Phishing e frode informatica: insufficiente il mero accredito della somma per l’identificazione del responsabile
In una recente pronuncia la Cassazione (Sez. 2 n. 2682 del 23.01.2023) ha escluso l’affermazione della responsabilità per il reato di frode informatica tramite phishing basata esclusivamente sulla titolarità della Poste Pay che aveva ricevuto l’accredito proveniente dal conto corrente della persona offesa.
Nel caso di specie i giudici di merito avevano ritenuto l’imputato responsabile per il reato p. e p. all’art. 640 ter C.P. (realizzato tramite l’invio capzioso di un link che consentiva la successiva introduzione abusiva nel conto corrente della vittima) sull’unica risultanza probatoria consistente appunto nell’aver ricevuto sulla carta a lui intestata le somme provenienti dal contro della persona offesa.
Il principio di diritto
La Corte di Cassazione ha annullato la condanna ritenendo che, “in assenza di elementi ulteriori rispetto alla titolarità della Poste Pay beneficiaria dell’accredito, non sia possibile ritenere dimostrata la penale responsabilità dell’imputato per il reato di frode informatica“.
La pronuncia si inserisce nel solco di quella giurisprudenza di legittimità che in tema di concorso di persone nel reato, ritiene che sebbene il contributo causale del concorrente possa manifestarsi attraverso forme differenziate e atipiche della condotta criminosa, ciò “non esime il giudice di merito dall’obbligo di motivare sulla prova dell’esistenza di una reale partecipazione nella fase ideativa o preparatoria del reato e di precisare in che modo si sia manifestata, in rapporto di causalità efficiente con le attività poste in essere dagli altri concorrenti, non potendosi confondere l’atipicità della condotta criminosa concorsuale, pur prevista dall’art. 110 C. P., con l’indifferenza probatoria circa le forme concrete del suo manifestarsi nella realtà” (cfr. Sez. 1 sentenza n. 7643/2015; SS.UU. n. 45276/2003; nonché, sul tema specifico della frode informatica v. Sez. 2, n. 19839/2019).
Pertanto, stante la prova dell’accredito ricevuto, secondo i giudici sarebbe necessario accertare se il titolare di quella carta fosse stato o meno il responsabile dell’invio della mail o dell’sms contente il link che aveva reso possibile l’abusiva intromissione nel sistema informatico.
In carenza tali riscontri, la responsabilità dell’imputato, anche a titolo di concorso, è destinata a rimanere una congettura, in sé e quanto al contributo causale fornito.
