé un profitto, abusivamente si procura codici o altri mezzi idonei all accesso a un sistema informatico protetto. Il legislatore non ha infatti costruito un delitto a condotta vincolata, e nella locuzione procurarsi in qualsiasi modo può senza dubbio farsi rientrare anche l uso di una mail che consenta la raccolta di tali codici. Si discute se la norma in parola concorra o venga assorbita dal delitto di accesso abusivo ad un sistema informatico di cui all art. 615 ter ( 7 ). Tale norma, collocata all interno dei delitti contro l inviolabilità del domicilio, tutela il bene giuridico della riservatezza informatica, inteso come interesse esclusivo, giuridicamente riconosciuto, di godere, disporre e controllare le informazioni, i procedimenti, i sistemi e ''spazi'' informatizzati e le relative utilità. La fattispecie che peraltro è ritenuta comunque sempre sussistente in tutte le ipotesi di phishing è la truffa. 7 Flor, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. e proc. pen. 2007, 2-3, 899, ritiene che l identità dell oggetto giuridico di tutela non pare consentire un possibile concorso di reati fra l art. 615 quater c.p. e l art. 615 ter c.p., ma solo l applicazioen di quest ultimo se, acquisiti abusivamente i codici di accesso, o realizzate le altre condotte ivi tipizzate, l autore, tramite questi, si introduce senza autorizzazione in un sistema informatico o telematico. Contra Pecorella, Diritto penale dell informatica, che distingue fra un uso immediato o meno dei dispositivi di accesso.

8 L art. 640 c.p. sanziona chiunque con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno. La condotta del phisher integrerebbe tutti gli elementi costitutivi di questo delitto: - gli artifici e raggiri consisterebbero nell invio di messaggi di posta elettronica falsi e ingannevoli, apparentemente provenienti da società affidabili, come banche o imprese che comunque operano nel settore creditizio, e con i quali si rappresentano esigenze di sicurezza o inviti a recarsi presso alcuni siti indicati in appositi link; - l induzione in errore si verificherebbe quando l ignaro correntista, dopo essersi collegato al link inserito nel messaggio, quindi ad una pagina web identica a quella del proprio istituto di credito gestita dal phisher, immette i propri dati e le proprie password per operare sui conti correnti on line; - il danno patrimoniale, invece, si verificherebbe quando il phisher, utilizzando le chiavi di accesso fornite dal correntista, effettua una disposizione di bonifico. Alla configurazione del delitto di truffa non osta neppure la circostanza che l atto dispositivo sia posto in essere dal reo e non dalla vittima del raggiro, sebbene la dottrina e la giurisprudenza tradizionali siano legate ad un modello di truffa strutturato sulla cooperazione della vittima e considerino l atto dispositivo dell ingannato come evento del reato. La novità del fenomeno phishing impone, infatti, di verificare nuovi percorsi interpretativi purché rispettosi del principio di legalità. Si può affermare che il nucleo della condotta del procurare a sé un ingiusto profitto sia rintracciabile non solo quando il profitto derivi da un atto compiuto dalla vittima del reato, ma anche quando la condotta sia posta in essere dallo stesso autore del reato.

