Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 640-quinquies c.p. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
In vigore dal 1° luglio 1931
Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a se´ o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro
Articolo inserito dalla L. 18 marzo 2008, n. 48.
Avvertenza: il testo è pubblicato a fini informativi e divulgativi. Per casi specifici è sempre consigliato rivolgersi a un professionista abilitato.
In sintesi
Art. 640-quinquies c.p. punisce il certificatore di firma elettronica che viola obblighi di legge per rilascio di certificati qualificati allo scopo di procurare profitto.
Ratio
L'art. 640-quinquies tutela l'integrità della firma elettronica qualificata, pilastro della sicurezza giuridica della digitalizzazione in Europa. Il legislatore ha ritenuto che il certificatore autorizzato (provider di firma digitale), pur soggetto a disciplina amministrativa rigorosa, potesse tradire la fiducia mediante violazione dei doveri di verifica e qualificazione, arrecando danno patrimoniale o permettendo frode altrui. La norma sanziona penalmente questa slealtà.
Analisi
L'art. 640-quinquies è stato introdotto dalla legge 48/2008 (riforma e-signature) e si applica specificamente ai soggetti che prestano servizi di certificazione di firma elettronica (provider PSC, ora DSP secondo Regolamento eIDAS 910/2014). Il reato consiste nella violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato, commessa con dolo (consapevolezza) e con finalità di procurare a sé o ad altri un ingiusto profitto, oppure di arrecare danno. La pena è reclusione fino a 3 anni e multa da 51 a 1.032 euro. Non prevede aggravanti ulteriori o procedibilità d'ufficio.
Quando si applica
L'art. 640-quinquies si applica quando: un certificatore autorizzato rilascia un certificato qualificato senza verificare adeguatamente l'identità del titolare (permettendo furto di identità digitale), omette i controlli sulla provenienza del certificato per accelerare iter di lucro, rilascia certificati multipli sotto falsa identità per permettere frodi amministrative, viola i doveri di verifica della proprietà del dominio nel certificato (nome, indirizzo). Casistica contemporanea: certificati rilasciati su documenti falsificati, certificati per società fittizie, breaches di sicurezza causati da negligenza consapevole del provider.
Connessioni
L'art. 640-quinquies si collega al Regolamento eIDAS 910/2014 UE e al d.lgs. 82/2005 (Codice dell'Amministrazione Digitale) per i doveri amministrativi del certificatore, all'art. 640-ter c.p. (frode informatica) per i reati correlati, all'art. 476 c.p. (falsità in atto pubblico) quando il certificato sia incorporato in documento ufficiale, alle norme sulla responsabilità civile (art. 2050 c.c. per prestazioni professionali), e alle discipline comunitarie sulla responsabilità di PSP.
Domande frequenti
Chi può essere punito secondo l'art. 640-quinquies: solo il provider di firma, o anche i suoi dipendenti?
Formalmente la norma punisce 'il soggetto che presta servizi di certificazione', quindi il provider. Tuttavia, i dipendenti che commettono il reato commettono anche loro il fatto di reato per concorso (art. 110 c.p.), punibile con le stesse sanzioni.
La violazione di obblighi amministrativi da parte del certificatore è automaticamente reato penale?
No, occorre il dolo (consapevolezza) e lo scopo specifico: procurare profitto ingiusto o danno altrui. Una semplice negligenza amministrativa può comportare sanzioni amministrative (revoca dell'autorizzazione), ma non il reato art. 640-quinquies senza l'elemento intenzionale.
Se il certificato rilasciato irregolarmente non è effettivamente usato per frode, persiste il reato?
Sì, il reato consiste nella violazione dei doveri al momento del rilascio, indipendentemente dall'uso successivo del certificato. Se il certificato rimane inutilizzato ma è stato rilasciato in violazione consapevole, il reato si consuma ugualmente.
L'art. 640-quinquies è procedibile a querela o d'ufficio?
La norma non specifica, quindi si applica il regime ordinario: procedibilità a querela della persona offesa, salvo che il fatto integri una circostanza aggravante prevista dal codice penale (es. danno significativo a interesse pubblico).
Che differenza c'è fra art. 640-quinquies e falsificazione di certificato digitale?
Art. 640-quinquies punisce il certificatore che viola i doveri di verifica nel rilascio legittimo (dall'interno). La falsificazione del certificato (art. 476 c.p.) punisce chi crea un certificato totalmente finto. Sono reati diversi: il primo è di corruzione del processo, il secondo di contraffazione.