Roberto Antonio Catanzariti

Sentenza giudiziaria

Ricettazione e commercio di prodotti contraffatti: assoluzione piena per difetto dell’elemento soggettivo Il caso del noleggio di borse di lusso e i limiti della responsabilità penale nell’economia digitale In sintesi Il Tribunale di Macerata ha assolto un’imprenditrice operante nel settore del noleggio di beni di lusso dalle accuse di ricettazione e commercio di prodotti contraffatti, affermando l’insussistenza del reato per difetto dell’elemento soggettivo. La vicenda: tra economia digitale e sospetto di contraffazione Il caso si inserisce nel contesto, sempre più attuale, della circolazione di beni di lusso attraverso piattaforme digitali e modelli di business innovativi, come il noleggio di accessori griffati. All’imprenditrice veniva contestata la commercializzazione di borse apparentemente contraffatte, con accuse riconducibili agli artt. 648 c.p. (ricettazione) e 474 c.p. (commercio di prodotti con segni falsi), a seguito di una segnalazione di una cliente e del successivo intervento della Guardia di Finanza. Il procedimento si è sviluppato in un clima mediaticamente rilevante, anche per l’attenzione ricevuta da trasmissioni televisive, ma si è poi risolto – sul piano giudiziario – in senso diametralmente opposto rispetto all’impostazione accusatoria. Il nodo giuridico: la prova dell’elemento soggettivo Il cuore della decisione risiede nella rigorosa verifica dell’elemento soggettivo del reato, che costituisce il vero discrimine tra responsabilità penale e condotta lecita. Il Tribunale ha ritenuto non provato che l’imputata fosse consapevole della eventuale falsità di alcuni articoli, valorizzando una serie di elementi decisivi: la presenza di documentazione di acquisto tracciabile, effettuata presso canali commerciali apparentemente legittimi; il prezzo congruo rispetto al mercato del lusso, incompatibile con operazioni tipicamente fraudolente; l’assenza di elementi univoci idonei a dimostrare una consapevole immissione in commercio di beni contraffatti; la inadeguatezza tecnica degli accertamenti, basati anche su valutazioni fotografiche non assistite da perizie dirette sui beni. Ne deriva un principio di fondamentale rilievo: nei reati di ricettazione e commercio di prodotti contraffatti, la responsabilità penale non può fondarsi su mere presunzioni oggettive, ma richiede la prova concreta della consapevolezza o della colpevole accettazione del rischio da parte dell’agente. Il limite dell’accertamento tecnico e il rischio di responsabilità oggettiva La decisione assume particolare valore anche per il metodo di valutazione della prova. Il Tribunale ha implicitamente escluso che la mera falsità del bene – ove accertata – possa automaticamente tradursi in responsabilità penale, evidenziando il rischio di derive verso forme surrettizie di responsabilità oggettiva, incompatibili con i principi costituzionali. La verifica dell’autenticità dei prodotti, infatti, non può prescindere da: accertamenti tecnici rigorosi e diretti; analisi peritali complete; confronto con standard certificativi delle case produttrici. In assenza di tali presupposti, il giudizio penale resta privo della necessaria solidità probatoria. Il principio di diritto: centralità della buona fede La sentenza afferma con chiarezza un principio di diritto di particolare rilevanza: la buona fede dell’operatore economico, quando supportata da elementi oggettivi quali documentazione d’acquisto, congruità del prezzo e assenza di segnali di anomalia, esclude la configurabilità dei reati di ricettazione e commercio di prodotti contraffatti. Si tratta di un approdo coerente con la giurisprudenza di legittimità, che richiede la dimostrazione di un atteggiamento psicologico qualificato, non surrogabile da dati meramente oggettivi. Assoluzione con formula piena: significato e portata La pronuncia si conclude con l’assoluzione “perché il fatto non costituisce reato”, formula che esprime una valutazione pienamente liberatoria, fondata sull’assenza degli elementi costitutivi della fattispecie incriminatrice. Non si tratta, dunque, di una mera insufficienza probatoria, ma di una vera e propria esclusione della rilevanza penale della condotta. Considerazioni sistemiche: impresa, diligenza e rischio penale La decisione assume rilievo anche in prospettiva più ampia, nel contesto dell’economia contemporanea. Nel settore della circolazione di beni di lusso – specie attraverso piattaforme digitali – il confine tra rischio imprenditoriale e responsabilità penale deve essere tracciato con particolare rigore. Il giudice afferma, in sostanza, che: l’imprenditore non è tenuto a una verifica assoluta e infallibile dell’autenticità del bene; è invece richiesto un livello di diligenza qualificata, proporzionato al contesto e alle modalità di acquisto; solo la consapevolezza o la colpa grave possono fondare la responsabilità penale. Conclusioni operative La pronuncia offre indicazioni di grande rilievo per la difesa nei procedimenti per contraffazione: valorizzare la tracciabilità degli acquisti; dimostrare la coerenza economica delle operazioni; contestare la debolezza degli accertamenti tecnici; escludere ogni elemento di consapevolezza o dolo eventuale. In un sistema sempre più attento alla repressione dei fenomeni contraffattivi, la decisione riafferma un principio essenziale: la tutela del mercato non può sacrificare il principio di colpevolezza, che resta il fondamento imprescindibile della responsabilità penale.