9 Il phishing potrebbe integrare anche il reato di frode informatica di cui all art. 640 ter c.p. Quanto ai rapporti tra il reato di truffa e quello di frode informatica la Suprema Corte (Cass. 4 ottobre 1999, n. 3056) ha affermato che il reato di frode informatica ha la medesima struttura, e quindi i medesimi elementi costitutivi, della truffa, dalla quale si distingue solamente perché l attività fraudolenta dell agente investe non la persona, bensì il sistema informatico (significativa è la mancanza del requisito della induzione in errore nello schema legale della frode informatica, presente nella truffa). Il phishing da un lato, induce in errore la persona che fornisce inconsapevolmente i propri dati al phisher, dall altro la sua azione investe il sistema informatico dell istituto creditizio poiché interviene sine titulo all interno di esso. La norma istitutiva del reato di frode informatica di cui all art. 640 ter c.p., punisce, infatti, chiunque intervenendo senza diritto con qualsiasi modalità si dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a sé a ad altri un ingiusto profitto con altrui danno. Sulla base di tale pronuncia è stato sottolineato come nelle ipotesi più comuni di phishing, quelle cioè caratterizzate dall invio delle mails fraudolente agli utenti, si debba escludere il concorso fra le due norme poiché l uso delle passwords altrui non varrebbe ad integrare la condotta di intervento senza diritto sui dati, informazioni o programmi richiesta dall art. 640 ter c.p. Quest ultimo, infatti, necessiterebbe anche di una modificazione del loro contenuto o della loro destinazione. In altre parole, la semplice acquisizione o duplicazione di dati non vale ad integrare, di per sé, l elemento materiale della frode informatica, neppure in quei casi in cui avvenga in occasione dell accesso abusivo ad un sistema informatico o telematico, in quanto possono considerarsi riconducibili al reato di cui all art. 640 ter solo quegli interventi volti ad adibire l apparato a scopi diversi da quelli a cui era stato destinato o a manipolare arbitrariamente i contenuti.

10 La Corte di Cassazione ha invece espresso il proprio convincimento circa la possibilità di un concorso di reati fra l'accesso abusivo a un sistema informatico di cui all art. 615 ter e la frode informatica (Cass. 4 ottobre 1999, n. 3067). La condotta di accesso, infatti, non possiede tutti gli elementi puniti dal reato di frode informatica. La condotta punita da quest ultimo è necessariamente caratterizzata dalla manipolazione dei dati presenti nel sistema («intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi», secondo la formula utilizzata dalla norma). Tale manipolazione non è prevista né richiesta per il reato di accesso abusivo, il quale si configura nel momento in cui un soggetto «abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo». A fronte di tali tipologie di reati, la cui contemporanea astratta sussistenza andrà verificata mediante le regole del concorso formale di reati (sulla base delle quali, quindi, l accesso abusivo ex art. 615 ter c.p. potrà concorrere con la frode informatica ex art. 640 ter c.p., ma non con l art. 615 quater c.p.), occorre pur sempre ammettere che il fulcro di tale fenomeno è la truffa, come del resto evidenziato dalla giurisprudenza che fino ad oggi si è formata Il ruolo dei cosiddetti financial managers. Le fattispecie appena ricordate permettono, come detto, di qualificare giuridicamente la condotta dei phishers. Tuttavia, la prassi applicativa dimostra come tali soggetti siano difficilmente identificabili. Non altrettanto si può dire dei c.d. financial managers, i quali portano a compimento il disegno criminoso ideato e attuato dai phishers. A completamento del fenomeno illecito in parola, infatti, il financial manager preleva in contanti dal proprio conto corrente la somma

11 accreditata dal phisher, e dopo aver decurtato il proprio compenso, la trasferisce attraverso i canali delle società di money transfer. Il problema principale relativo alla posizione di tali soggetti è stabilire se essi rispondano di concorso nel reato di truffa ovvero di un autonomo delitto, in ipotesi ricettazione o riciclaggio. Come rilevato dal Tribunale di Milano nella sentenza 15 ottobre 2008 più volte citata, la responsabilità per ricettazione o riciclaggio (anziché di concorso nel reato presupposto: n.d.r.) corre sul sottile crinale che si colloca tra la previa consapevolezza del disegno complessivo e la completa buona fede nell operazione che escluderebbe la responsabilità soggettiva dell imputato. Il tradizionale criterio discretivo tra il concorso nel reato è quello temporale. Tuttavia, è necessario precisare tre elementi non certo secondari. In primo luogo, il vero criterio discretivo è quello della rilevanza causale della condotta del financial manager rispetto al delitto presupposto, rispetto al quale il criterio temporale riveste solo una funzione sintomatica. In secondo luogo, la lettera della legge utilizza l espressione fuori dai casi di concorso del reato per limitare l operatività dei delitti di ricettazione e riciclaggio. Infine, la condotta causalmente rilevante deve essere sostenuta da un adeguato elemento soggettivo. A tali considerazioni occorre aggiungere che la condotta del financial manager si colloca temporalmente tra il bonifico on line e la successiva finale percezione del profitto in capo al phisher. Da tali premesse si è quindi concluso che nel caso in cui l attività del financial manager sia consapevole dell attività truffaldina del phisher ed assicuri a questi la propria collaborazione a ricevere e poi trasferire le somme derivanti dai bonifici fraudolenti, allora non vi è dubbio che egli debba essere qualificato come concorrente nel reato di truffa.

