24 apr 2008

PHISHING “MISTO”, ATTIVITA’ ABUSIVA DI MEDIAZIONE FINANZIARIA E PROFILI PENALI DELL’ATTIVITA’ DEL C.D. “FINANCIAL MANAGER”

Nota a Tribunale di Milano, 29 ottobre 2008 (Giudice: Luerti)

Osservazioni

1. Riferimenti normativi

La decisione che si annota giunge a breve distanza di tempo da una precedente sentenza del Tribunale di Milano su uno dei primi casi di “phishing” oggetto di condanna penale in Italia (si legge con il commento di Flor, Frodi identitarie e diritto penale, in questa rivista, 4, 2008, 184, e in http://www.penale.it, nonché Id., Realizzare furti di identità tramite tecniche di phishing integra più fattispecie penali e costituisce un "reato transnazionale", nota a Tribunale di Milano, sent. 10 dicembre 2007, n. 888, ivi).

Quella ora pubblicata va segnalata perché ha avuto ad oggetto, da un lato, l’affermazione della responsabilità penale anche per un reato associativo, a carico di coloro che, associandosi ed avvalendosi delle tecniche di phishing, hanno realizzato più furti di identità e truffe aggravate attraverso accessi abusivi a sistemi di home banking ai fini di utilizzare indebitamente carte di credito e di pagamento; dall’altro lato, per la natura transnazionale del reato ex art. 3, co. 1, lett. b, l. 16 marzo 2006, n. 146, dal momento che trattavasi di illeciti commessi in Italia ma aventi una parte sostanziale di pianificazione e preparazione all’estero.

Inoltre, la sentenza del Tribunale di Milano del 29 ottobre 2008 riguarda casi di “phishing misto”, ossia anche l’attività di mediazione finanziaria dei c.d. financial managers che, senza essere concorsi nel reato presupposto, nella consapevolezza della provenienza illecita o, comunque, accettandone il rischio, a seguito di richieste di collaborazione in Internet o pervenute tramite email o chat, hanno posto all’incasso e successivamente trasferito somme di denaro, tutte provenienti dai delitti previsti dagli artt. 110, 81, 494 (Sostituzione di persona), 640 (Truffa), 6l5 ter c.p. (Accesso abusivo a sistemi informatici o telematici).

In Italia è assente una disposizione specifica che consideri reato il fenomeno “phishing”, unitariamente inteso.

La dottrina italiana (si veda già Flor, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 e ss.) ha già considerato ciascuna fase in cui si manifesta il fenomeno, per verificare quali di queste possano avere rilevanza penale. Non vi è dubbio che l’attività dell’ “intermediario finanziario” sia riconducibile, sul piano metodologico, alla terza fase dell’attacco e, sul piano del diritto penale sostanziale, astrattamente rilevante ex artt. 648 e 648 bis c.p.

Nel caso di specie è stata prospettata anche l’applicazione del delitto di abusiva attività di mediazione finanziaria ex artt. 106 e 132 D. lgs. 1 settembre 1993, n. 385 (come modificato dal D.Lgs. 23 luglio 1996, n. 415 e dal D.Lgs. 4 agosto 1999, n. 342) a tutti gli imputati di riciclaggio (non di ricettazione), in concorso formale con il primo reato, che sarebbe integrato dalla condotta materiale dello stesso riciclaggio, qualificata ai fini della norma in esame come “attività di mediazione finanziaria” posta in essere “trasferendo (...) gli importi di cui ai precedenti capi”, in modo abusivo perché in assenza di regolare iscrizione presso gli elenchi obbligatori tenuti dall’UIC e previsti dall’art. 106 dello stesso decreto.

In realtà, le attività previste da questo ultimo, la cui definizione appare eccessivamente ampia e idonea comprendere ogni forma di intervento anche materiale nei servizi di pagamento, trovano migliore qualificazione dalla lettura congiunta del co. 2 del medesimo art. 106, che impone un contenuto finanziario ulteriore al mero passaggio di denaro.

In ogni caso, a parere del giudice, ragioni assorbenti militano per l’insussistenza del reato, ove si osservi che la norma prevede che tale attività, comunque qualificata, sia svolta “nei confronti del pubblico”, ossia rivolta a un numero potenzialmente illimitato di soggetti, o quanto meno si inserisca nel libero mercato, anche se costituito da una cerchia ristretta ma indeterminata di persone, e quindi sia necessariamente dotata di caratteri di professionalità ed organizzazione che la rendano idonea a intrattenere un numero indeterminato di rapporti. Tutti elementi che non sono presenti nel caso di specie, in cui gli imputati non hanno offerto servizi a un numero indeterminato di soggetti, ma eseguito singoli trasferimenti commissionati da un terzo e senza connessione tra loro.

2. Riferimenti giurisprudenziali

Sul fenomeno “phishing misto” vi è un precedente importante: Tribunale di Milano, 28 luglio 2006 (in Diritto dell’Internet, 2007, 62 e ss. con commento di Vaciago, Giordano), in cui il giudice di merito ha affrontato le problematiche relative all’applicazione dell’art. 648 bis c.p. e di singole fattispecie, verificando se taluni comportamenti criminosi potevano considerarsi reati presupposto del riciclaggio.

Con riferimento a questi ultimi ed al fenomeno unitariamente inteso, comprendente, quindi, anche il c.d. “phishing puro”, si veda il precednte già citato del Tribunale di Milano, 10 dicembre 2007, n. 888, in questa rivista 4, 2008, con nota di Flor, Realizzare furti di identità tramite tecniche di phishing integra più fattispecie penali e costituisce un “reato transnazionale”.