Pubblicazione legale

1. Inquadramento sistematico: dalla truffa tradizionale alla criminalità digitale L’evoluzione tecnologica ha inciso in modo profondo sulla morfologia delle condotte penalmente rilevanti, imponendo all’interprete un continuo sforzo di adattamento delle categorie tradizionali del diritto penale, spesso concepite in un contesto storico radicalmente diverso da quello attuale. In tale scenario, la truffa – tradizionalmente costruita attorno al paradigma dell’inganno interpersonale e alla centralità del rapporto diretto tra agente e vittima – ha conosciuto una significativa trasformazione funzionale, dando luogo a forme di aggressione patrimoniale tecnologicamente mediate , tra le quali il fenomeno del phishing assume un valore emblematico. Si tratta di condotte connotate da un elevato grado di sofisticazione tecnica, nelle quali l’inganno non si esaurisce più in una relazione immediata tra soggetti, ma si realizza attraverso la costruzione di ambienti digitali simulati , idonei a replicare contesti fiduciari (istituti di credito, fornitori di servizi, enti pubblici), inducendo il destinatario a compiere atti dispositivi patrimoniali sulla base di una falsa rappresentazione della realtà. Il dato qualificante di tale evoluzione risiede nello spostamento del baricentro dell’offesa : dall’interazione personale alla manipolazione di contesti informatici, nei quali l’affidamento del soggetto viene captato e sfruttato mediante strumenti tecnologici. Sul piano giuridico, la questione centrale attiene alla corretta qualificazione di tali condotte, che si collocano in una zona di confine tra due figure incriminatrici: la truffa ex art. 640 c.p. , fondata sull’induzione in errore della persona e sulla conseguente distorsione del processo volitivo; la frode informatica ex art. 640-ter c.p. , incentrata sull’alterazione del sistema e sulla produzione automatizzata dell’evento dannoso. La distinzione tra le due fattispecie, lungi dall’essere meramente teorica, assume rilievo decisivo sotto molteplici profili: nella ricostruzione della struttura del fatto tipico ; nel regime probatorio e nelle modalità di accertamento; nella definizione delle strategie difensive , specie nei procedimenti complessi in ambito economico-digitale. Ne deriva che l’inquadramento giuridico del phishing non può essere affrontato attraverso schemi rigidamente formalistici, ma richiede un’analisi sostanziale della dinamica offensiva, volta a individuare se il nucleo dell’illecito risieda nella manipolazione della volontà del soggetto ovvero nella compromissione del funzionamento del sistema informatico . 2. Il discrimine tra truffa e frode informatica: il ruolo decisivo dell’induzione in errore 2.1. La truffa ex art. 640 c.p. nel phishing “classico”: struttura della fattispecie e criteri applicativi La fattispecie incriminatrice di cui all’art. 640 c.p., nella sua costruzione tradizionale, si fonda su una sequenza causale ben definita, nella quale l’impiego di artifici o raggiri determina l’induzione in errore del soggetto passivo, provocando il compimento di un atto di disposizione patrimoniale da cui deriva un ingiusto profitto con correlativo danno. Tale struttura, lungi dall’essere superata dall’evoluzione tecnologica, si dimostra sorprendentemente resiliente anche nel contesto delle frodi informatiche, ed in particolare nelle ipotesi di phishing, nelle quali gli strumenti dell’inganno mutano, ma non la logica sottesa alla condotta. Gli artifici e raggiri, infatti, non si manifestano più attraverso una relazione interpersonale diretta, bensì mediante la costruzione di ambienti digitali artificiosamente credibili , idonei a replicare contesti fiduciari consolidati. Email o SMS apparentemente provenienti da istituti bancari, portali web perfettamente sovrapponibili agli originali, comunicazioni connotate da urgenza – quali segnalazioni di anomalie o blocchi del conto – costituiscono oggi le principali modalità attraverso cui l’agente induce la vittima in errore. Ciò che rileva, tuttavia, sotto il profilo della qualificazione giuridica, non è tanto il mezzo utilizzato, quanto il ruolo centrale della volontà del soggetto passivo . Nel phishing c.d. “classico”, infatti, l’agente non interviene direttamente sul sistema informatico, ma sollecita un comportamento attivo della vittima, la quale, ingannata, comunica le proprie credenziali di accesso, autorizza operazioni dispositive o consente l’ingresso nel proprio ambiente digitale. È dunque la persona offesa che, sebbene in presenza di una volontà viziata dall’inganno, pone in essere l’atto da cui deriva la lesione patrimoniale. La dinamica del reato si realizza, pertanto, attraverso una distorsione del processo decisionale della vittima , che continua a rappresentare il fulcro dell’offesa penalmente rilevante, anche in un contesto interamente digitalizzato. In questa prospettiva si colloca un orientamento ormai consolidato della giurisprudenza di legittimità, che ha ricondotto nell’alveo della truffa le condotte consistenti nell’invio di comunicazioni fraudolente finalizzate a carpire dati di accesso a sistemi bancari, allorché l’evento dannoso derivi da un atto dispositivo consapevole – ancorché viziato – del soggetto passivo (cfr. Cass. pen., Sez. II, n. 17748/2011 ; Cass. pen., Sez. II, n. 46674/2015 ). Ne consegue che il phishing tradizionale deve essere ricondotto, in via prevalente, alla fattispecie di cui all’art. 640 c.p., in quanto l’elemento qualificante dell’offesa non risiede nell’alterazione del sistema, bensì nella manipolazione della volontà del soggetto passivo , ottenuta mediante artifici idonei a generare una falsa rappresentazione della realtà. Particolare rilievo assume, in tale ambito, il tema della condotta della vittima. La Suprema Corte ha più volte precisato che una eventuale imprudenza o scarsa avvedutezza del correntista non è, di per sé, sufficiente ad escludere la configurabilità del reato. Il giudizio deve essere condotto secondo un parametro oggettivo, verificando se gli artifici utilizzati fossero idonei a trarre in inganno una persona di normale diligenza, tenuto conto del contesto concreto e del grado di sofisticazione della tecnica fraudolenta. In definitiva, anche nell’ambiente digitale, la truffa conserva intatta la propria struttura originaria: cambiano gli strumenti, ma non la logica dell’inganno, che continua a radicarsi nell’ interferenza illecita sul processo volitivo della vittima , confermando la perdurante attualità della fattispecie di cui all’art. 640 c.p. nell’era della criminalità informatica. 