12 Al contrario, se il financial manager riceve solo una richiesta di farsi accreditare somme su un proprio conto corrente e di trasferirle successivamente all estero, quindi sia inconsapevole del complessivo disegno criminoso, allora non si può sostenere il concorso nel reato presupposto. In tali casi il financial manager risponderà di ricettazione o riciclaggio. È proprio questa la contestazione generalmente mossa ai financial managers. Il delitto di ricettazione sarebbe integrato dalla mera ricezione di denaro provento di delitto, e si configurerebbe nel caso in cui il soggetto che abbia acconsentito ad accreditare somme sui propri conti correnti, non le abbia poi ritrasferite. Il delitto di riciclaggio, che assorbe la condotta di ricezione del denaro, sarebbe integrato dal prelievo di somme in contanti e dal successivo trasferimento tramite le società di money transfer. Tale azione integra la condotta di trasferimento di denaro provento di delitto, qualificato dalla modalità idonea ad ostacolare l identificazione della provenienza delittuosa della somma. Il prelievo di somme in contanti da un istituto di credito ed il successivo invio all estero mediante altra forma interromperebbe la rintracciabilità dei trasferimenti e consente la phisher di conseguire in sicurezza il suo profitto. Il riciclaggio, reato comune perché può essere commesso da qualunque soggetto non abbia partecipato al reato presupposto, può essere infatti identificato come qualunque operazione idonea a camuffare l illecita provenienza di denaro. Oltre all elemento oggettivo, è necessario che sia integrato anche l elemento soggettivo perché il financial manager sia ritenuto responsabile. Tuttavia, non sarebbe necessario che egli abbia la completa cognizione delle circostanze di tempo, di luogo e di modo del delitto presupposto, essendo sufficiente la consapevolezza di trasferire cose provenienti da delitto. La prova di tale consapevolezza può essere

13 desunta anche da elementi indiretti, purché siano tali da dimostrare in modo inequivocabile l elemento soggettivo dell agente. Inoltre, si sostiene da più parti come anche il dolo eventuale, rappresentato dall accettazione del rischio che l operazione di ricezione e successivo trasferimento abbia ad oggetto denaro provento di delitto, possa integrare l elemento soggettivo del delitto di riciclaggio/ricettazione. Secondo la già citata sentenza GIP Milano 15 ottobre 2008, dovrebbe ammettersi il dolo eventuale nel delitto di ricettazione nei casi in cui di fronte al dubbio sulla provenienza delittuosa del bene, in luogo di astenersi dall acquisto o procedere a verifiche adeguate, l agente si determini comunque ad acquistare, accettando il rischio correlato. In tale sentenza l astratta responsabilità del financial manager è stata desunta da una serie di elementi e circostanze fattuali: gli imputati erano stato reclutati come collaboratori da sedicenti società stranierete, mediante l invio di mails scritte in un italiano stentato o comunque tradotto automaticamente dai software; il contenuto delle clausole dei contratti era manifestamente sproporzionato alle condizioni di mercato e prometteva provvigioni altamente remunerative; le sedicenti società non richiedevano alcuna qualifica professionale, ma la mera disponibilità di una linea telefonica e di un personal computer collegato ad internet; nessuno ha mai individuato la ragione per la quale delle importanti società straniere dovessero ricorrere ad occasionali cittadini italiani per effettuare delle transazioni di denaro dall Italia all estero. L offerta di lavoro era del tutto estranea ai parametri legali e fiscali italiani e prometteva guadagni immediati a fronte di un minimo impegno. La qualificazione della condotta dei financial managers come ricettazione o riciclaggio non incide soltanto sulla corretta delimitazione giuridica del reato, ma produce una serie di effetti anche sulla competenza per territorio.

