ISSN 2039-1676

logo università degli studi di Milano


9 settembre 2011 |

In tema di riciclaggio, dolo eventuale e frode informatica mediante 'phishing'

Nota a Cass. pen., Sez. II, 17.6.2011 (dep. 1.7.2011), n. 25960, Pres. Fiandanese, Est. Gallo

Con la sentenza che può leggersi in allegato, la Corte di Cassazione ha affermato che non concorrono nel reato di riciclaggio (art. 648 bis c.p.) coloro che abbiano svolto operazioni di trasferimento di denaro con il mero sospetto dell'illecita provenienza di esso, nell'ambito di una truffa informatica avvenuta mediante phishing.
 
La Seconda Sezione ha infatti ritenuto non presente, nel caso di specie, il requisito del dolo (che attiene, appunto, alla provenienza “illecita” del denaro o degli altri beni oggetto del riciclaggio), neanche nella forma c.d. “eventuale”, pur riconoscendo, in via di principio, la compatibilità tra il dolo eventuale ed il reato de quo.
 
Nella specie, la S.C. ha giudicato non sussistente un'evidenza probatoria tale da dimostrare la conoscenza, in capo ai due imputati - imprenditori palermitani - del carattere illecito della loro attività, consistita in due distinti trasferimenti di somme di denaro.
 
Per meglio comprendere le motivazioni della sentenza annotata, è opportuno accennare alle condotte individuate con il termine anglosassone phishing. Con tale espressione[1], infatti, si individua l'attività consistente nell'invio di un grande numero di messaggi e-mail atti a simulare lo svolgimento di un'attività lecita (un'offerta di lavoro, di acquisto o vendita di beni, ecc.) o una comunicazione da parte di enti di fiducia (banche, società di credito al consumo, poste, ecc.). In tali e-mail si richiede all'utente l'inserimento dei propri dati personali e/o delle proprie password, promettendo a colui che “abbocca”, di volta in volta, premi, vantaggi o altri benefici.
 
Quando un utente cade nella rete, il phisher[2]utilizza i dati acquisiti per accedere ai conti online della vittima, così appropriandosi delle somme di denaro ivi depositate; al fine di evitare il proprio diretto coinvolgimento nell'operazione di accesso e sottrazione, tuttavia, gli autori delle truffe hanno di recente iniziato ad utilizzare “intermediari” più o meno ignari per carpire il denaro, così divenendo ancor meno rintracciabili (e punibili).
 
Da qui nasce, infatti, il caso posto all'attenzione della Corte: una sedicente “agenzia” offriva ai due suddetti imprenditori palermitani la prospettiva di un “incarico professionale”, a condizione che essi previamente effettuassero il trasferimento di alcune somme (carpite tramite le sopra descritte operazioni di “phishing”) su un conto estero.
 
Scoperta la truffa, a seguito del successivo blocco del conto corrente i due imprenditori venivano denunciati e poi condannati, sia dal Tribunale che dalla Corte d'Appello di Palermo, per il reato di concorso nel riciclaggio di denaro ex art. 648 bis c.p., in quanto veniva loro imputato di aver trasferito (e quindi “ripulito”) le somme nel dubbio della provenienza illecita delle stesse.
 
Il “dolo eventuale” veniva invero ravvisato, dalle Corti di merito, nelle azioni ed affermazioni rese dai due imputati, i quali dapprima manifestavano (in una e-mail inviata alla sedicente società) il dubbio che l'attività loro richiesta fosse illecita, e poi denunciavano la vicenda solo poche ore dopo l'avvenuto blocco del conto corrente della vittima.
 
La condanna è però parsa eccessiva alla Corte di Cassazione rispetto alle finalità di tutela contemplate dalla norma: in particolare, nota il Collegio in un passaggio della decisione, “la sentenza impugnata richiama l'insegnamento delle Sezioni Unite di questa Corte in tema di compatibilità del dolo eventuale con il delitto di ricettazione (Cass. Sez. U, Sentenza n. 12433 del 26/11/2009 Ud. (dep. 30/03/2010) Rv. 246324) ma ne opera un'applicazione errata. Nella sentenza citata, infatti, le Sezioni Unite hanno chiaramente escluso il mero sospetto dalla latitudine del dolo eventuale (…). In termini soggettivi ciò vuol dire che il dolo eventuale nella ricettazione richiede un atteggiamento psicologico che, pur non attingendo il livello della certezza, si colloca su un gradino immediatamente più alto di quello del mero sospetto (...)”.
 
