Home
Lo studio
Risorse
Contatti
Lo studio

Articoli

Fake account su social network: come difendersi

29 maggio 2018, Nicola Canestrini

La creazione di un account falso è strumento per la commissione di svariati reati, dalle minacce alla diffamazione, dalla estorsione alla violenza sesuale, senza naturalmente dimenticare le frequenti truffe.

Appare però opportuno sottolineare come di per sé la creazione di un account falso possa costituire reato, potendo quindi la vittima ricorrere alla autorità giudiziaria (preferibilmente facendo una denuncia, anche seza assistenza di un avvvocato presso la polizia postale, non appena scopre il fatto, stampando e/o screenshottando gli elementi ritenuti utili per provare il reato; gli screenshot sono utilissimi per provare il reato).

La vittima può peraltro anche formulare una richiesta al Garante della Privacy, anche grazie ai diritti accresciuti dalla nuova normativa in vigore dal 25 maggio 2017.

1. La tutela penale. Il reato di sostituzione di persona

Oggetto della tutela penale è l'interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua indentità o ai suoi attributi sociali; siccome si tratta di inganni che possono superare la ristretta cerchia d'un determinato destinatario, il legislatore ha ravvisato in essi una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome (testualmente Cassazione penale, sentenza n. 25774/14 del 16 Giugno 2014).

Infatti, l’art. 494 c.p. rubricato “sostituzione di persona” punisce con la reclusione chi induce taluno in errore,

  • sostituendo la propria all'altrui persona, o
  • attribuendo a sé o ad altri un falso nome, o
  • attribuendo a sé o ad altri un falso stato, ovvero
  • attribuendo a sé o ad altri una qualità a cui la legge attribuisce effetti giuridici,
  • a condizione che il fake sia stato creato al fine di procurarsi un vantaggio o di recare a un danno ad altri (1).

In dettaglio: costituisce reato non solo aprire un account a nome di qualcun’altro, rubandone l’identità, ma anche aprire un account (anche di posta elettronica) con una nome inventato. Il termine "nome" deve essere interpretato in modo elastico, dato che "nome" non è soltanto il nome di battesimo, ma è tutto il complesso dei contrassegni di identità (prenome, il cognome, il luogo e la data di nascita, la paternità e la maternità). Non è qui necessario che il nome assunto appartenga a un altro soggetto, bastando l'attribuzione di un nome immaginario; è consentito, invece, l'uso dello pseudonimo.

Un'altra modalità della condotta è costituita dall'attribuzione a sé o ad altri di un falso stato, laddove “stato” identifica posizione del soggetto all'interno della società (es. fingere una diversa cittadinanza, attribuirsi o negarsi la capacità di agire, simlulare lo stato libero o coniugale, o millantare una certa parentela, ecc.) (2).

Infine, è reato attribuirsi falsamente una qualità a cui la legge attribuisce effetti giuridici. In questo caso si fa riferimento a qualità (ad es., proprietario, avvocato, possessore, creditore, fotografo, ecc.) che devono avere una rilevanza specifica in relazione al rapporto giuridico in atto.

Dato che si tratta di un reato a dolo specifico, è necessario che l'autore intenda

  • procurare a sé o ad altri un vantaggio o
  • recare ad altri un danno

bastando peraltro che qualcuno sia stato indotto in errore non occorrendo che il vantaggio voluto dall'agente sia effettivamente raggiunto.

Si evidenzia quindi come non sia indispensabile la volontà di di ledere la immagine e la dignità di qualcun altro, per rendere punibile penalmente la creazione di un profilo fake: per rendere reato l’utilizzo del (falso) profilo basta la volontà di intrattenere rapporti con altre persone (ad es. per incotnri di natura sentimentale o sessuale) ovvero semplimente la volontà di ottenere più “like”, soddisfando così la propria vanità (mirando così ad un vantaggio non patrimoniale).

2. L’illecito trattamento di dati personali da parte del titolare del profilo falso

Non sempre si considera però che la creazione dio un profilo falso comporta spesso anche un trattamento illecito di dati personali altrui (foto, nome, ecc.)

Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo della Privacy n. 2016/679, comunemente detto GDPR, che si sostituisce al D. Lgs. n. 196/2003, Codice del trattamento dei dati personali.

Per quanto qui interessa, come detto, chi crea un account falso può anche trattare illecitamente dati personali altrui (ad es. utilizzando il foto e/o nome di una ignara vittima). In questo caso, il titolare dei dati perosnali (la vittima) ha una serie di diritti non solo nei confronti di chi ha creato il fake, ma anche nei confronti della società che gestisce la piattaforma sulla quale i dati sono illecitamente trattati (Facebook, Badoo, LinkedIn, Gmail, ..).

la vittima potrà quindi intoltrare , non appena si accorge del fake, una  richiesta di accesso ai propri dati personali: e ciò non solo essere non solo tramite raccomandata a/r direttamente alla sede (anche italiana) della piattaforma, ma anche via email, o form (anche se il form non lascia purtroppo traccia), invocando la applicabilità dell diritto nazionale italiano e europeo.

