Tag Archivio per: Sistema informatico

La sentenza del Tribunale di Palermo n. 2076 del 16.05.2022 ha trattato un’interessante caso di violazione dell’identità personale tramite la creazione di un profilo falso su un social network.

Con il termine identità personale si intende la rappresentazione di un individuo in relazione al contesto sociale in cui sviluppa la sua personalità; essa si correla ad un interesse del soggetto ad essere rappresentato, nella vita di relazione, con la sua vera identità, senza che venga travisato il proprio patrimonio intellettuale, ideologico, etico, religioso, professionale. L’identità digitale, diversamente, consiste nella rappresentazione di un individuo che viene identificato in colui che crea e/o usa il dataset in cui essa è memorizzata.

Chiarita la differenza tra i due tipi di identità possiamo ora trattare i punti salienti della recente pronuncia del Tribunale di Palermo che ha accertato la violazione di entrambe le due tipologie di identità nel medesimo caso.

La vicenda ha ad oggetto, nel lontano 2012, la scoperta da parte di una ragazza di un profilo Facebook astrattamente riconducibile al proprio fidanzato, recante la sua foto profilo nonché i suoi dati anagrafici personali. Tale scoperta provocò da subito tensioni e turbamenti nella coppia, tanto da far interrompere la relazione tra i due per un certo periodo di tempo. Al fine di cercare di recuperare il rapporto di coppia e allontanare da sé ogni sospetto fedifrago, il fidanzato decise di cancellare il proprio vero profilo presente sul social network e sporgere una denuncia-querela presso la Polizia Postale contro l’ignoto creatore dell’altro profilo nel quale erano presenti i suoi dati anagrafici oltre ad una sua foto.

La denuncia, tuttavia, venne archiviata.

La coppia superò i dissapori e si rinsaldò fino a quando, dopo circa tre anni dai fatti sopra riportati, emerse nuovamente che il profilo incriminato era ancora presente sul social network. Non solo, oltre alla permanenza dei dati anagrafici del ragazzo della coppia fece scalpore il fatto che la sua foto profilo era stata modificata con uno scatto più recente. Tale rinvenimento fece sollevare nuovamente i dissapori e nervosismi tra i due storici fidanzati, tanto da indurre il ragazzo a presentare un’ulteriore denuncia nel 2015.

La situazione precipitò quando, un anno dopo, questo signore venne ammonito da un collega di lavoro del fatto che da quel profilo Facebook, che continuava a recare i suoi dati anagrafici e una sua foto, provenissero insulti, ingiurie e diffamazioni verso un terzo soggetto. Quest’ultimo era molto adirato in quanto da questo falso profilo sarebbe stato ingiustamente accusato di avventure extraconiugali con un’altra donna, anch’essa vittima delle accuse di questi tradimenti. Il signore diffamato, pertanto, aveva intimato al presunto titolare del falso profilo di astenersi dal proseguire  oltre tale condotta diffamatoria al fine di non mettere a repentaglio la propria incolumità: inutile dire che ciò provocò ulteriore turbamento nella vittima.

Nel frattempo, tuttavia, le indagini che erano seguite alla seconda denuncia portarono a concentrarsi sulla comunità religiosa cui appartenevano il titolare dell’identità carpita, il signore diffamato nonché la madre di quest’ultimo. La polizia postale riuscì altresì a rintracciare l’indirizzo IP dal quale era stato creato e tramite il quale veniva utilizzato il profilo falso, in maniera tale da risalire all’utenza telefonica e al relativo intestatario, in quel caso una società. Le indagini portarono quindi a verificare eventuali collegamenti tra i membri della comunità religiosa e i dipendenti della società utilizzatrice dell’indirizzo IP che era emerso dalle indagini.

Tra i sospettati spiccò un donna, nuova amministratore di quella società, membro della Chiesa Evangelica, nonché ex-fidanzata del soggetto diffamato. Una volta interrogata la donna confessò di aver creato quel falso profilo per tentare di recuperare il rapporto con l’ex-fidanzato, il soggetto diffamato, nonché tra l’altro per ferire la di lui madre.

Alla donna venne quindi ascritto il reato di cui all’art. 167 D.Lgs. n. 196 del 2003, rubricato trattamento illecito di dati, perché al fine di trarne per sé o per altri profitto, aveva creato un profilo falso utilizzando i dati anagrafici e le immagini raffiguranti un altro soggetto senza aver ricevuto  da questi alcun consenso, abusando così del trattamento dei suoi dati personali. La donna fu altresì condannata al risarcimento dei danni, la cui quantificazione fu commisurata sulla base della diffusione del falso profilo, della posizione sociale del danneggiato, della rilevanza delle offese allo stesso attribuite, nonché dallo stato d’animo conseguente alle vicende sopra descritte.