2.2. La frode informatica ex art. 640-ter c.p.: l’aggressione diretta al sistema e la neutralizzazione del momento volitivo umano. Diversamente dalla truffa tradizionale, la fattispecie di cui all’art. 640-ter c.p. si caratterizza per un profondo mutamento del meccanismo offensivo , nel quale l’inganno non è più rivolto alla persona, ma incide direttamente sul funzionamento del sistema informatico o telematico. La norma incriminatrice, infatti, presuppone una condotta che si sostanzia nell’alterazione – in qualsiasi modo – del sistema, ovvero in un intervento abusivo su dati, informazioni o programmi, da cui derivi un ingiusto profitto con altrui danno quale esito di una manipolazione tecnica. Ciò che rileva, in questa prospettiva, non è la formazione di una volontà viziata nel soggetto passivo, bensì la produzione automatizzata dell’evento dannoso , generato da un sistema il cui funzionamento è stato previamente compromesso. Il tratto distintivo della fattispecie risiede, dunque, nella sostituzione del momento volitivo umano con un meccanismo alterato “a monte”: il profitto illecito non discende da una scelta consapevole – seppur ingannata – della vittima, ma da un processo informatico manipolato, capace di produrre effetti economici in assenza, o indipendentemente, da un intervento cosciente del titolare. Il definitivo chiarimento dei rapporti tra truffa e frode informatica è stato offerto dalla giurisprudenza nomofilattica, in particolare dalla pronuncia delle Sezioni Unite della Corte di Cassazione: Cass. pen., Sez. Unite, n. 41210/2017 la quale ha individuato un criterio distintivo di natura strutturale, fondato sulla diversa genesi dell’evento dannoso: nella truffa esso è mediato dall’errore della persona offesa, mentre nella frode informatica è il risultato diretto dell’alterazione del sistema, senza intermediazione della volontà umana. Alla luce di tale impostazione, la frode informatica si configura tipicamente in tutte quelle ipotesi in cui l’agente agisce sul piano tecnico-operativo del sistema, ad esempio attraverso l’introduzione di software malevoli – quali malware, trojan o keylogger – capaci di operare autonomamente, oppure mediante forme di captazione occulta delle credenziali o di alterazione delle procedure automatizzate di pagamento, incidendo direttamente sugli esiti delle operazioni. In tali contesti, il sistema informatico assume un ruolo centrale nella dinamica del reato, configurandosi non soltanto come strumento, ma come luogo dell’aggressione , al punto che la lesione patrimoniale si realizza indipendentemente da qualsiasi processo decisionale della vittima. La dottrina più avvertita ha efficacemente sottolineato come, nella frode informatica, l’offesa si collochi su un piano qualitativamente diverso rispetto alla truffa: non viene infatti viziata la volontà del soggetto passivo, ma viene compromessa l’affidabilità del sistema informatico quale infrastruttura essenziale delle relazioni economiche. Il sistema, pertanto, non si limita a fungere da mezzo, ma diviene l’oggetto immediato della condotta manipolativa, con la conseguenza che l’evento dannoso si produce quale esito di un processo alterato “a monte”, e non di una scelta individuale “a valle”. Proprio tale caratteristica conferisce alla frode informatica un’elevata insidiosità, poiché riduce la percepibilità dell’attacco da parte della vittima, consente un elevato grado di automazione dell’illecito e rende possibile la realizzazione di condotte seriali su larga scala. Ne emerge, in definitiva, una fattispecie che segna il passaggio da un modello di criminalità fondato sull’inganno interpersonale a una forma di aggressione tecnologicamente mediata e strutturalmente disintermediata , nella quale il baricentro dell’offesa si sposta dalla persona al sistema. 2.3. Le zone grigie: modelli ibridi e concorso di reati L’esperienza applicativa dimostra come le moderne tecniche di attacco si collochino sempre più frequentemente in una zona intermedia tra truffa e frode informatica , dando luogo a modelli operativi ibridi nei quali l’inganno della vittima si intreccia con successive forme di manipolazione tecnica del sistema. Non è raro, infatti, che a una prima fase di captazione fraudolenta della fiducia del soggetto passivo – tipica del phishing tradizionale – segua un intervento automatizzato sui dati o sulle procedure informatiche, capace di incidere direttamente sull’esecuzione delle operazioni economiche. In tali ipotesi, la qualificazione giuridica non può essere affidata a schemi astratti, ma richiede una valutazione in concreto della dinamica causale della condotta , volta a individuare il momento effettivamente determinante nella produzione dell’evento dannoso. Quando la lesione patrimoniale si riconnette in via prevalente all’errore indotto nella vittima, che pone in essere l’atto dispositivo, la fattispecie deve essere ricondotta nell’alveo della truffa ex art. 640 c.p.; diversamente, qualora l’evento sia il risultato diretto di una alterazione del sistema informatico, che opera indipendentemente da una decisione consapevole del soggetto passivo, viene in rilievo la frode informatica di cui all’art. 640-ter c.p. La complessità delle condotte si riflette, peraltro, nella frequente configurabilità di un concorso di reati , atteso che le tecniche fraudolente impiegate incidono su una pluralità di beni giuridici. In tale prospettiva, accanto alle fattispecie principali, vengono spesso in rilievo ulteriori ipotesi incriminatrici, quali la sostituzione di persona ex art. 494 c.p., realizzata mediante la simulazione dell’identità di istituti bancari o soggetti qualificati, l’accesso abusivo a sistema informatico ex art. 615-ter c.p., nonché la detenzione e diffusione abusiva di codici di accesso di cui all’art. 615-quater c.p. Ne deriva un quadro nel quale la risposta penalistica deve necessariamente confrontarsi con la natura composita e multilivello delle condotte , richiedendo un inquadramento giuridico attento alla concreta articolazione dell’illecito e alle modalità effettive di produzione dell’evento dannoso. 