C’è infatti la competenza dell'Autorità italiana se la piattaforma (gestita tipicamente da una multinazionale) è presente sul territorio italiano e europeo con un'organizzazione stabile la cui attività è inestricabilmente connessa con quella svolta da quela multinazionale che ha effettuato il trattamento di dati contestato (3).

Nella richiesta l'utente rimasto vititma di un fake account dovrà chiedere

  • copia di tutti i dati che lo riguardano, informazioni, fotografie, profili aperti a suo nome e di conseguenza
  • la cancellazione e/o il blocco del falso account e dei dati illecitamente inseriti.

Si tratta di un diritto dettato dall'art. 7 del D.lgs 196/2003 e rafforzato dal nuovo Regolamento UE 679/2016 (GDPR), direttamente applicabile dal 25 maggio: ai diritti dell'interessato è dedicato un intero capo, che dagli articoli 12 a 22 regolamenta trasparenza e modalità dell’esercizio dei diitti, il diritto di informazione e accesso ai dati personali, e ovviamente il diritto di rettifica e cancellazione dei dati trattati (4).

Se il social network non risponde o non cancella i dati, sarà possibile presentare un ricorso al Garante per la protezione dei dati personali, il quale potrà ordinare alla piattaforma di non effettuare alcun ulteriore trattamento dei dati riferiti all'interessato e inseriti dal fake.

Ci si potrà richiaare al provvedimento Garante della privacy dell'11 febbraio 2016  che ha testualmetne stbilito che la vittima di un account fake “ai sensi della normativa italiana, è legittimato ad accedere a tutti i dati che lo riguardano, ivi compresi quelli inseriti e condivisi nel social network Facebook dal falso account trattandosi di informazioni, fotografie e contenuti che si riferiscono alla sua persona”, ritenendo non sufficiente alla vittima le istruzioni per accedere ai dati relativi all'account valido attraverso uno strumento self-service disponibile on-line (?).

Il Garante ha quindi accolto il ricorso ed ha ordinato alla società di

  • comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di
  • comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all'interessato informazioni circa l'origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza, entro e non oltre trenta giorni dalla decisione.

Il garante ha anche ordianto alla piattaforma social di non effettuare, con effetto immediato dalla data di ricezione del provvedimento, alcun ulteriore trattamento dei dati riferiti all'interessato, inseriti nel social network dal falso account, bloccando quindi il profilo fake, congelando il profilo in maniera non visibile per permettere all’autorità giudiziaria di punire il colpevole.

  

Note:

  1. “Sostituzione di persona” (art.494 codice penale): Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona (2), o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno”.
  2. Autorevole dottrina ritiene che nel termine "stato" possano rientrare altri elementi come la residenza, il domicilio, l'età ecc. (cfr. Manzini, Trattato di diritto penale italiano, VI, Torino, 1986, 978). Le definizioni nel testo sono di Pagliaro, Falsità personale, in ED, XVI, Milano, 1967, 646
  3. Ciò in virtù della direttiva europea 95/46/EC del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, e delle sentenze della Corte di Giustizia europea "Google Spain" del 13 maggio 2014 e "Weltimmo" del 1 ottobre 2015: la direttiva mira ad una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, coem garantito dall’art. 8 Carta dei diriti fondamentali dell’Unione europea. Il testo della sentenza “Google Spain” è reperibile sub http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=IT
  4. Si rimanda al GDPR. Sinteticamente:

Modalità per l’esercizio dei diritti (artt. 11 e 12 GDPR): il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità. Il titolare deve sempre dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego. Spetta al titolare valutare la complessità del riscontro all’interessato e l’ammontare dell’eventuale contributo da chiedere a quest’ultimo, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive, o se prevedono il rilascio di più copie dei dati personali nell’ipotesi di diritto di accesso. La risposta all’interessato deve essere data per iscritto (la forma orale è ammessa solo se espressamente richiesta dall’interessato), concisa, trasparente, facilmente accessibile ed espressa con un linguaggio semplice e chiaro.

Diritto di accesso (art. 15 GDPR): è il diritto a ricevere una copia dei dati personali oggetto di trattamento nonché l’indicazione del periodo di conservazione previsto o, se non è possibile prevederlo, dei criteri utilizzati per definire tale periodo e le garanzie applicate in caso di trasferimento dei dati in Paesi terzi.

Diritto di cancellazione – diritto all’oblio (art. 17 GDPR): è il diritto di cancellazione dei propri dati personali in forma rafforzata. I titolari hanno l’obbligo, se hanno reso pubblici tali dati, ad esempio pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.

Diritto di limitazione del trattamento (art. 18 GDPR): è un diritto diverso e più esteso rispetto all’attuale “blocco” del trattamento previsto dall’art. 7, comma 3, lett. a) del D. Lgs. n.196/2003. Il GDPR prevede, infatti, che tale diritto possa essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati), bensì anche se l’interessato chiede la rettifica dei suoi dati o si oppone al trattamento, in attesa della valutazione di tale opposizione da parte del titolare.