Lo Studio Legale Pasi suggerisce di non sottovalutare mai queste situazioni in quanto non sempre è agevole risalire all’autore di queste condotte. E’ necessario procedere nel minor tempo possibile, facendosi assistere da personale competente in materia e utilizzando gli strumenti che sono messi a disposizione dal nostro ordinamento, in maniera tale da agevolare l’attività di indagine ed evitare potenziali ulteriori pregiudizi.

Per maggiori informazioni prenda contatto con lo Studio.

Il Tribunale di Firenze con la Sentenza del 24.05.2022 è tornato a parlare del c.d. smishing, ovverosia una truffa con cui terzi malintenzionati, sfruttando una falla del sistema informatico bancario, riescono ad appropriarsi delle credenziali di accesso del servizio di home banking dei clienti e disporre dei relativi fondi.

Nel caso esaminato, una cliente di un Istituto di credito aveva ricevuto un messaggio WhatsApp recante il logo della Banca, nel quale era stato richiesto di fornire le credenziali di accesso all’home banking per consentire un aggiornamento dell’applicazione mobile. Il contenuto del messaggio era stato inoltre confermato telefonicamente da un presunto dipendente della Banca. La Signora, convinta ingenuamente della provenienza ufficiale della richiesta, aveva così scaricato l’applicazione indicata nel messaggio ricevuto e, tramite l’accesso ad un link dell’applicazione, aveva altresì inserito i dati di accesso al proprio conto corrente. In quel modo i truffatori erano riusciti ed entrare in possesso delle credenziali e, contestualmente, effettuare la sottoscrizione di un nuovo contratto con il quale generare i codici OTP utili alla disposizione delle operazioni. Da quel momento, pertanto, le operazioni sarebbero state confermate virtualmente attraverso l’app mobile in possesso dei truffatori e non più mediante il token generato dalla chiavetta hardware ancora in possesso della cliente.

Ma vi è di più.

Il giorno successivo il cellulare della cliente ha cessato immediatamente di funzionare in conseguenza dell’avvenuta truffa. I malintenzionati, infatti, tramite un’operazione di SIM Swap, erano riusciti ad impossessarsi del numero di telefono della cliente. Tale operazione viene abitualmente richiesta dagli utenti di telefonia mobile quando si intende cambiare la propria SIM mantenendo lo stesso numero: la ragione più frequente consiste in un semplice cambio di formato di scheda in quanto non tutti i telefoni supportano la stessa dimensione delle schede SIM. Tramite le due operazioni combinate di smishing e SIM Swap, pertanto, i truffatori non solo erano riusciti a farsi consegnare dalla signora le credenziali per accedere all’home banking ma avevano altresì la possibilità di generare OTP virtuali nonché di ricevere i codici OTS dalla banca, indirizzati sul numero della cliente che ormai era stato trasferito su una SIM in loro possesso. Non è stato difficile, pertanto, in primo luogo alzare i massimali delle operazioni nonché, in seguito, effettuare molteplici bonifici senza la necessità di altre azioni da parte della danneggiata e soprattutto a sua totale insaputa.

Da tale quadro è emersa astrattamente una falla di sicurezza nel sistema bancario. Invero per il trasferimento del numero cellulare dalla SIM della signora ad un’altra in possesso dei truffatori, era stato sufficiente che un operatore in un centro autorizzato, distratto o connivente, avesse fatto lo swap della SIM in tempo reale, senza ulteriori controlli o interventi diretti dell’utente.

Tuttavia tale operazione non è sufficiente a costituire un presupposto di responsabilità da parte della Banca utile al risarcimento dei danni patiti dalla cliente. A tal proposito occorre analizzare diversi fattori

L’Istituto di credito, per aumentare la sicurezza per l’accesso alla propria piattaforma di home banking, richiedeva ai propri clienti una doppia autenticazione: l’identità dell’utente mediante una combinazione di credenziali, UserID e PIN, nonché un codice OTP inviato tramite messaggio SMS al numero di cellulare indicato in sede di sottoscrizione del contratto. Inoltre la Banca aveva assunto ogni opportuna misura di sicurezza per contrastare il fenomeno delle truffe online e i rischi di phishing/smishing, attraverso una costante e massiccia informativa della clientela, sia all’interno dei contratti sia sul proprio sito internet, ricordando di seguire sempre le indicazioni ufficiali fornite dall’Istituto e di diffidare di richieste sospette. Tutte queste informative, tra l’altro previste e imposte dalla normativa europea, hanno consentito alla Banca di rimanere esente da ogni responsabilità nonostante il perfezionamento della truffa.