3. Le criticità probatorie: la prova digitale tra volatilità e transnazionalità Sul piano processuale, le truffe informatiche pongono questioni di particolare complessità. 3.1. Identificazione dell’autore: anonimato tecnologico e limiti strutturali dell’accertamento penale La fase di individuazione dell’autore nei reati di frode informatica e phishing rappresenta, sul piano investigativo e processuale, il segmento più critico dell’intero iter accertativo. L’attuale ecosistema digitale consente, infatti, un elevato grado di anonimizzazione delle condotte , attraverso l’impiego combinato di: infrastrutture di rete schermate (VPN, proxy multilivello, sistemi di anonimizzazione avanzata); server localizzati in giurisdizioni estere o caratterizzate da regimi di cooperazione limitata; identità fittizie o interposte persone ( c.d. money mules ), utilizzate per la canalizzazione dei flussi finanziari illeciti. Tali elementi determinano una vera e propria frammentazione della scena criminis , che si articola su più livelli (tecnico, geografico e soggettivo), rendendo estremamente complessa la riconduzione unitaria della condotta a un determinato autore. In questo contesto, l’attività investigativa si fonda prevalentemente sull’acquisizione e sull’analisi della prova digitale , la cui natura immateriale impone metodologie di accertamento altamente specialistiche. In particolare, le indagini si sviluppano attraverso: l’analisi dei log di sistema , funzionali alla ricostruzione delle attività eseguite sui server e delle interazioni tra dispositivi; l’esame degli header delle comunicazioni elettroniche , idonei a tracciare il percorso tecnico dei messaggi e a individuare eventuali punti di origine o di transito; l’acquisizione dei dati di traffico telematico , rilevanti ai fini dell’associazione tra indirizzi IP, sessioni di accesso e dispositivi utilizzati; le richieste di collaborazione ai provider di servizi internet e di hosting , spesso collocati in ordinamenti stranieri. L’efficacia di tali strumenti è, tuttavia, condizionata da una pluralità di fattori, tra cui: i limiti temporali di conservazione dei dati ( data retention ); le differenze tra ordinamenti in materia di accesso ai dati; la possibile interposizione di ulteriori livelli di anonimizzazione. Sotto il profilo processuale, l’acquisizione della prova digitale deve avvenire nel rigoroso rispetto delle garanzie previste dal codice di rito, in particolare: mediante ispezioni e accertamenti tecnici ex art. 244 c.p.p.; attraverso sequestro probatorio di dispositivi e supporti informatici ex art. 253 c.p.p. Assume, in tale ambito, rilievo centrale il rispetto della c.d. catena di custodia della prova digitale , quale presidio indispensabile per garantirne: l’integrità; l’autenticità; la non alterazione nel tempo. La giurisprudenza di legittimità ha più volte evidenziato come eventuali criticità nella gestione della prova informatica possano incidere sulla sua attendibilità e, nei casi più gravi, sulla sua stessa utilizzabilità processuale. In definitiva, l’identificazione dell’autore nei reati informatici si colloca all’intersezione tra diritto penale, procedura penale e informatica forense, imponendo un approccio investigativo integrato e tempestivo. La difficoltà non risiede soltanto nella raccolta del dato, ma nella sua corretta interpretazione e valorizzazione probatoria , in un contesto in cui l’autore tende strutturalmente a dissolversi dietro la complessità tecnologica del mezzo utilizzato. 3.2. Volatilità della prova digitale e necessità di tempestiva cristallizzazione dell’evidenza Una delle principali criticità nei procedimenti per reati informatici è rappresentata dalla intrinseca volatilità della prova digitale , la quale, per sua natura, è esposta a rapida modificazione, sovrascrittura o cancellazione. A differenza della prova tradizionale, il dato informatico: non possiede una consistenza materiale stabile; è soggetto a continua riscrittura nei sistemi di memoria; può essere alterato – volontariamente o automaticamente – in tempi estremamente ridotti. Tale caratteristica impone un approccio investigativo improntato alla massima tempestività , poiché il ritardo nell’acquisizione può determinare una perdita irreversibile delle fonti di prova o una compromissione della loro attendibilità. In questa prospettiva, l’attività di indagine deve orientarsi verso una immediata cristallizzazione del dato digitale , attraverso: l’esecuzione tempestiva di sequestri probatori su dispositivi e infrastrutture informatiche; la duplicazione forense dei supporti mediante tecniche idonee a garantire la riproduzione integrale e non alterata dei dati ( bit-by-bit copy ); l’adozione di protocolli operativi conformi agli standard della digital forensics , finalizzati a preservare l’integrità dell’evidenza. L’utilizzo di metodologie forensi avanzate consente, infatti, di: acquisire i dati senza modificarne il contenuto originario; documentare ogni operazione compiuta sul reperto digitale; assicurare la tracciabilità dell’intero processo acquisitivo. In tale ambito, assume un ruolo centrale il rispetto della catena di custodia , quale sequenza documentata delle operazioni di raccolta, conservazione e analisi del dato, funzionale a garantirne: autenticità; integrità; immodificabilità. Sul piano operativo, risulta imprescindibile il coordinamento con organi investigativi dotati di specifiche competenze tecniche, quali la Polizia Postale e delle Comunicazioni , il cui intervento consente di coniugare esigenze di celerità con il rispetto delle garanzie processuali. La giurisprudenza di legittimità ha più volte evidenziato come la corretta acquisizione della prova digitale costituisca un passaggio essenziale ai fini della sua utilizzabilità, richiedendo il rispetto di metodologie tecniche idonee a escludere rischi di alterazione o contaminazione del dato. In definitiva, la gestione della prova informatica impone una logica operativa radicalmente diversa rispetto ai modelli tradizionali: non si tratta soltanto di reperire l’evidenza, ma di intervenire tempestivamente per impedirne la dispersione , assicurandone al contempo la piena affidabilità in sede processuale. 