La Corte continua poi – ancora in riferimento alla pronuncia resa dalle Sezioni Unite – ritenendo il doloravvisabile (solo) quando l'agente, rappresentandosi l'eventualità della provenienza delittuosa della cosa, non avrebbe agito diversamente anche se di tale provenienza avesse avuta la certezza. (…) Per integrare l'elemento soggettivo nel delitto di riciclaggio è sì sufficiente il dolo generico, ma è necessaria la consapevolezza concreta della provenienza della cosa da delitto.
 
E nel caso di specie pare proprio mancare la prova della consapevolezza che il denaro provenisse da delitto, posto che – addirittura! – erano gli stessi imputati a prospettare la denuncia del phisher, qualora questi non avesse loro chiarito tale circostanza. La Corte conclude quindi disponendo l'annullamento senza rinvio del procedimento penale, “perché il fatto non costituisce reato”, con l'effetto di mandare assolti gli imprenditori palermitani dalle accuse formulate nei loro confronti.
 
Ma un secondo, ancor più rilevante effetto derivante dalla pronuncia de qua è quello di aver annullato il primo (e sinora unico) precedente di condanna a carico di soggetti che abbiano partecipato – più o meno consciamente – al “sistema” delle truffe online perpetrate tramite phishing: tale meccanismo non è infatti, ad oggi, ancora previsto e punito da un'autonoma e specifica fattispecie di reato.
 
La mancanza di una norma specifica potrebbe invero comportare una sorta di safe harbor[3] a vantaggio di tutti quegli “intermediari” nei cui confronti non si possa raggiungere piena prova della sussistenza del c.d. “dolo di partecipazione” nell'attività illecita avvenuta a monte, almeno nella forma eventuale.
 
Come è facile immaginare, ciò pone un serio rischio per tutte le attività che coinvolgono trasferimenti di denaro online, non sussistendo più, in questi casi, il valido deterrente della sanzione penale (come invece avviene, ad esempio, per l'autore materiale del fatto ex art. 640 ter c.p.).
 
Un intervento normativo pare oggi essere quindi divenuto di estrema opportunità, anche in considerazione dell'alto numero di casi di phishing nel nostro paese, complessivamente stimati in almeno 300.000 da uno studio dell'Adiconsum del 2008[4], ed in continua crescita secondo stime più recenti[5] (addirittura, con una vittima su quattro utenti del web, in Italia).


[1]    Trattasi di espressione derivante dalla deformazione del verbo inglese “to fish” (pescare) in riferimento ad una    tecnica truffaldina, in voga negli anni '80, usata per compiere telefonate “a scrocco”, ovvero in danno delle compagnie di telecomunicazioni (il c.d. “phreaking”).
[2]    Vale a dire, colui che attua le sopra descritte tecniche di phishing.
[3]    Espressione mutuata dal Digital Millennium Copyright Act americano, nel quale si prevede, in sostanza, un “approdo sicuro” (poiché totalmente esente da responsabilità) per tutti gli intermediari (tecnicamente definiti “service provider”) che si limitino a permettere un'attività, senza prendervi parte. In quel caso, tuttavia, il fornitore di servizio ha un obbligo di attivazione molto stringente, nel caso in cui si renda conto – in autonomia o su notifica dell'interessato – che è in corso una condotta illecita: circostanza che non pare, allo stato, addebitata o addebitabile ai soggetti che fanno da tramite nelle operazioni di phishing, ai sensi della pronuncia in esame.
[5]    Si veda il “Report 2010 sul Furto d'Identità”, http://www.adiconsum.it/Pages/News.aspx?n=1127