Identità digitale: furto per home banking è aggravante

La Corte di Cassazione, con la sentenza n. 13559/2024, ha stabilito che l’utilizzo non autorizzato di credenziali di accesso a servizi di home banking, inclusi PIN e token elettronici, integra la circostanza aggravante del furto di identità digitale nel reato di frode informatica. La Corte ha chiarito che la nozione di identità digitale non è limitata ai sistemi di identificazione pubblica (come SPID), ma si estende a qualsiasi sistema di credenziali che identifichi in modo univoco un utente in un sistema informatico privato.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 10 novembre 2025 in Diritto Penale, Giurisprudenza Penale

Identità Digitale e Frode Informatica: l’Uso Illecito di Credenziali di Home Banking è un’Aggravante

La Corte di Cassazione, con la recente sentenza n. 13559 del 2024, è tornata a pronunciarsi su un tema di grande attualità: la definizione e la tutela della identità digitale. La pronuncia chiarisce che l’utilizzo non autorizzato di credenziali private, come quelle per l’accesso all’home banking, configura la circostanza aggravante del furto di identità digitale, prevista per il reato di frode informatica. Questa decisione estende significativamente l’ambito di applicazione della norma, rafforzando la protezione degli utenti nel mondo digitale.

I Fatti di Causa

Il caso nasce da una condanna per riciclaggio emessa dal Tribunale di Napoli. L’imputato aveva messo a disposizione il proprio conto corrente per ricevere somme di denaro provenienti da delitti di accesso abusivo a sistema informatico e frode informatica. La Corte di Appello di Napoli, in un secondo momento, ha parzialmente riformato la sentenza, riqualificando il reato in frode informatica ai sensi dell’art. 640-ter del codice penale. Tuttavia, ha confermato la sussistenza della circostanza aggravante speciale legata all’indebito utilizzo dell’identità digitale della vittima.

Il Ricorso in Cassazione: il Nodo dell’Identità Digitale

L’imputato ha presentato ricorso in Cassazione contestando proprio l’applicazione dell’aggravante. La difesa sosteneva che il concetto di identità digitale dovesse essere interpretato in senso restrittivo, riferendosi esclusivamente a procedure di validazione certificate dalla Pubblica Amministrazione (come SPID, CIE o firma digitale). Secondo questa tesi, l’utilizzo di una semplice chiavetta elettronica per generare codici di accesso al conto corrente della vittima non rientrerebbe in tale definizione. Il ricorso mirava quindi a escludere l’aggravante, sostenendo che le risultanze processuali non provavano un vero e proprio furto di identità digitale.

Le Motivazioni della Cassazione sull’Identità Digitale

La Suprema Corte ha respinto il ricorso, ritenendolo infondato e cogliendo l’occasione per consolidare un principio giuridico di fondamentale importanza. I giudici hanno affermato che la nozione di “identità digitale” contenuta nell’art. 640-ter, comma terzo, cod. pen., non presuppone necessariamente una procedura di validazione adottata dalla Pubblica Amministrazione. Al contrario, trova piena applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati, come i servizi di home banking.

Il Collegio ha spiegato che il legislatore, introducendo questa aggravante, non ha fornito una definizione specifica, lasciando spazio a un’interpretazione evolutiva. Limitare il concetto alle sole identità certificate dallo Stato (SPID, CIE) sarebbe in contrasto con la realtà empirica, che vede l’esistenza di molteplici tipologie di identità digitali con diversi livelli di sicurezza.

La ratio legis, ovvero lo scopo della norma, è quella di rafforzare la fiducia dei cittadini nell’uso dei servizi online e di arginare il crescente fenomeno delle frodi realizzate tramite il furto di identità, specialmente nel settore del credito al consumo. Di conseguenza, per “identità digitale” si deve intendere “l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore”. Questo include qualsiasi dato (numeri, lettere, sequenze uniche) che, anche attraverso dispositivi elettronici come i token, individua in modo esclusivo e univoco una persona, sostituendone di fatto le generalità tradizionali nello spazio virtuale.

Le Conclusioni

La Cassazione conclude che l’aver utilizzato, sottraendola senza autorizzazione, la chiavetta elettronica del titolare del conto per effettuare operazioni bancarie integra pienamente l’aggravante contestata. Tale condotta, infatti, presuppone a monte un uso non autorizzato delle credenziali di accesso inerenti alla persona del titolare. Questa sentenza stabilisce in modo chiaro che qualsiasi strumento di autenticazione personale utilizzato per accedere a servizi online (PIN, password, token) costituisce parte integrante dell’identità digitale di un individuo. La sua violazione, nell’ambito di una frode informatica, comporta un’applicazione più severa della pena, in linea con l’esigenza di tutelare efficacemente i cittadini nell’era digitale.