3.3. Competenza territoriale nei reati di phishing: criterio del locus damni e superamento della smaterializzazione dell’azione Il tema della competenza territoriale nei reati di phishing e, più in generale, nelle frodi informatiche, costituisce uno dei profili più complessi dell’accertamento penale, in ragione della natura dematerializzata e transnazionale della condotta . A differenza dei reati tradizionali, nei quali il luogo di consumazione è agevolmente individuabile, le condotte telematiche si sviluppano attraverso una pluralità di segmenti: il luogo di invio della comunicazione fraudolenta; il luogo di ricezione da parte della vittima; il luogo di allocazione dei server; il luogo di esecuzione dell’operazione dispositiva; il luogo di destinazione finale delle somme. Tale frammentazione della sequenza criminosa ha reso necessario un intervento chiarificatore della giurisprudenza di legittimità, che ha progressivamente individuato un criterio unificante fondato sul momento consumativo dell’evento di danno . In linea generale, la Corte di Cassazione ha affermato che: Cass. pen., Sez. II, n. 17325/2020 nei reati di truffa realizzati mediante strumenti informatici, la competenza territoriale si radica nel luogo in cui si verifica la effettiva diminuzione patrimoniale della vittima , ossia nel luogo in cui il soggetto passivo ha la disponibilità giuridica ed economica del conto corrente inciso dall’operazione fraudolenta. Il criterio del locus damni consente di: individuare un punto di riferimento certo all’interno di una condotta altrimenti “diffusa”; ancorare la competenza a un elemento sostanziale dell’offesa; evitare soluzioni frammentarie o arbitrarie legate a dati meramente tecnici (es. ubicazione dei server). In questa prospettiva, il momento consumativo del reato coincide con la definitiva perdita della disponibilità delle somme da parte della vittima , evento che si realizza nel luogo in cui il conto è radicato o gestito. Tale impostazione appare coerente con la struttura della truffa, nella quale l’evento tipico è rappresentato dal danno patrimoniale, e si dimostra particolarmente funzionale nei casi di phishing, ove: l’attività fraudolenta può originare in Stati diversi; i flussi finanziari transitano su circuiti internazionali; la vittima subisce l’effetto economico nel proprio contesto territoriale. La soluzione accolta dalla giurisprudenza consente, dunque, di ricondurre a unità la frammentazione spaziale della condotta , valorizzando il luogo in cui l’offesa si concretizza in termini effettivi. Resta, tuttavia, la possibilità – nei casi più complessi – di individuare criteri concorrenti o alternativi, specie in presenza di più eventi dannosi o di pluralità di soggetti offesi, con conseguente necessità di un’analisi puntuale del caso concreto. In definitiva, la nozione di competenza territoriale nei reati informatici si è progressivamente evoluta da un criterio formale ad uno sostanziale e funzionale , centrato sull’effettività del pregiudizio economico, in grado di offrire una risposta coerente alle sfide poste dalla criminalità digitale. 3.4. Dimensione internazionale delle frodi informatiche: cooperazione giudiziaria e limiti strutturali dell’azione repressiva La dimensione transnazionale costituisce una delle caratteristiche più rilevanti – e al contempo più critiche – delle moderne frodi informatiche. Nella prassi operativa, infatti, è frequente riscontrare una dissociazione geografica tra i diversi segmenti della condotta: l’autore materiale dell’attacco può operare da Paesi terzi; i server utilizzati per l’instradamento o la gestione dei dati possono essere collocati in ulteriori giurisdizioni; i flussi finanziari vengono convogliati attraverso conti esteri, spesso intestati a soggetti interposti. Tale frammentazione territoriale impone il necessario ricorso a strumenti di cooperazione giudiziaria internazionale , senza i quali l’attività investigativa risulterebbe, nella maggior parte dei casi, strutturalmente inefficace. Sul piano operativo, l’autorità giudiziaria può avvalersi di: rogatorie internazionali , finalizzate all’acquisizione di prove o all’esecuzione di atti istruttori all’estero; strumenti di cooperazione giudiziaria nell’ambito dell’Unione Europea, quali l’ Ordine Europeo di Indagine (OEI) , caratterizzato da maggiore snellezza procedurale; canali di cooperazione di polizia, anche tramite organismi sovranazionali (es. Europol), per lo scambio rapido di informazioni operative. Tuttavia, l’effettività di tali strumenti si confronta con limiti strutturali di non trascurabile rilievo. In primo luogo, i tempi della cooperazione internazionale risultano frequentemente incompatibili con la volatilità della prova digitale : i dati informatici, come già evidenziato, sono soggetti a conservazione limitata e possono essere cancellati prima che la richiesta di assistenza venga eseguita. In secondo luogo, permangono significative eterogeneità normative tra ordinamenti , sia in relazione: ai regimi di conservazione dei dati ( data retention ); alle condizioni di accesso da parte dell’autorità giudiziaria; ai livelli di tutela della riservatezza e dei diritti fondamentali. A ciò si aggiungono, in taluni contesti, resistenze o limitazioni derivanti da ordinamenti non pienamente cooperativi, che possono ostacolare o ritardare l’esecuzione delle richieste. Ne deriva che la dimensione internazionale delle frodi informatiche costituisce, allo stato, uno dei principali fattori di asimmetria tra capacità offensiva e capacità repressiva , con un evidente vantaggio operativo per l’autore del reato. In tale scenario, assume rilievo strategico: la tempestività dell’attivazione dei canali di cooperazione ; il coordinamento tra autorità giudiziaria e polizia giudiziaria specializzata; l’utilizzo di strumenti investigativi avanzati già nelle fasi iniziali dell’indagine. In definitiva, la lotta alle frodi informatiche su scala internazionale impone un approccio integrato e multilivello, nel quale il diritto penale interno si confronta con i limiti e le potenzialità della cooperazione sovranazionale, evidenziando come l’efficacia della risposta repressiva dipenda sempre più dalla capacità di operare oltre i confini statuali. 