Indice
Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 640-quinquies c.p. – Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
Testo vigente – R.D. 1398/1930 (aggiornato da Normattiva)
Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro .
Vedi anche
→Cod. pen. art. 640-quater - quater c.p.: Applicabilità dell’articolo 322-ter.→Cod. pen. art. 641 - Articolo 641 Codice Penale: Insolvenza fraudolenta→Cod. proc. pen. art. 1 - Articolo 1 Codice di Procedura Penale: Giurisdizione penale→Reati Tributari art. 1 - Art. 1 D.Lgs. 74/2000 - Definizioni→D.Lgs. 231/2001 art. 1 - Art. 1 D.Lgs. 231/2001 - Soggetti→Articolo 640-ter Codice Penale: Frode informatica→Art. 640-bis c.p.: Truffa aggravata per il conseguimento di erog→Art. 640 Codice Penale: Truffa→Art. 639-bis c.p.: Casi di esclusione dalla perseguibilità a que→Art. 639 c.p.: Deturpamento e imbrattamento di cose altrui→Art. 642 c.p.: Fraudolento danneggiamento dei beni assicurati e→Art. 638 c.p.: Uccisione o danneggiamento di animali altrui
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
Art. 640-quinquies c.p. punisce il certificatore di firma elettronica che viola obblighi di legge per rilascio di certificati qualificati allo scopo di procurare profitto.
Ratio
L'art. 640-quinquies tutela l'integrità della firma elettronica qualificata, pilastro della sicurezza giuridica della digitalizzazione in Europa. Il legislatore ha ritenuto che il certificatore autorizzato (provider di firma digitale), pur soggetto a disciplina amministrativa rigorosa, potesse tradire la fiducia mediante violazione dei doveri di verifica e qualificazione, arrecando danno patrimoniale o permettendo frode altrui. La norma sanziona penalmente questa slealtà.
Analisi
L'art. 640-quinquies è stato introdotto dalla legge 48/2008 (riforma e-signature) e si applica specificamente ai soggetti che prestano servizi di certificazione di firma elettronica (provider PSC, ora DSP secondo Regolamento eIDAS 910/2014). Il reato consiste nella violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato, commessa con dolo (consapevolezza) e con finalità di procurare a sé o ad altri un ingiusto profitto, oppure di arrecare danno. La pena è reclusione fino a 3 anni e multa da 51 a 1.032 euro. Non prevede aggravanti ulteriori o procedibilità d'ufficio.
Quando si applica
L'art. 640-quinquies si applica quando: un certificatore autorizzato rilascia un certificato qualificato senza verificare adeguatamente l'identità del titolare (permettendo furto di identità digitale), omette i controlli sulla provenienza del certificato per accelerare iter di lucro, rilascia certificati multipli sotto falsa identità per permettere frodi amministrative, viola i doveri di verifica della proprietà del dominio nel certificato (nome, indirizzo). Casistica contemporanea: certificati rilasciati su documenti falsificati, certificati per società fittizie, breaches di sicurezza causati da negligenza consapevole del provider.
Connessioni
L'art. 640-quinquies si collega al Regolamento eIDAS 910/2014 UE e al d.lgs. 82/2005 (Codice dell'Amministrazione Digitale) per i doveri amministrativi del certificatore, all'art. 640-ter c.p. (frode informatica) per i reati correlati, all'art. 476 c.p. (falsità in atto pubblico) quando il certificato sia incorporato in documento ufficiale, alle norme sulla responsabilità civile (art. 2050 c.c. per prestazioni professionali), e alle discipline comunitarie sulla responsabilità di PSP.
Pronunce della Corte Costituzionale
Corte Cost., sent. n. 222/2019
Prassi dell'Agenzia delle Entrate
Ministero della Giustizia
Casi pratici
Caso 1: Caso 1
Tizio, tecnico responsabile di una società certificatrice di firma digitale autorizzata, sa che un cliente (Caio) sta richiedendo un certificato qualificato intestato al nome 'Rossi & Compagni s.r.l.', una società che in realtà non esiste (denominazione di fantasia per frode). Tizio, conscio dell'anomalia ma spinto dalla necessità di completare le quote di lavoro (e ottenere bonus prestazionali), omette deliberatamente la verifica della presenza della società al registro camerale e rilascia il certificato. Caio usa poi il certificato falso per firmare digitalmente contratti commerciali fraudolenti verso una banca, ottenendo un credito indebito di 400.000 euro. Tizio commette il reato di art. 640-quinquies, punito con reclusione fino a 3 anni, poiché ha violato consapevolmente i doveri di verifica.
Caso 2: Caso 2
Sempronio, amministratore di una PSC (Public Service Company di firma), scopre che uno dei suoi dipendenti (Filano) sistematicamente non verifica la documentazione di identità per accelerare l'evasione delle richieste di certificato. Sempronio, per mantenere bassi i costi operativi e incrementare i margini di profitto, tollerò consapevolmente questa pratica per sei mesi. Durante questo periodo, tre certificati vengono rilasciati con identità rubate, consentendo frodi documentali per circa 150.000 euro in totale. La scoperta da parte dell'autorità preposta (Agenzia delle Dogane e dei Monopoli) determina che Sempronio, in qualità di responsabile della policy violata, commette il reato di art. 640-quinquies.
Domande frequenti
Chi può essere punito secondo l'art. 640-quinquies: solo il provider di firma, o anche i suoi dipendenti?
Formalmente la norma punisce 'il soggetto che presta servizi di certificazione', quindi il provider. Tuttavia, i dipendenti che commettono il reato commettono anche loro il fatto di reato per concorso (art. 110 c.p.), punibile con le stesse sanzioni.
La violazione di obblighi amministrativi da parte del certificatore è automaticamente reato penale?
No, occorre il dolo (consapevolezza) e lo scopo specifico: procurare profitto ingiusto o danno altrui. Una semplice negligenza amministrativa può comportare sanzioni amministrative (revoca dell'autorizzazione), ma non il reato art. 640-quinquies senza l'elemento intenzionale.
Se il certificato rilasciato irregolarmente non è effettivamente usato per frode, persiste il reato?
Sì, il reato consiste nella violazione dei doveri al momento del rilascio, indipendentemente dall'uso successivo del certificato. Se il certificato rimane inutilizzato ma è stato rilasciato in violazione consapevole, il reato si consuma ugualmente.
L'art. 640-quinquies è procedibile a querela o d'ufficio?
La norma non specifica, quindi si applica il regime ordinario: procedibilità a querela della persona offesa, salvo che il fatto integri una circostanza aggravante prevista dal codice penale (es. danno significativo a interesse pubblico).
Che differenza c'è fra art. 640-quinquies e falsificazione di certificato digitale?
Art. 640-quinquies punisce il certificatore che viola i doveri di verifica nel rilascio legittimo (dall'interno). La falsificazione del certificato (art. 476 c.p.) punisce chi crea un certificato totalmente finto. Sono reati diversi: il primo è di corruzione del processo, il secondo di contraffazione.
Fonti consultate: 2 fontei verificate