L’uso non autorizzato delle credenziali di home banking di un’altra persona integra l’aggravante del furto di identità digitale?
Sì, secondo la Corte di Cassazione, l’utilizzo di credenziali di accesso a servizi di home banking, come PIN o token elettronici, integra pienamente la circostanza aggravante del furto o indebito utilizzo di identità digitale prevista per il reato di frode informatica.

La nozione di “identità digitale” ai fini penali si limita ai sistemi pubblici come lo SPID?
No. La sentenza chiarisce che la nozione di “identità digitale” non è ristretta alle procedure di validazione della Pubblica Amministrazione (come SPID o CIE), ma si estende a qualsiasi credenziale di accesso a sistemi informatici gestiti da privati che identifichi in modo univoco un utente.

Utilizzare una “chiavetta elettronica” che genera codici per accedere a un conto corrente è considerato un uso indebito di identità digitale?
Sì, l’aver utilizzato senza autorizzazione la chiavetta elettronica appartenente al titolare del conto per effettuare operazioni di bonifico integra l’aggravante, poiché presuppone un uso non autorizzato delle credenziali di accesso che sono strettamente personali e identificano il titolare.

Testo del provvedimento

Sentenza di Cassazione Penale Sez. 2 Num. 13559 Anno 2024

Penale Sent. Sez. 2 Num. 13559 Anno 2024

Presidente: COGNOME NOME

Relatore: COGNOME NOME

Data Udienza: 13/03/2024

SENTENZA

Sul ricorso proposto da: COGNOME NOME, nato a San Giorgio a Cremano il DATA_NASCITA, avverso la sentenza del 22/05/2023 della Corte di appello di Napoli; visti gli atti, il provvedimento impugnato ed il ricorso; udita la relazione della causa svolta dal consigliere NOME COGNOME; lette le conclusioni scritte del Pubblico ministero, nella persona del AVV_NOTAIO, che ha chiesto dichiararsi l’inammissibilità del ricorso;

RITENUTO IN FATTO

L’imputato era stato condannato dal Tribunale di Napoli per il reato di riciclaggio, avendo messo a disposizione di ignoti il proprio conto corrente ove era confluito denaro proveniente dai delitti di accesso abusivo ad un sistema informatico e frode informatica.

Con la sentenza in epigrafe, la Corte di appello di Napoli, parzialmente riformando la sentenza di primo grado, ha qualificato il fatto ai sensi dell’art. 640-ter cod.pe rideterminando la pena in senso favorevole all’imputato.

Ricorre per cassazione NOME COGNOME, deducendo violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza dell’aggravante di cui all’art. 640 ter, terzo comma, cod.pen. (furto o indebito utilizzo di RAGIONE_SOCIALE digitale).

Le risultanze processuali non proverebbero la sussistenza del furto o dell’indebito utilizzo dell’RAGIONE_SOCIALE digitale, concetto*on adattabile al caso in esame, nel qual per accedere al conto corrente della vittima, ci si era serviti di una chiavet elettronica idonea a comunicare il codice di accesso da utilizzare di volta in volta.

CONSIDERATO IN DIRITTO

Il ricorso è infondato.