4. La responsabilità degli intermediari bancari: tra obblighi di protezione e colpa del cliente Nel quadro delle frodi informatiche e, segnatamente, delle condotte di phishing , il profilo della responsabilità degli intermediari bancari assume un rilievo strategico, ponendosi al crocevia tra tutela del risparmio, sicurezza dei sistemi di pagamento e allocazione del rischio nell’economia digitale. Il rapporto tra banca e cliente si inscrive, infatti, nell’alveo della responsabilità contrattuale , connotata da un’obbligazione complessa che non si esaurisce nella mera esecuzione delle operazioni, ma si estende alla protezione dell’integrità patrimoniale del correntista . In tale prospettiva, la giurisprudenza di legittimità è costante nell’affermare che sull’intermediario grava un obbligo di diligenza professionale qualificata , ai sensi dell’art. 1176, comma 2, c.c., che si traduce nell’adozione di tutte le misure tecniche e organizzative idonee a prevenire utilizzi fraudolenti degli strumenti di pagamento. Il contenuto di tale obbligo si è progressivamente ampliato, fino a ricomprendere: l’implementazione di sistemi di sicurezza evoluti (autenticazione a più fattori, monitoraggio delle operazioni anomale); la predisposizione di procedure di blocco tempestivo delle transazioni sospette; l’adozione di presidi informativi idonei a rendere il cliente consapevole dei rischi connessi all’utilizzo dei servizi digitali. La responsabilità dell’intermediario si atteggia, pertanto, secondo il paradigma della responsabilità per inadempimento , con conseguente applicazione del relativo regime probatorio: spetta alla banca dimostrare di aver adempiuto con la diligenza richiesta ovvero che l’evento dannoso sia dipeso da causa a sé non imputabile. Sul punto, la Corte di Cassazione ha recentemente ribadito principi di particolare rilievo: Cass. civ., n. 3780/2024 affermando che la diligenza dell’intermediario deve estendersi a tutte le operazioni rientranti nella propria sfera di controllo tecnico , sulla base di un criterio di prevedibilità ed evitabilità del rischio, con la conseguenza che l’esonero da responsabilità richiede la prova di un fattore estraneo non governabile. In tale contesto si innesta il delicato tema della condotta del cliente , spesso evocata quale fattore interruttivo del nesso causale. L’orientamento consolidato esclude che una mera imprudenza o disattenzione del correntista possa automaticamente esonerare la banca, richiedendosi, invece, la dimostrazione di una colpa grave , intesa come comportamento macroscopicamente negligente, eccentrico rispetto agli standard di ordinaria diligenza. Il quadro normativo è stato ulteriormente rafforzato dal recepimento della direttiva europea sui servizi di pagamento (PSD2), che ha introdotto un sistema di tutela particolarmente incisivo. Ai sensi della disciplina vigente: in caso di operazioni non autorizzate, il prestatore di servizi di pagamento è tenuto al rimborso immediato dell’importo; la responsabilità dell’utente è limitata ai soli casi di dolo o colpa grave; grava sull’intermediario l’onere di dimostrare che l’operazione sia stata autenticata, correttamente registrata e non affetta da malfunzionamenti. In questo assetto, il rischio delle frodi informatiche viene allocato prevalentemente in capo all’intermediario, in ragione della sua posizione professionale e della capacità tecnica di presidiare il sistema. Ulteriore conferma di tale indirizzo proviene dall’elaborazione dell’Arbitro Bancario Finanziario, le cui decisioni – pur prive di efficacia vincolante – delineano un orientamento ormai consolidato nel senso della tutela rafforzata del correntista , con riconoscimento del diritto al rimborso salvo ipotesi di negligenza particolarmente grave. In definitiva, la responsabilità degli intermediari bancari nelle frodi da phishing si configura quale ambito nel quale il diritto civile assume una funzione complementare rispetto a quello penale, offrendo alla vittima strumenti di tutela più rapidi ed effettivi. La disciplina vigente riflette una precisa scelta di politica del diritto: attribuire agli operatori professionali il compito di governare il rischio tecnologico, in un contesto in cui l’asimmetria informativa e tecnica tra banca e cliente rende quest’ultimo strutturalmente esposto. 4.1. Il principio di responsabilità contrattuale: onere della prova e standard di diligenza dell’intermediario La responsabilità dell’intermediario bancario nelle ipotesi di operazioni fraudolente, ed in particolare nei casi di phishing , si colloca nell’ambito della responsabilità contrattuale , con applicazione dei principi di cui agli artt. 1218 e 1176, comma 2, c.c. In tale prospettiva, la giurisprudenza di legittimità ha da tempo chiarito che l’istituto di credito, quale operatore professionale, è gravato da un obbligo di protezione particolarmente intenso, che si traduce nell’adozione di tutte le misure tecniche ed organizzative idonee a prevenire l’uso illecito degli strumenti di pagamento. Ne discende, sul piano del riparto degli oneri probatori, un principio ormai consolidato: grava sulla banca l’onere di dimostrare di aver adempiuto con la diligenza qualificata richiesta dalla natura dell’attività esercitata ; la responsabilità può essere esclusa soltanto in presenza di un fattore estraneo alla propria sfera di controllo, riconducibile al caso fortuito o alla colpa grave del cliente . Il fulcro del sistema è, dunque, rappresentato