Con riferimento al fenomeno “Smishing”, si rinvia alla decisione del Tribunale di Milano 15 ottobre 2007 (in http://www.penale.it, con nota di Borsari, ivi. Si veda anche Perri, Lo smishing e il vishing, ovvero quando l'unico limite all'utilizzo criminale delle nuove tecnologie è la fantasia, in Diritto dell’Internet, 2008, 265 e ss.) In questo ultimo caso Tribunale ha ritenuto che la tecnica utilizzata dall’imputato fosse quella del phishing, cioè dell’acquisizione dei dati di utenti di un servizio di carta di credito, i quali volon­tariamente rispondono ad una richiesta telefonica di informazioni inviata a un notevole numero di persone, contattate grazie all’ac­quisizione dei loro recapiti, nel caso di specie per mezzo di programmi infor­matici che estrapolano i numeri dei telefoni cellulari da siti che raccolgono inserzioni private.

Per una recente sentenza di legittimità, pur se in sede di riesame, avente ad oggetto la partecipazione ad associazione a delinquere finalizzata alla consumazione di truffe operate nell’ambito del commercio elettronico operando sul sito “ebay” ed utilizzando carte “postepay” intestate a persone realmente esistenti, ma ignare dell’indebito utilizzo del loro nominativo, vedi Cassazione, sez. II pen., 19 febbraio 2009, n. 7425.

Per quanto attiene agli elementi costitutivi del reato di esercizio abusivo dell’attività di intermediario finanziario, si rinvia, fra i casi più recenti, a Tribunale di Milano, 16 aprile 2008, n. 4637, in Guida al diritto, 42, 102; nella giurisprudenza di legittimità cfr. Cassazione, sez. V pen., 6 febbraio 2007, n. 10189, in Riv. pen., 2007, 7-8, 749 e ss.; Cassazione, sez. II pen., 5 aprile 2006, n. 14005, in CED Cass. pen. 2006; Cassazione, sez. II pen., 14 dicembre 2003, n. 1628, in Cass. pen., 2006, 2, 654 e ss.

Con riferimento al delitto di esercizio abusivo della attività di intermediazione finanziaria (ex art. 166 D.Lgs. n. 58 del 1998), integra il reato l’attività di consulenza - prestata al fine di reperire un proficuo programma di investimento, accompagnata dal mandato del cliente - la quale non è prodromica all’esercizio dell’attività di intermediazione finanziaria, consentita solo ai soggetti debitamente autorizzati, ma ne è parte integrante e come tale è disciplinata (Cass., sez. V pen., 12 ottobre 2007, n. 37822; Cass., sez. V pen., 10 marzo 2004, m. 229191).

3. Riferimenti dottrinali

Sulle prospettive applicative del diritto penale positivo al fenomeno “phishing” si consenta di rinviare a: Flor, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 e ss.; Id., Realizzare furti di identità tramite tecniche di phishing integra più fattispecie penali e costituisce un "reato transnazionale", nota a Tribunale di Milano, 10 dicembre 2007, n. 888, in questa rivista, 4, 2008, nonché in commento a tale ultima sentenza Id., Frodi identitarie e diritto penale, ivi, 184 e ss., e in http://www.penale.it

Per ulteriori riferimenti empirici vedi, inoltre, Cajani, Costabile, Mazzaraco, Phishing e furto di identità digitale. Indagini informatiche e sicurezza bancaria, Milano, 2008 nonché, da ultimo, Cajani, Profili penali del phishing, in Cass. pen., 2007, 2294 e ss.

Si veda anche Perri, Lo smishing e il vishing, ovvero quando l'unico limite all'utilizzo criminale delle nuove tecnologie è la fantasia, in Diritto dell’Internet, 2008, 265 e ss.

Infine, anche con riferimento alla prospettiva comparatistica, si veda Flor, Identity-related fraud, identity theft e phishing: nuove forme di criminalità on line, in Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Quaderni per la riforma del codice penale, Padova, 2009 (in corso di pubblicazione) e Id., Identity related-fraud e diritto penale: un approcio comparatistico nella prospettiva di riforma dei trattati europei, in Picotti (ed.), Il diritto penale nella prospettiva di riforma dei trattati europei. Diritto penale europeo e protezione degli interessi finanziari dell'Unione Europea, 2009 (in corso di pubblicazione).

Sull’esercizio abusivo dell’attività di intermediario finanziario si veda: in generale sulle modifiche normative e sul sistema bancario, Pedrazzi, La nuova legge bancaria, (ed. a cura di Ferro Luzzi- Castaldi), III, Milano, 1998; Zanotti M., La tutela penale della vigilanza bancaria, in Riv. trim. dir. pen. ec., 1999, 585; Manna, Riciclaggio e reati connessi all’intermediazione mobiliare, Torino, 2000; Manes., La qualificazione ai fini penali degli operatori bancari e degli intermediari finanziari, Torino, 2002; Zannotti R., Il nuovo diritto penale dell'economia. Reati societari e reati in materia di mercato finanziario, Milano, 2006. Sull’abusivismo, invece, vedi già Flick, Intermediazione finanziaria, informazione e lotta al riciclaggio,in Riv. delle società, 1991, 433; Id., Accessi al settore finanziario e segnalazione degli intermediari: controlli, obblighi e responsabilità, in Riv. it. dir. proc. pen., 1994, 1201; Bricola, Il diritto penale del mercato finanziario, in AA. VV., Mercato finanziario e disciplina penale, Milano, 1993.

Roberto Flor

Assegnista di ricerca in diritto penale

Università degli studi di Verona


Estratto da:
Rivista di giurisprudenza ed economia d'azienda, Franco Angeli Editore, 5/2009 - All rights reserved

Nessun commento:

Chi legge il mio blog - Blog Visitors