A ben vedere, infatti, la truffa si è realizzata in quanto tutte le operazioni sopra descritte erano state autenticate e confermate correttamente grazie al corretto inserimento di tutte le credenziali e dei codici di verifica di tipo Otp e Ots in uso alla cliente: per questo motivo il sistema non era stato in grado di rilevare la fraudolenza dell’operazione e non ha bloccato alcun accesso. Nel caso di specie la condotta illecita è stata ricondotta ad esclusiva colpa della cliente, la quale ha attuato una serie di operazioni prodromiche e necessarie alla realizzazione della truffa. Invero, nonostante la ricezione di molteplici avvisi, ammonimenti e comunicazioni da parte della Banca finalizzati ad evitare che i clienti comunicassero a terzi i propri dati d’accesso, la vittima in questione aveva inserito le proprie credenziali all’interno di un’applicazione estranea alla Banca, consegnandole di fatto agli autori dell’operazione fraudolenta. Infatti, nel caso di specie, il solo furto della SIM non sarebbe stato da solo sufficiente a perfezionare la truffa.

In caso di malfunzionamenti anomali da parte dell’app del proprio Istituto di credito, nelle operazioni telematiche, oppure in caso di richieste telefoniche o tramite messaggi finalizzate a consegnare le proprie credenziali è necessario prendere immediatamente contatto con la propria Banca per le opportune segnalazioni. In seguito è sicuramente raccomandabile presentare una denuncia all’autorità giudiziaria al fine di accertare eventuali responsabilità penali.

Lo Studio Legale Pasi ha assistito molteplici vittime di truffe di questo genere e saprà suggerire la soluzione più rapida e maggiormente calzante per limitare l’insorgere di danni e salvaguardare i propri risparmi.

Per maggiori informazioni prenda contatto con lo Studio.

Il delitto di diffamazione si distingue dall’ingiuria per alcuni aspetti rilevanti. Quest’ultima è un’offesa alla reputazione, proferita con frasi o singole parole che minano l’onore e il decoro di un soggetto che si trova vis-à-vis con l’agente. La diffamazione, invece, rileva tutte le volte in cui l’agente, rivolgendosi ad almeno altri due soggetti, offende la reputazione di un individuo che non è presente in quel momento.

La condotta di questo delitto consiste in una sorta di “cassa di risonanza” dell’offesa, aggravata, tra l’altro, nell’ipotesi in cui il reato venga commesso attraverso un mezzo di diffusione come la stampa o un social-network. Su quest’ultimo aspetto, tra le tante decisioni in materia, si è pronunciata recentemente la Corte di Cassazione in relazione a Facebook con la sentenza n. 10762/2022.

Nella suddetta pronuncia viene ribadito l’orientamento giurisprudenziale dominante che ritiene configurato il reato di diffamazione nel momento in cui viene danneggiata, anche solo potenzialmente, la reputazione di una persona determinata, individuata o individuabile. Per tale motivo, anche se non vengono menzionati espressamente il nome e il cognome, la condotta si realizza se si può agevolmente risalire all’identità del destinatario dell’offesa.

Se ne deduce che la persona lesa può essere determinata anche dalla prospettazione oggettiva dell’insulto, nonché dal contesto in cui è inserita la diffamazione. Dunque, nel caso in cui non vi siano riferimenti inequivoci su fatti e circostanze di notoria conoscenza attribuibili ad un determinato soggetto, l’offesa deve essere tale da consentire l’individuazione del destinatario con affidabile certezza.

Nel caso analizzato da questa recente pronuncia l’offesa, oltre ad essere riferita ad un soggetto determinabile, era aggravata dall’aver utilizzato quale mezzo di diffusione rilevante la bacheca Facebook: invero, in tale modo si può raggiungere, anche solo potenzialmente, un numero indeterminato di persone o, perlomeno, un numero qualitativamente apprezzabile delle medesime.

La giurisprudenza al momento esclude la sussistenza del delitto di diffamazione quando l’agente proferisce affermazioni generiche, riferibili ad una categoria di persone, anche se sono limitate. Al contrario, è sicuramente configurato il reato quando l’agente lede l’operato o la figura di un soggetto determinato, determinabile, o identificabile, ancorché attraverso le circostanze narrate, oggettive e soggettive, oppure attraverso i riferimenti personali e temporali.

Ogni situazione è diversa dalle altre ed è sicuramente preferibile richiedere la consulenza di un Avvocato al fine di qualificare giuridicamente un determinato fatto, così da valutare preventivamente se ci si trovi in presenza o meno di un determinato reato.

Per maggiori informazioni prenda contatto con lo Studio.

Il reato previsto dall’art. 615 ter del codice penale mira a punire la condotta di chi si intromette abusivamente in un sistema informatizzato o telematico o che comunque si mantiene contro la volontà di chi ha diritto ad escluderlo.