da una presunzione di responsabilità in capo all’intermediario , superabile solo mediante la prova rigorosa dell’inevitabilità dell’evento dannoso. In tal senso si colloca la recente pronuncia della Corte di Cassazione: Cass. civ., n. 3780/2024 la quale ha affermato un principio di particolare rilevanza sistematica, precisando che: la diligenza dell’intermediario deve estendersi a tutte le operazioni riconducibili alla propria sfera tecnico-organizzativa , secondo un parametro di elevata prevedibilità ed evitabilità del rischio. La Corte ha, inoltre, chiarito che la valutazione della condotta dell’istituto di credito non può essere limitata ad un controllo meramente formale delle operazioni, ma deve investire l’intero assetto dei presidi di sicurezza adottati, includendo: la capacità del sistema di rilevare anomalie operative; l’adeguatezza delle procedure di autenticazione; la tempestività degli interventi di blocco e segnalazione. In questo quadro, l’esonero da responsabilità richiede la dimostrazione che l’evento dannoso si sia verificato al di là delle possibilità di controllo esigibili , secondo uno standard professionale elevato e coerente con la natura dell’attività bancaria. Specularmente, la rilevanza della condotta del cliente assume carattere eccezionale: solo una colpa grave , intesa come comportamento macroscopicamente imprudente e radicalmente eccentrico rispetto agli ordinari canoni di diligenza, è idonea a interrompere il nesso causale e a escludere la responsabilità dell’intermediario. Ne emerge un modello di responsabilità che, coerentemente con la funzione di tutela del risparmio, attribuisce all’intermediario il ruolo di garante della sicurezza del sistema dei pagamenti , ponendo a suo carico il rischio delle frodi riconducibili alla sfera tecnica e organizzativa di competenza. 4.2. Il quadro normativo europeo: PSD2, autenticazione forte e allocazione del rischio nelle operazioni non autorizzate Il sistema di tutela del correntista nelle operazioni di pagamento elettronico è stato significativamente rafforzato dall’intervento del legislatore europeo mediante la seconda direttiva sui servizi di pagamento (c.d. PSD2), recepita nell’ordinamento italiano con il D.Lgs. n. 218/2017, che ha inciso in modo sostanziale sull’assetto delle responsabilità tra intermediario e utente. Il fulcro della riforma è rappresentato dall’introduzione di un modello normativo volto a innalzare gli standard di sicurezza dei sistemi di pagamento , attraverso l’imposizione di obblighi stringenti in capo ai prestatori di servizi. In particolare, la direttiva ha introdotto il principio della Strong Customer Authentication (SCA) , che richiede l’utilizzo di almeno due fattori di autenticazione tra loro indipendenti, riconducibili alle categorie: conoscenza (es. password o PIN); possesso (es. dispositivo fisico o token); inerenza (es. dati biometrici). Tale sistema mira a ridurre significativamente il rischio di accessi abusivi e operazioni fraudolente, imponendo agli intermediari l’adozione di presidi tecnologici avanzati e costantemente aggiornati. Parallelamente, il legislatore europeo ha delineato un regime di responsabilità fortemente orientato alla tutela dell’utente , fondato sul principio del rimborso pressoché automatico delle operazioni non autorizzate. Ai sensi dell’art. 8 del D.Lgs. 11/2010 – norma cardine in materia –: il prestatore di servizi di pagamento è tenuto a rimborsare senza indugio l’importo dell’operazione non autorizzata, ripristinando la situazione patrimoniale del cliente quale sarebbe stata in assenza dell’operazione stessa. La disposizione introduce un meccanismo di tutela particolarmente incisivo, che prescinde, in prima battuta, dall’accertamento della responsabilità, imponendo alla banca un obbligo di restituzione immediata. Il sistema si fonda, dunque, su una chiara inversione del rischio operativo , che viene allocato prevalentemente in capo all’intermediario, quale soggetto professionalmente attrezzato a gestire e prevenire le frodi. In tale contesto, la responsabilità dell’utente assume carattere residuale e limitato: essa può essere affermata esclusivamente nei casi in cui sia dimostrato che l’operazione non autorizzata sia riconducibile a: comportamento doloso del cliente; ovvero a una colpa grave , intesa come violazione macroscopica degli obblighi di custodia e utilizzo degli strumenti di pagamento. Grava, peraltro, sull’intermediario l’onere di provare: che l’operazione sia stata autenticata correttamente ; che sia stata registrata e contabilizzata senza anomalie ; che il sistema non presenti malfunzionamenti tecnici idonei a incidere sull’evento. In difetto di tale dimostrazione, il diritto al rimborso deve ritenersi pienamente operante. Ne deriva un assetto normativo nel quale la PSD2 non si limita a rafforzare i presidi tecnologici, ma incide profondamente sulla ripartizione del rischio giuridico , ponendo a carico degli intermediari l’onere di garantire un elevato livello di sicurezza e di sopportare le conseguenze delle eventuali vulnerabilità del sistema. In definitiva, la disciplina europea segna il passaggio da un modello fondato sulla responsabilità individuale del cliente ad un sistema di tutela incentrato sulla responsabilità organizzativa dell’intermediario , coerente con la crescente complessità tecnologica dei servizi di pagamento. 