Il furto d'identità in rete, noto come "identify theft", riconducibile soprattutto alla errata custodia delle credenziali di accesso ed alla creazione di account falsi da parte di soggetti terzi, viene ricondotto dalla giurisprudenza di legittimità più recente nell'ambito del reato di cui all'art. 494 del codice penale, ovvero alla sostituzione di persona.
"Identity theft" è il termine utilizzato dagli inglesi per definire il furto di identità commesso in Rete, in particolare attraverso l'uso dei social network.
Si tratta di un fenomeno ormai diffusissimo, la cui crescita è stata determinata dal continuo proliferare di strumenti dall'utilizzo sempre più accattivante ed elementare, in grado di permettere la più ampia diffusione e condivisione dei dati personali in Internet.
In particolare, si è notato che il fenomeno della violazione dell'identità personale dell'utente iscritto ad un social network è per lo più riconducibile a due principali fattori: la errata custodia delle credenziali di autenticazione e la creazione di un account falso da parte di un terzo (c.d. "fake").
Il problema sta nel fatto che il social network, al momento della registrazione, non fornisce all'utente alcuno strumento in grado di potergli consentire una immediata capacità di individuazione dell'illecito, e quando ne viene a conoscenza, è spesso ormai troppo tardi.
Il "furto" delle credenziali di accesso viene realizzato nella maggior parte dei casi attraverso procedimenti di social engineering: tecniche non necessariamente informatiche che, sfruttando le debolezze e i fattori psicologici di un individuo medio, possono indurre la vittima ad eseguire azioni indesiderate, mirate ad ottenere le informazioni che occorrono al soggetto che voglia compiere la violazione.
Spostando in particolare l'attenzione sulla punibilità dell'accesso abusivo ad un sistema informatico o telematico, il legislatore prevede espressamente che colui che abbia violato le misure di sicurezza al fine di introdursi o mantenersi nel sistema contro la volontà del titolare, sia punito con la reclusione fino a tre anni, o da uno a cinque anni, ai sensi dell'art. 615-ter del Codice Penale.
Come detto, tuttavia, il fenomeno del furto di identità si può altresì verificare con la creazione di nuovi profili falsi.
Sul punto si ritiene interessante segnalare che nello Stato della California è presente una severa legislazione al riguardo, che punisce tutti coloro che "navigano" in Rete sotto falso nome con una pena di mille dollari di multa e la reclusione fino a un anno.
Norme di tale portata sono del tutto assenti nel nostro ordinamento: il compito di delineare il profilo delle condotte illecite punibili è lasciato per lo più alla giurisprudenza, chiamata ad individuare nel tessuto normativo tradizionale le disposizioni più idonee ad essere applicate alle fattispecie di reato compiute in Rete.
In particolare, il fenomeno del furto di identità di cui si tratta in questa sede, è stato ricondotto al reato di cui all'art. 494 del Codice Penale, rubricato "Sostituzione di persona", secondo il quale "Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno".
Sul punto, infatti, la Corte di Cassazione si è più volte pronunciata nel senso che la condotta di colui che crei ed utilizzi un account o una casella di posta elettronica servendosi dei dati anagrafici di un diverso soggetto che ne sia inconsapevole, comportando l'induzione in errore non tanto dell'ente fornitore del servizio quanto degli altri utenti che si troveranno ad interloquire con persona diversa da quella che ad essi viene fatta credere, integra per l'appunto il reato di sostituzione di persona di cui al succitato art. 494 del Codice Penale.
Emblematica in tal senso è stata la vicenda che aveva coinvolto una donna di Trieste che, subito dopo essere stata licenziata dalla sua datrice di lavoro, ha inteso vendicarsi inserendo le iniziali del nome ed il numero di telefono della stessa in una chat per incontri a sfondo sessuale, facendole così ricevere, anche in ore notturne, molteplici chiamate e messaggi provenienti da vari utenti della chat interessati ad incontri o a conversazioni di tipo erotico.
Condannata per il reato di sostituzione di persona, l'autrice del "furto" giungeva fino in Cassazione, ma i Giudici del Palazzaccio rigettavano il ricorso in quanto "l'inserimento in una chat telematica di incontri personali, del numero di utenza cellulare di altra persona associato ad un nickname pure a costei riferibile, al fine di danneggiarla facendola apparire sessualmente disponibile, integra il reato di cui all'art. 494 c.p., nella modalità dell'attribuzione di un falso nome".
Nelle motivazioni della sentenza in esame, il Giudice evidenzia una riflessione in merito alla natura dalla norma applicata. La tutela fornita dall'art. 494 del Codice Penale, infatti, dovendo intervenire in presenza di "inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi reali", potendo questi per la loro collocazione in Rete evidentemente oltrepassare la ristretta cerchia di uno specifico destinatario, non è rivolta in modo esclusivo alla fede privata e alla tutela civilistica del diritto al nome, ma ha ad oggetto in linea più ampia la pubblica fede.
Più recentemente, nel 2012, la Cassazione è stata nuovamente chiamata a decidere sulla legittimità di una pronuncia della Corte di Appello di Roma che aveva condannato un soggetto per il reato di cui all'art. 494 del Codice Penale per aver aperto un account e una casella di posta elettronica con i dati anagrafici di una donna senza il consenso di questa, al fine di far ricadere sull'inconsapevole intestataria le morosità nei pagamenti di beni acquistati mediante la partecipazione ad aste in Rete.
Nel caso di specie, la difesa dell'imputato deduceva l'erronea applicazione della succitata norma di legge in quanto l'utilizzo dei dati anagrafici della vittima era avvenuto nel solo momento dell'iscrizione nel sito di aste online, mentre la successiva partecipazione si era svolta con un nome di fantasia.
Sul punto la Cassazione è apparsa chiara: la partecipazione ad aste online compiuta anche mediante pseudonimi "presuppone necessariamente che a tele pseudonimo corrisponda una reale identità, accettabile online da parte di tutti i soggetti con i quali vengono concluse compravendite. E ciò, evidentemente al fine di consentire la tutela delle controparti contrattuali negli eventuali inadempimenti". Il ricorso proposto dinanzi alla Suprema Corte veniva quindi rigettato poiché attraverso la condotta illecita, il soggetto aveva fatto ricadere sull'intestataria e non su di lui le conseguenze dell'inadempimento delle obbligazioni di pagamento del prezzo dei beni acquistati, sottraendole di fatto la sua identità digitale.