14 La ricettazione è un reato che si consuma nel luogo e nel tempo in cui il denaro o la res di provenienza delittuosa è acquistata o ricevuta dall autore del reato. Nei casi di phishing essa deve quindi individuarsi nella filiale dell istituto di credito ovvero nell ufficio postale presso cui sono stati accesi i conti correnti dei financial managers sui quali sono stati accreditate le somme bonificate mediante l accesso fraudolento ai servizi di conto corrente on line. Tali filiali sono il luogo in cui risultano accreditate le somme e in cui il correntista ha la disponibilità del denaro. Del resto, la ricettazione è un delitto istantaneo ad effetti permanenti, quindi il fatto che in un momento successivo all accredito il correntista possa prelevare o disporre del denaro in qualsiasi luogo si trovi, non altera il luogo del commesso reato. Quanto al delitto di riciclaggio, esso è in rapporto di specialità con quello di ricettazione perché si compone della stessa condotta di acquisto o ricezione di denaro o altra utilità, arricchita del compimento di attività dirette a ostacolarne l identificazione dell origine delittuosa, con l ulteriore elemento del dolo (specifico nella ricettazione e generico nel riciclaggio). Il delitto si consuma quindi nel tempo e nel luogo in cui si sono compiute le ricordate attività. In particolare, gli accordi stipulati tra le società estere e i financial managers prevedono che questi ultimi prelevino le somme accreditate sui loro conti correnti per poi trasferirle tramite sistemi di money transfer. La competenza per territorio dovrebbe quindi essere individuata nel luogo di accredito della somma e del successivo trasferimento. 3. I profili problematici. Questa è la ricostruzione offerta del fenomeno phishing, e del peculiare ruolo cui, rispetto a tale fenomenologia, adempiono phishers e financial managers. Ricostruzione che è sostanzialmente predominante in dottrina e pacifica in giurisprudenza.

15 E conseguentemente, il momento consumativo, la competenza per territorio, la qualificazione dei fatti contestati, sono stati risolti sulla base di tale architettura. La prassi applicativa ha, in altri termini, evidenziato come al di là degli eventuali reati che con essa concorrono la truffa costituisce il nucleo essenziale di tale fenomeno, mentre ai cosiddetti financial managers viene assegnato il ruolo di riciclatori/ricettatori, salvo per l ipotesi in cui fossero perfettamente consapevoli della truffa (rectius: del reato presupposto). Non che tale ricostruzione non presenti problemi applicativi. Così, ad esempio, proprio la sentenza GIP Milano del 15 ottobre 2008 ha dovuto risolvere le questioni relative alla competenza per territorio, rispetto ad un procedimento che vedeva diverse decine di imputati che altro non erano che financial managers, cioè soggetti che avevano posto in essere una serie di condotte ostacolo al fine di non consentire di risalire al delitto di truffa viceversa contestato alle stralciate posizioni dei phishers (rimasti peraltro ignoti). Ebbene: - se tali imputati non rispondono di concorso in truffa ma di riciclaggio/ricettazione, occorre guardare al luogo in cui si è consumato tale reato per determinare la competenza per territorio; - tuttavia, poiché i vari financial manager non hanno alcun rapporto fra loro, né di conoscenza, né di previo accordo, né di associazione, la connessione non può essere invocata per determinare una competenza unitaria pur a fronte del medesimo attacco di phishing; - infatti la competenza per territorio determinata dalla connessione ex art. 16 c.p.p. abbisogna pur sempre, per l appunto, di una connessione ex art. 12 c.p.p., ma non può individuarsi alcuna