4.3. Il ruolo dell’Arbitro Bancario Finanziario: funzione para-giurisprudenziale e tutela effettiva del correntista Nel sistema di tutela del cliente vittima di frodi informatiche, un ruolo di crescente rilievo è assunto dall’ Arbitro Bancario Finanziario (ABF), organismo di risoluzione alternativa delle controversie istituito presso la Banca d’Italia, che si è progressivamente affermato quale sede privilegiata per la definizione rapida ed efficace delle controversie tra intermediari e utenti. L’elaborazione decisionale dell’ABF ha contribuito in modo significativo alla costruzione di un orientamento interpretativo ormai consolidato, caratterizzato da una marcata attenzione alla posizione del correntista , in linea con i principi di derivazione europea in materia di servizi di pagamento. In particolare, l’esperienza applicativa evidenzia due direttrici fondamentali: una tutela rafforzata dell’utente , quale soggetto strutturalmente esposto al rischio tecnologico; il riconoscimento del diritto al rimborso in caso di operazioni non autorizzate, salvo che emerga una condotta qualificabile in termini di colpa grave. L’ABF ha infatti chiarito, con orientamento costante, che la nozione di colpa grave del cliente deve essere interpretata in senso restrittivo, richiedendo un comportamento: macroscopicamente imprudente; radicalmente eccentrico rispetto agli standard di ordinaria diligenza; tale da porsi quale causa esclusiva dell’evento dannoso. Non è, pertanto, sufficiente una mera disattenzione o inesperienza nell’utilizzo degli strumenti digitali per escludere la responsabilità dell’intermediario, dovendo quest’ultimo dimostrare di aver adottato tutti i presidi tecnici idonei a prevenire la frode . Sotto il profilo sistematico, le decisioni dell’ABF – pur prive di efficacia vincolante in senso stretto – assumono una funzione di parametro interpretativo privilegiato , in quanto: esprimono un orientamento specialistico e uniforme in materia bancaria; anticipano spesso gli sviluppi della giurisprudenza ordinaria; offrono soluzioni concrete, rapide e accessibili rispetto al contenzioso giudiziario. Ne deriva che l’ABF si configura, nella prassi, come uno strumento di tutela particolarmente efficace, capace di coniugare: rapidità decisionale; riduzione dei costi per il cliente; elevato grado di prevedibilità degli esiti. In definitiva, il ricorso all’ABF rappresenta, nelle ipotesi di frodi da phishing , un passaggio strategico di primaria importanza, sia in funzione deflattiva del contenzioso, sia quale strumento di pressione nei confronti dell’intermediario, contribuendo a realizzare una tutela sostanziale ed effettiva del correntista nel contesto dell’economia digitale. 5. Considerazioni conclusive: la trasformazione del paradigma penalistico nell’economia digitale Il passaggio dalla truffa tradizionale alla frode informatica non si esaurisce in una mera evoluzione fenomenologica della condotta criminosa, ma segna un mutamento strutturale del paradigma penalistico , destinato a incidere profondamente sulle categorie classiche del diritto penale patrimoniale. L’aggressione al patrimonio, infatti, non si realizza più esclusivamente attraverso dinamiche interpersonali fondate sull’inganno diretto, ma si sviluppa in ambienti digitali nei quali: la condotta è dematerializzata e tecnologicamente mediata ; l’autore opera frequentemente in contesti transnazionali e difficilmente tracciabili ; la prova assume natura digitale, volatile e ad elevata complessità tecnica . In tale scenario, il diritto penale è chiamato a confrontarsi con una realtà in cui i tradizionali strumenti di accertamento e le categorie interpretative consolidate mostrano, talvolta, limiti strutturali. Ne deriva che l’efficacia della risposta ordinamentale non può prescindere da un approccio evolutivo e integrato, fondato su: una lettura dinamica delle fattispecie incriminatrici , capace di adattarne l’ambito applicativo alle nuove modalità di aggressione patrimoniale; un rafforzamento degli strumenti investigativi tecnologici , in grado di intercettare e preservare la prova digitale; una cooperazione giudiziaria internazionale effettiva , che consenta di superare le barriere territoriali della criminalità informatica; un assetto coerente di responsabilità degli intermediari , parametrato al livello di rischio tecnologico e alla posizione professionale rivestita. Per l’operatore del diritto – e, segnatamente, per chi opera nel diritto penale d’impresa – la materia si configura come un ambito ad altissima densità tecnica , nel quale la strategia difensiva non può più limitarsi alla dimensione strettamente giuridica, ma deve necessariamente integrarsi con: competenze avanzate di natura normativa e giurisprudenziale; capacità di comprensione dei meccanismi informatici sottesi alle condotte; una visione sistemica che coniughi profili penali, civilistici e regolatori. In questa prospettiva, la truffa informatica non rappresenta una semplice trasposizione digitale della truffa tradizionale, bensì una trasformazione del modello di aggressione patrimoniale , nella quale l’offesa si sposta progressivamente dalla volontà del soggetto alla vulnerabilità del sistema. Si impone, pertanto, un ripensamento delle categorie penalistiche classiche, orientato a cogliere le nuove forme dell’illecito economico e a garantire una tutela effettiva in un contesto sempre più dominato dalla dimensione tecnologica. 📎 Commento a cura dell’Avv. Roberto A. Catanzariti Legal Aid – Avvocati in Diritto Penale d’Impresa. © contenuto coperto da copyright.

Sentenza giudiziaria

La decisione del G.U.P. di Bolzano conferma con chiarezza il nuovo ruolo dell’udienza preliminare dopo la riforma Cartabia: non più passaggio formale, ma filtro sostanziale sull’accusa. Nel caso esaminato, relativo a ipotesi di corruzione, associazione per delinquere e responsabilità ex d.lgs. 231/2001, il giudice ha escluso il rinvio a giudizio ritenendo il quadro probatorio inidoneo a sostenere una ragionevole previsione di condanna . Il punto è netto: le intercettazioni, in assenza di riscontri tecnici e documentali, non bastano. I passaggi chiave Riqualificazione dei reati da art. 319 a art. 318 c.p. → conseguente prescrizione della maggior parte delle imputazioni Assoluzione degli enti → esclusa ogni responsabilità 231 per mancata prova della “colpa di organizzazione” Restituzione dei beni sequestrati → assenza dei presupposti per la confisca Il principio Il processo non può essere celebrato sulla base di un impianto indiziario fragile: senza prova concreta e verificabile, il giudizio si arresta già in udienza preliminare. Impatto pratico La pronuncia rafforza una linea difensiva chiara: nei reati economici complessi, una contestazione tecnica del quadro probatorio può condurre alla chiusura anticipata del procedimento, evitando il dibattimento.