Il Collegio intende dare continuità al principio, ancora di recente ribadito, secondo il quale, in tema di frode informatica, la nozione di “RAGIONE_SOCIALE digitale”, che inte l’aggravante di cui all’art. 640-ter, comma terzo, cod. pen., non presuppone una procedura di validazione adottata dalla Pubblica amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati. (Fattispecie in cui è stata ritenuta l’aggravante in un caso accesso abusivo a un servizio di “home banking”). (Sez. 2, n. 40862 del 20/09/2022, Bonollo, 283653; Sez. 2, n. 8958 del 30/01/2024 n.m.).
Nella motivazione di tale statuizione di legittimità, qui condivisa, si legge: “l’ar D.L. 93/2013, convertito con modif. nella L. 119/2013, ha introdotto il comma dell’art. 640-ter cod.pen. che prevede una circostanza aggravante ad effetto speciale del delitto di frode informatica allorchè il fatto ” è commesso con furto indebito utilizzo dell’RAGIONE_SOCIALE digitale”. Il legislatore non ha fornito a definizione dell’RAGIONE_SOCIALE digitale”, concetto utilizzato in plurime e diversifi accezioni. La dottrina ha evidenziato come la traslazione in sede penale di definizioni tratte da fonti esterne, quali quella contenuta all’art. 1 comma 1, let u quater, del d.lgs 82/2005 ovvero quella introdotta ai fini della creazione del RAGIONE_SOCIALE, d cui al DPCM del 24/10/2014, trova un evidente ostacolo nel fatto che si tratta di $
Tali concetti, espressi a proposito dell’utilizzo di credenziali personali per l’accesso a sistemi cosiddetti di home banking o simili, possono essere applicati anche all’uso illegittimo dei cosiddetti PIN – non a caso così chiamato dall’acronimo dall’inglese Personal Identification Number ed anche di chiavette elettroniche che producono di volta in volta un codice per effettuare l’operazione bancaria, dal momento che, in tutti i casi, invero oramai sempre più numerosi, quel che rileva è che i dati di accesso al sistema informatico di volta in volta compulsato dall’agente direttamente o attraverso l’uso di dispositivi elettronici, individuino i modo esclusivo ed univoco una determinata persona attraverso numeri o lettere secondo una sequenza unica destinata ad essere utilizzata – ripetutamente o di volta in volta tramite appositi congegni – solo dal titolare o da soggetto da questi autorizzato e che, nella sostanza, sostituisce le generalità (nello stesso senso della prima decisione Sez. 2, n. 17985 del 2023 e Sez. 2, n. 38027 del 2023 non massimate).
concettualizzazioni RAGIONE_SOCIALE o RAGIONE_SOCIALE indicazioni RAGIONE_SOCIALE metodologiche funzionali RAGIONE_SOCIALE agli RAGIONE_SOCIALE specifici provvedimenti cui ineriscono, incentrate sulla validazione da parte di un sistema di un insieme di dati finalizzata alla identificazione elettronica dell’utente. L’Uffi del Massimario nella relazione alla legge del 21/10/2013, partendo dalla definizione elaborata ai fini del Codice dell’amministrazione digitale, ha affermato che “L’RAGIONE_SOCIALE digitale è comunemente intesa come l’insieme RAGIONE_SOCIALE informazioni e RAGIONE_SOCIALE risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto sotto un processo di identificazione, che consiste (per come definito dall’art. 1 lett. u-ter del d. Igs. 7 marzo 2005 n. 82) per l’appunto nella validazion dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Sebbene si tratti di un concetto attendibilmente destinato ad una più esatta perimetrazione per effetto dell’elaborazione dottrinaria e giurisprudenziale, non è revocabile in dubbio che la tesi difensiva che pretende di limitare l’RAGIONE_SOCIALE digitale all procedure RAGIONE_SOCIALE di RAGIONE_SOCIALE validazione RAGIONE_SOCIALE adottate RAGIONE_SOCIALE dalla RAGIONE_SOCIALE RAGIONE_SOCIALE> (SPID, RAGIONE_SOCIALE CIE, RAGIONE_SOCIALE firma digitale),debitamente certificate, escludendo le procedure di accesso mediante credenziali a sistemi informatici a RAGIONE_SOCIALE privatistica quale i servizi di home banking o le piattaforme di vendita on line, è destituita di giuridico fondamento in quanto si pone in rotta di collisione con la constatazione empirica circa l’esistenza di diverse tipologie di RAGIONE_SOCIALE digitale, caratterizzate da soglie differenziate sicurezza in relazione alla natura RAGIONE_SOCIALE attività da compiere nello spazio virtuale, e con la ratio legis, intesa a rafforzare la fiducia dei RAGIONE_SOCIALE nell’utilizzazione servizi on-line e a porre un argine al fenomeno RAGIONE_SOCIALE frodi realizzate soprattutto NOME nel settore del credito al consumo mediante il furto di RAGIONE_SOCIALE“. Corte di Cassazione – copia non ufficiale
Pertanto, l’aver utilizzato, carpendola senza autorizzazione, la .chiavetta elettronica appartenente al titolare del conto (che produce il codice per effettuare l’operazione di bonifico tramite sistema di banca multicanale così stornando indebitamente somme di denaro), integra l’aggravante contestata e presuppone, comunque, a monte, un uso non autorizzato RAGIONE_SOCIALE credenziali di accesso al conto inerenti alla persona del suo titolare.

Al rigetto del ricorso segue la condanna del ricorrente al pagamento RAGIONE_SOCIALE spese processuali.

P.Q.M.

Rigetta il ricorso e condanna il ricorrente al pagamento RAGIONE_SOCIALE spese processuali. Corregge l’indicazione RG Corte d’appello indicata in sentenza nel numero corretto 9890/2002 in luogo di quello errato 10031/2022.

Così deliberato in Roma, udienza pubblica del 13.03.2024.

Il Consigliere estensore

Il Presidente

NOME COGNOME COGNOME

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.