16 connessione tra i reati di riciclaggio e/o ricettazione, nonché tra questi ed i reati presupposto commessi dai phishers (così Tribunale di Milano, ufficio GIP, 15 ottobre 2008). Non vi è di regola alcun riciclaggio né alcuna ricettazione che siano stati eseguiti da più persone in concorso fra loro. Né vi sarebbe, secondo il GIP, a fronte della predetta ricostruzione, alcuna possibilità di individuare un unico evento determinato da più persone con condotte indipendenti. Ritiene infatti la sentenza citata che non possa considerarsi evento né il fenomeno phishing in senso lato, né l arricchimento o la percezione del profitto da parte dei phishers. Quindi non ricorrerebbe alcuno dei criteri di cui all art. 12, comma 1, lett. a, c.p.p. Né ricorrerebbe il criterio teleologico di cui all art. 12, comma 1, lett. c, c.p.p. ( se dei reati per cui si procede, gli uni sono stati commessi per eseguire o per occultare gli altri ), giacché la giurisprudenza sebbene non univocamente ritiene necessario che gli autori dei reati commessi per eseguire od occultare altri reati siano anche gli autori, o i concorrenti, dei reati che si tratta appunto di eseguire o occultare. Per di più, ove anche operasse il criterio teleologico di connessione, la competenza andrebbe comunque individuata facendo riferimento al reato più grave, e cioè ovviamente al riciclaggio o alla ricettazione (assai più gravi di tutte le altre ipotesi che possono sole o fra loro combinate essere applicate alle condotte dei phishers). Pertanto, ha concluso il GIP di Milano, ciascuno dei delitti contestati ai financial managers appartiene alla competenza territoriale del Tribunale nel cui circondario sono state ricevute e/o trasferite dagli imputati le somme fraudolentemente bonificate da terzi e quindi provento di delitto. Con la conseguenza che ogni indagine di phishing non potrà mai essere portata unitariamente a processo, ma si spezzetterà in decine di rivoli (come infatti è successo alla più importante indagine milanese).

17 Ma siamo davvero sicuri che tale sia l imprescindibile approdo? 4. Il financial manager come concorrente nella truffa. I phishers, soggetti ovviamente centrali rispetto al fenomeno di cui stiamo discutendo, in questi anni sono stati veri e propri convitati di pietra nei procedimenti di phishing, agendo normalmente da Paesi dell Est Europeo e rimanendo sullo sfondo di processi celebrati nei confronti di soggetti del tutto secondari rispetto al fenomeno, ma paradossalmente accusati dei più gravi reati di riciclaggio e ricettazione. Sebbene eventualmente accompagnato da ulteriori ipotesi di reato, il delitto di truffa rimane, secondo la dottrina e la giurisprudenza, quello che meglio descrive il fenomeno phishing, una forma evoluta e complessa di truffa, come l ha definita il Tribunale di Milano, Ufficio GIP, 15 ottobre La truffa è quindi il reato che caratterizza la condotta dei phishers, mentre sarebbero addebitati riciclaggio o ricettazione a coloro che, mettendo a disposizione i propri conti correnti, prelevando poi il denaro contante previa trattenuta di una provvigione, che potremmo tranquillamente chiamare prezzo del reato lo trasferiscono all estero al fine di renderlo disponibile per i phishers, direttamente o indirettamente. Ma il riciclaggio, così come la ricettazione, richiedono che il cosiddetto reato presupposto, e cioè il reato da cui devono provenire denaro o altra utilità che il soggetto deve acquistare, ricevere o occultare (ricettazione) ovvero da cui devono provenire denaro, beni o altra utilità che occorre sostituire o trasferire in modo da ostacolare l identificazione della loro provenienza (riciclaggio) siano già consumati. In altri termini: si ricicla o si ricetta solo dopo la consumazione del reato principale/presupposto.