La norma tende a perseguire la violazione del cosiddetto domicilio digitale del titolare. Per il legislatore i sistemi informatici rappresentano infatti “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615” del codice penale, concernenti i reati che puniscono la violazione di domicilio.

La norma in esame è stata introdotta nel lontano 1993 dalla legge. n. 547 ma, nonostante la naturale evoluzione della materia che si è verificata nell’ultimo trentennio, appare ancora generica e con definizioni frastagliate, poco utili infatti a individuare con facilità le ipotesi penalmente rilevanti. In particolare in passato sono sorti dubbi per quanto concerne la zona d’ombra relativa alla manifestazione di volontà del titolare di escludere chi si mantiene all’interno del proprio sistema telematico.

Sul punto tuttavia è pervenuta di recente una pronuncia della Corte di Cassazione, sentenza n. 26530/2021, che fornisce una chiave di lettura molto interessante e che permette di chiarire i dubbi sorti in passato. Nel dispositivo, invero, viene approfondita la tematica della responsabilità di un lavoratore dipendente, a prescindere dal fatto che si trovi inquadrato in ambito pubblico o privato, il quale seppur abilitato ad operare in un sistema informatico o telematico vi acceda o navighi per scopi estranei rispetto a quelli per i quali gli era stata fornita l’autorizzazione.

Come sopra anticipato la responsabilità viene a configurarsi quando l’individuo viola, consapevolmente, le condizioni ed i limiti apposti dal titolare del sistema al fine di delimitare l’accesso ad altri soggetti. In particolare la pronuncia stabilisce che la condotta penalmente rilevante emerge per il solo fatto che la ragione dell’accesso sia estranea a quella fornita inizialmente, indipendentemente dalla presenza o meno di ulteriori finalità che il reo intende, o avrebbe voluto, perseguire. Del delitto, inoltre, risponde altresì il soggetto che pone in essere operazioni di natura ontologicamente diverse da quelle per le quali gli era stato consentito l’accesso, siano esse lecite o illecite.

Più concretamente, nella commissione della condotta delittuosa, la violazione mirerà a sanzionare due interessi differenti a seconda del fatto che il dipendente che ha commesso il fatto sia pubblico o privato: nel primo caso il funzionario realizzerà infatti uno sviamento di potere, poiché ha perseguito un fine diverso da quello pubblico a lui attribuito; nel secondo caso il dipendente privato violerà il dovere di fedeltà verso il suo datore di lavoro.

In conclusione la condotta prevista e punita dall’art. 615 ter del codice penale si configura ovviamente nel caso di introduzione abusiva, ovverosia in caso di assenza di un consenso espresso o tacito da parte del titolare del sistema violato, nonché nel caso in cui il soggetto abilitato ad operare all’interno del sistema agisca per motivi differenti da quelli per i quali era stato autorizzato.

Per maggiori informazioni prenda contatto con lo Studio.

La normativa nel settore bancario è da sempre molto attenta agli interessi dei correntisti e, quando possibile, cerca di limitare al minimo i pregiudizi nei loro confronti.

Una di queste tutele specifiche disciplina il caso non poco frequente delle cosiddette truffe agli sportelli bancomat – ATM, evento sconosciuto dai clienti degli Istituti bancari fino a quando si trovano in prima persona ad esserne vittime.

La truffa in questione, in particolare, viene solitamente commessa durante l’operazione di prelevamento di somme di denaro presso gli sportelli bancomat: dopo la digitazione del codice PIN l’utente viene abilmente distratto e gli viene sottratta la carta bancomat, facendo credere che la stessa sia stata ripresa indietro dal terminale o sostituendola con una falsa, dopodiché vengono eseguite molteplici operazioni non autorizzate a danno del titolare della tessera. La banca Barclays da diversi anni ha posto particolare attenzione a questo fenomeno, dilagato anche nel Regno Unito, al punto da ritenere opportuno pubblicare sulla piattaforma YouTube un video sulle modalità in cui si perpetra questo reato, visionabile a questo link.

Non tutti sanno che gli Istituti bancari, nel caso in cui non venga provato che il cliente della Banca abbia agevolato con volontarietà o colpa grave il furto del codice PIN della propria tessera bancomat, sono tenuti a rimborsare gli importi illecitamente sottratti, fatta salva una minima franchigia a carico del cliente prevista dalla Legge.

Nonostante l’ordinario diniego al risarcimento da parte dell’Istituto bancario sarà quindi possibile recuperare le somme di denaro indebitamente sottratte oltre la soglia della franchigia.

Per maggiori informazioni prenda contatto con lo Studio.