La Corte di Cassazione, sezione penale, con la sentenza n. 13559 depositata il 3 aprile 2024, intervenendo in tema di frode informatica, ha ribadito il principio di diritto secondo cui “… in tema di frode informatica, la nozione di “identità digitale”, che integra l’aggravante di cui all’art. 640-ter, comma terzo, cod. pen., non presuppone una procedura di validazione adottata dalla Pubblica amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati. (Fattispecie in cui è stata ritenuta l’aggravante in un caso di accesso abusivo a un servizio di “home banking”). (Sez. 2, n. 40862 del 20/09/2022, Bonollo, 283653; Sez. 2, n. 8958 del 30/01/2024 n.m.). …”

I giudici di legittimità nel rigettare il ricorso dell’imputato ha ricordato che “… l’art. 9 D.L. 93/2013, convertito con modif. nella L. 119/2013, ha introdotto il comma dell’art. 640-ter cod.pen. che prevede una circostanza aggravante ad effetto speciale del delitto di frode informatica allorchè il fatto ” è commesso con furto o indebito utilizzo dell’identità digitale“. Il legislatore non ha fornito alcuna definizione dell”‘identità digitale”, concetto utilizzato in plurime e diversificate accezioni. La dottrina ha evidenziato come la traslazione in sede penale di definizioni tratte da fonti esterne, quali quella contenuta all’art. 1 comma 1, lett. u quater, del d.lgs 82/2005 ovvero quella introdotta ai fini della creazione del Sistema pubblico per la gestione delle identità digitali dei cittadini e imprese, di cui al DPCM del 24/10/2014, trova un evidente ostacolo nel fatto che si tratta di li concettualizzazioni o indicazioni metodologiche funzionali agli specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente. L’Ufficio del Massimario nella relazione alla legge del 21/10/2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che “L’identità digitale è comunemente intesa come l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett. u-ter del d. Igs. 7 marzo 2005 n. 82) per l’appunto nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso …”

Pertanto, concludono gli Ermellini, “… Tali concetti, espressi a proposito dell’utilizzo di credenziali personali per l’accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all’uso illegittimo dei cosiddetti PIN – non a caso così chiamato dall’acronimo dall’inglese Personal Identification Number – ed anche di chiavette elettroniche che producono di volta in volta un codice per effettuare l’operazione bancaria, dal momento che, in tutti i casi, invero oramai sempre più numerosi, quel che rileva è che i dati di accesso al sistema informatico di volta in volta compulsato dall’agente direttamente o attraverso l’uso di dispositivi elettronici, individuino in modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata – ripetutamente o di volta in volta tramite appositi congegni – solo dal titolare o da soggetto da questi autorizzato e che, nella sostanza, sostituisce le generalità (nello stesso senso della prima decisione Sez. 2, n. 17985 del 2023 e Sez. 2, n. 38027 del 2023 non massimate).

Pertanto, l’aver utilizzato, carpendola senza autorizzazione, la chiavetta elettronica appartenente al titolare del conto (che produce il codice per effettuare l’operazione di bonifico tramite sistema di banca multicanale così stornando indebitamente somme di denaro), integra l’aggravante contestata e presuppone, comunque, a monte, un uso non autorizzato delle credenziali di accesso al conto inerenti alla persona del suo titolare. …”

In conclusione, per i giudici di piazza Cavour esistono diverse tipologie di identità digitali, che si differenziano dal diverso livello di sicurezza ed accomunati dalla circostanza che i dati di accesso al sistema informatico individuano in modo esclusivo una determinata persona, attraverso una sequenza di numeri o lettere, che può essere utilizzata dal solo titolare e in sostanza sostituisce le generalità. Per cui rientrano in tale tipologia, non solo lo Spid, la carta di identità elettronica e la firma digitale, ma anche chiavetta o di un pin della home banking e le piattaforme di vendita online.