18 E quando si consumerebbe la truffa come reato presupposto? Dobbiamo porre attenzione, quando ci sforziamo di qualificare giuridicamente un fatto, a non perdere di vista la realtà: dobbiamo forse ritenere che la truffa si consumi con l acquisizione dei dati personali riservati che consentono di accedere a servizi bancari on line? Questo è sicuramente uno degli effetti dell induzione in errore, ma la truffa esige il conseguimento del profitto ingiusto. E quando il phisher consegue l ingiusto profitto, se non nel momento in cui il denaro gli viene trasmesso dal financial manager, e cioè dal cosiddetto riciclatore o ricettatore? Come può essere accusato di riciclaggio o di ricettazione colui che pone in essere una condotta imprescindibile per il buon esito del phishing come fenomeno, ma anche per la consumazione della truffa quale reato che meglio descrive il nucleo centrale di tale fenomeno? Se non vi fosse trasferimento del denaro da parte del financial manager, come potrebbe mai realizzarsi l ingiusto profitto della truffa? Vero è che abitualmente nella truffa danno altrui e ingiusto profitto in capo all agente sono contestuali, ma ciò non è affatto necessario, potendo gli stessi verificarsi in luoghi e momenti diversi, come affermato più volte dalla giurisprudenza di legittimità. Orbene, perché non ritenere che, nel phishing, o meglio nella truffa che caratterizza il nucleo fondamentale di tale illecito, il danno in capo ai correntisti truffati (che si perfeziona al momento della disposizione fraudolenta, e quindi della fuoriuscita del denaro dal conto corrente) non sia contestuale affatto all ingiusto profitto dei phishers (che si perfeziona nel momento in cui ricevono il denaro dai financial manager)? D altro canto, appare davvero strano il criterio individuato dalla giurisprudenza al fine di qualificare i financial managers come concorrenti piuttosto che come riciclatori o ricettatori: ove ignari del

