La Corte di Cassazione ha emesso una sentenza significativa che fornisce chiarimenti rilevanti sul furto di identità digitale nel contesto della frode informatica. Il concetto di identità digitale non si limita solo alle procedure della PA, ma si estende anche al privato.

Cos’è l’identità digitale?

L’identità digitale è costituita dai dati e dalle informazioni che, all’interno di un sistema informatico, identificano una persona fisica. Essa rappresenta virtualmente l’identità reale dell’interessato, permettendo l’interazione elettronica con altri individui o sistemi informatici.

Inoltre, l’identità digitale consente l’accesso ai sistemi informativi e può essere utilizzata, ad esempio, per firmare documenti digitali. Grazie all’identità digitale, una persona diventa – nel linguaggio informatico – un utente e può accedere al sistema tramite credenziali “esclusive e univoche”, costituite da un ID utente e una password.

Frode informatica con aggravante del furto di identità

Con la sentenza n. 13559/2024, la Corte di Cassazione ha stabilito il reato di frode informatica con l’aggravante del furto di identità digitale per chiunque sottragga dei fondi a un soggetto terzo, indipendentemente dal mezzo utilizzato per l’accesso, come il PIN o la chiavetta. Il reato costituisce un aumento di pena che varia da due a sei anni.

Nel caso esaminato, il ricorrente si era appropriato, senza autorizzazione, della chiavetta elettronica del titolare del conto e l’aveva usata per stornare indebitamente delle somme di denaro. La Corte Suprema ha confermato la condanna in appello, tracciando un nuovo perimetro intorno al concetto di “identità digitale”.

Stando alla decisione dei giudici, l’aggravante non si limita esclusivamente alle procedure di validazione della Pubblica Amministrazione (come SPID, CIE e firma digitale), ma si estende anche al settore privato, in particolare al credito al consumo.

L’applicazione dell’aggravante

La volontà del legislatore, espressa nel Dl 93/2013 che ha introdotto l’aggravante, è proprio quella di aumentare la fiducia negli strumenti online e contemporaneamente ridurre le frodi informatiche. Ciò che conta è che le chiavi di accesso rubate permettano di identificare in modo “esclusivo e univoco” una determinata persona attraverso numeri, lettere e simboli.

Limitare l’applicazione dell’aggravante, come sostenuto dalla difesa dell’imputato, significa negare l’esistenza delle varie tipologie di identità digitale, ognuna caratterizzata da livelli di sicurezza differenziati in base alla natura delle attività svolte nello spazio virtuale.

Una protezione più rigorosa deve quindi essere garantita sia per l’uso illecito delle credenziali di accesso all’home banking, sia per l’uso del PIN (acronimo inglese di “personal identification number”) e delle chiavette elettroniche. Questa decisione costituisce un rilevante chiarimento giuridico nell’ambito delle frodi informatiche e del furto di identità digitale, offrendo indicazioni su come interpretare e applicare la legge in un contesto sempre più dominato dalla tecnologia digitale.