19 complesso disegno criminoso dovrebbero rispondere per riciclaggio o ricettazione, mentre risponderebbero di concorso in truffa solo se ne avessero il correlativo dolo. Forse che non occorre avere consapevolezza della provenienza illecita della cosa per rispondere dei reati di cui agli artt. 648 e 648 bis c.p.? 8 E 8 Quanto al dolo richiesto per l integrazione del delitto di ricettazione, occorre sottolineare che la ricettazione richiede la scienza, certa e sicura, della provenienza delittuosa della cosa (Cass., 7 dicembre 1983, Savoca). La giurisprudenza costante precisa il grado di consapevolezza che deve avere l agente: deve esserci la certezza della provenienza delittuosa della cosa (Cass., 4 giugno 1997, Finocchi; analogamente: Cass., 22 maggio 1990, Favero; Cass., 24 gennaio 1990, Corsi; Cass., 18 novembre 1987, Sapia; Cass., 14 maggio 1984, Esposito; Cass., 10 maggio 1984, Corradi; Cass., 18 marzo 1983, Buondonno; Cass., 2 febbraio 1983, Salerno). Non basta, dunque, che l agente abbia il dubbio che la res possa provenire da delitto, ma occorre la sua piena consapevolezza. Si consideri inoltre che l art. 648 c.p. richiede, per la sussistenza del reato, il dolo specifico consistente nella finalità di procurare a sé o ad altri un profitto. Proprio il diverso atteggiarsi del dolo specifico costituisce l elemento differenziale tra il concorso nel reato-presupposto, la ricettazione ed il favoreggiamento reale. In particolare, come è stato evidenziato dalla giurisprudenza, per la configurabilità del reato di favoreggiamento reale è necessario che l aiuto venga prestato nell interesse esclusivo dell autore del reato principale; se esso venga, invece, prestato o anche solo offerto a scopo di profitto dell agente medesimo e prima o durante la commissione del reato principale, ricorre l ipotesi di concorso nel reato stesso; sussiste, invece, il delitto di ricettazione qualora, successivamente alla commissione di quel reato, l agente occulti o comunque riceva, per profitto proprio o di persona diversa dall autore del reato presupposto, cose che ne costituiscono il provento (Cass., 21 marzo 1987, Catuogno). In altri termini, se il soggetto si adopera (anche ponendo in essere comportamenti oggettivamente riconducibili nella ricettazione) al fine di far procurare un profitto esattamente agli autori del reato presupposto, e non ad altre persone o a se medesimo, la sua condotta integra gli estremi del favoreggiamento reale e non della ricettazione. Quello sopra esposto, si badi bene, è un principio accolto da giurisprudenza costante (si vedano, ad es.: Cass., 21 febbraio 1994, Corrias; Cass., 6 giugno 1990, Di Salvo; Cass., 13 aprile 1988, Mereu; Cass., 1 luglio 1985, Papa; Cass., 13 giugno 1985, Valla; Cass., 26 febbraio 1985, Sanità; Cass., 22 novembre 1984, Cavallaro; Cass., 7 giugno 1984, Tomassetti; Cass., 21 febbraio 1984, Parnoccia; Cass., 24 maggio 1983, Allegri; Cass., 29 giugno 1983, Orlandi; Cass., 8 luglio 1983, Riello; Cass., 19 dicembre 1981, Rada). Concorde, sul punto, è anche la dottrina pressoché unanime (si vedano, ad es.: MANZINI, Trattato di diritto penale italiano, Torino, V, pag. 1000; C. CANTARANO, I delitti contro l attività giudiziaria nella giurisprudenza, Cedam, pag. 349; PADOVANI, voce Favoreggiamento, in Enc. Giur. Treccani, 1989, IVX, pag. 1; P. PISA, voce Favoreggiamento personale e reale, in Dig. d. pen., Utet, 1991, V, pag. 173). Peraltro, è bene precisarlo, anche per il favoreggiamento reale rimarrebbero valide le osservazioni critiche sopra riferite con particolare riferimento alla consapevolezza dell agente circa la provenienza delittuosa delle somme transitate sui conti correnti. Quanto al dolo che caratterizza il delitto di riciclaggio, la giurisprudenza ha costantemente affermato come si debba focalizzare l attenzione sul significato dell espressione in modo da ostacolare l identificazione della loro cioè dei beni oggetto di riciclaggio provenienza delittuosa. Innanzitutto occorre chiarire che tale requisito deve sussistere non solo in relazione alle altre operazioni, ma anche alle attività di sostituzione o trasferimento indicate dall art. 648 bis c.p. (ZANCHETTI, Riciclaggio,

20 come valutare la serena invocazione della categoria del dolo eventuale al fine di sorreggere un imputazione di riciclaggio o di ricettazione (che per di più esige il dolo specifico ), mentre tale categoria assai meglio si attaglierebbe all ipotesi di concorso nella truffa? 5. Conclusioni. Qualificare i financial managers come concorrenti nella truffa avrebbe significativi effetti sulla prassi applicativa, con riguardo ad una serie di aspetti assai delicati. in Dig. d. pen., Utet, 1992, pagg. 202 e ss.; AMATO, Le recenti modifiche normative nella lotta al riciclaggio dei profitti delle attività illecite, in Cass. pen., 1995, pag. 1409). Ciò è evidente, se si considera che l ostacolo all identificazione della provenienza delittuosa dei beni costituisce proprio l essenza del reato de quo, e tra l altro rappresenta l elemento di differenziazione dell art. 648 bis c.p. rispetto alla tradizionale fattispecie di ricettazione (Cass., 1 ottobre 1996, Pagano). Ciò premesso, secondo un primo orientamento (v. FIANDACA-MUSCO, Diritto penale, parte speciale, vol. II, pag. 240) il requisito suddetto dovrebbe essere accertato esclusivamente nella volontà dell agente; la norma richiederebbe, in altri termini, un dolo specifico implicito consistente nella specifica volontà dell agente di occultare l origine delittuosa di determinati beni. Un altro orientamento (v. Cass. 1 ottobre 1996, Pagano) ritiene che si tratti di una fattispecie di pericolo concreto, la cui sussistenza dipenderebbe dall accertamento in ordine alla concreta idoneità dell azione a cagionare il predetto ostacolo. Ad ogni modo, quale che sia il valore da attribuire alla locuzione fine di occultamento (costituisca detto fine lo specifico oggetto di un dolo specifico che sarebbe richiesto implicitamente dall art. 648 bis c.p., ovvero il semplice portato della normale applicazione del dolo generico, il quale deve in ogni caso coprire tutti gli elementi del reato, ivi compreso, dunque, nella fattispecie concreta, l ostacolo all attività di accertamento della provenienza delittuosa del bene, che individua proprio l elemento caratteristico della condotta di riciclaggio), rimane comunque la necessità che l agente non solo abbia la consapevolezza della provenienza delittuosa dei beni ma voglia anche, con la propria azione, occultare tale provenienza. Appare peraltro opportuno precisare che la giurisprudenza ha più volte evidenziato anche in relazione al riciclaggio la necessità della scienza dell agente in ordine alla provenienza dei beni da determinati delitti, scienza che sussiste quando gli indizi siano così gravi ed univoci da autorizzare la logica conclusione della certezza che i beni ricevuti per la sostituzione siano di provenienza delittuosa (Cass., 25 agosto 1995, sent. n. 9090, Prudente). Tale giurisprudenza, dunque, esclude il dolo eventuale circa la provenienza delittuosa del bene. D altra parte, come correttamente argomentato in dottrina, se in caso di ricezione di beni di sospetta provenienza criminosa (in caso, cioè, di dubbio sul presupposto del reato) si può configurare solo la contravvenzione di incauto acquisto (art. 712 c.p.) e non il più grave delitto di ricettazione, ciò vale, a fortiori, per il riciclaggio (ZANCHETTI, Riciclaggio, in Dig. d. pen., Utet, 1992, 212). Il dolo di riciclaggio, dunque, richiede la piena e certa consapevolezza della provenienza illecita del bene e la consapevolezza e la volontà di mascherare tale provenienza.

21 Innanzitutto ciò inciderebbe sulla determinazione della consumazione del reato, giacché la truffa si consumerebbe nel luogo in cui si verifica l arricchimento dei phishers (ovvero nel luogo in cui il denaro viene trasmesso), incardinando la giurisdizione del giudice italiano mediante le regole generali di cui agli artt. 8, 9 e 10 c.p.p. (quanto meno perché una parte dell azione o dell omissione sarebbe avvenuta nel territorio dello Stato). Ne deriva ovviamente che andrebbe risolta diversamente la questione della competenza per territorio, anche perché risulterebbero integrati i criteri di cui all art. 12, comma 1, lett. a (prima e seconda parte), c.p.p., determinativi ex art. 16 c.p.p. della competenza per territorio determinata dalla connessione. In altri termini: ciò consentirebbe di celebrare un unico procedimento a carico di tutti i soggetti avvinti da un indagine su un phishing come fenomeno complesso, e cioè su tutte le condotte collegate agli attacchi di phishing da cui quella indagine prende le mosse. Si tratta in ogni caso di considerazioni che sono oggetto di discussione, sebbene è bene precisare ancora una volta a fronte di una giurisprudenza che è di segno contrario. Certo è che per ora la prassi applicativa evidenzia un dato allarmante. A fronte di attacchi massicci e periodici a far data dal marzo 2005, fino ad oggi i soggetti che sono caduti sistematicamente nelle maglie della giustizia sono i cosiddetti financial managers, e cioè l ultimo anello di una catena ben più lunga e articolata, rispetto alla quale l identificazione dei phishers, e soprattutto la loro condanna, appare piuttosto una chimera. D altro canto tale fenomeno, per le caratteristiche che gli sono proprie, e per l ambiente nel quale può svilupparsi, cioè il mondo dell internet, si appalesa sempre più come un complesso fenomeno criminoso nel quale l offesa a carico dei risparmiatori truffati (e degli Istituti di Credito) è

22 evidente, mentre il suo autore mantiene caratteristiche di avvilente impalpabilità.