CONTATTACI

Sentenze

Account violato e furto d'identità digitale: tutele e prove

Schema che illustra il percorso dalla violazione dell'account alle tutele legali: reati contestabili, azioni immediate, acquisizione forense delle prove e risarcimento del danno
Dalla violazione dell'account alle tutele: reati penali applicabili, acquisizione forense delle prove digitali e strumenti di risarcimento in sede civile.

Lo schema è un diagramma divulgativo realizzato a fini informativi: non rappresenta casi reali e non costituisce parere legale. Ogni situazione richiede una valutazione specifica del caso concreto.

Scoprire che il proprio account è stato violato e che qualcuno sta agendo in rete spacciandosi per noi è un'esperienza disorientante, ma non priva di rimedi. L'accesso abusivo a un sistema informatico e il furto d'identità digitale integrano fattispecie penali previste dal codice penale, e la vittima dispone di strumenti sia in sede penale che civile per ottenere giustizia e — in molti casi — un risarcimento del danno. La prima cosa da fare quando ci si rende conto che un account è stato hackerato è agire tempestivamente, perché le tracce digitali si cancellano in fretta e una denuncia ben documentata fa la differenza.

Questo articolo è rivolto a tre categorie di lettori: al privato che ha subito la violazione del proprio profilo social, della casella e-mail o dell'account bancario; all'impresa o al professionista che deve tutelarsi da un attacco informatico che ha compromesso dati e reputazione; e al collega avvocato che cerca un orientamento tecnico-forense per impostare il fascicolo con prove utilizzabili in giudizio.

Il quadro penale: accesso abusivo, sostituzione di persona, frode informatica

Il codice penale italiano disciplina in modo articolato i reati informatici. Quando qualcuno si introduce senza autorizzazione in un sistema informatico o telematico altrui, commette il reato previsto dall'art. 615-ter c.p., denominato "accesso abusivo a un sistema informatico o telematico". La norma punisce sia chi si introduce per la prima volta nel sistema senza titolo, sia chi, pur avendo avuto accesso legittimo in precedenza, vi permane contro la volontà del titolare. La gravità della pena aumenta quando il reato viene commesso da più persone, quando riguarda sistemi di interesse pubblico o quando si procura un vantaggio economico.

Spesso l'accesso abusivo è solo il primo atto: chi viola l'account lo usa poi per agire a nome della vittima, inviando messaggi, pubblicando contenuti o concludendo operazioni. In questo caso entra in gioco l'art. 494 c.p., che punisce la sostituzione di persona: chi, fuori dai casi consentiti dalla legge, induce taluno in errore attribuendosi falsamente un'identità altrui. Il reato è procedibile a querela della persona offesa, salvo alcune eccezioni che l'avvocato valuterà nel caso concreto.

Quando la violazione dell'account produce un danno patrimoniale — ad esempio trasferimenti di denaro non autorizzati, operazioni di e-commerce effettuate a nome della vittima o truffe perpetrate ai danni di terzi utilizzando l'identità violata — si configura la frode informatica ai sensi dell'art. 640-ter c.p. Questa disposizione punisce chi, alterando in qualsiasi modo il funzionamento di un sistema informatico o intervenendo senza diritto su dati o programmi, procura a sé o ad altri un ingiusto profitto con danno altrui. I tre reati possono concorrere, e l'accertamento penale è spesso il presupposto necessario per l'azione civile risarcitoria.

Furto d'identità digitale: cos'è e come si manifesta

Il concetto di furto d'identità digitale non corrisponde a una singola fattispecie penale nominata, ma a un insieme di condotte illecite che convergono verso un risultato comune: impossessarsi dei dati identificativi di una persona per agire in sua vece nel mondo digitale. Le modalità sono varie e in continua evoluzione: dal phishing (messaggi ingannevoli che inducono la vittima a cedere le proprie credenziali) al credential stuffing (utilizzo di dati rubati in precedenti data breach), fino all'installazione di malware che registra le digitazioni sulla tastiera.

Le conseguenze possono essere economiche — svuotamento di conti, acquisti fraudolenti, richieste di credito a nome della vittima — ma anche reputazionali e relazionali. Un account social violato può diventare uno strumento per diffondere contenuti lesivi, diffamare terzi o molestare contatti. In certi casi, i messaggi inviati a nome della vittima possono integrarare ulteriori reati, dalla diffamazione alle molestie, con implicazioni che si estendono ai terzi danneggiati.

Dal punto di vista della protezione dei dati personali, il furto d'identità digitale implica quasi sempre un trattamento illecito di dati personali ai sensi del Regolamento UE 2016/679 (GDPR). Se la violazione è avvenuta perché una piattaforma o un'azienda non ha adeguatamente protetto i dati degli utenti, quest'ultima può essere ritenuta responsabile sia in sede civile che davanti al Garante per la protezione dei dati personali.

Denuncia o querela: dove andare e cosa portare

La distinzione tra denuncia e querela è rilevante in questo contesto. La querela è atto dell'offeso e deve essere presentata entro tre mesi dalla conoscenza del fatto (salvo deroghe di legge); è necessaria per i reati procedibili a querela, tra cui la sostituzione di persona. La denuncia, invece, può essere presentata da chiunque e non è soggetta a termini stretti, ma non sostituisce la querela quando questa è richiesta. L'avvocato valuterà quale atto presentare in base alla fattispecie concreta.

L'organo competente per i reati informatici è la Polizia Postale e delle Comunicazioni, presente in ogni capoluogo di regione e raggiungibile anche online tramite il portale del Commissariato di Polizia Postale. In alternativa, ci si può rivolgere a qualsiasi ufficio di Polizia o Stazione dei Carabinieri, che provvederà a trasmettere gli atti alla Polizia Postale.

Al momento dell'atto, è utile portare tutta la documentazione disponibile: screenshot delle attività non autorizzate, comunicazioni ricevute (messaggi di notifica di accesso da dispositivi sconosciuti, avvisi di modifica della password), evidenza degli indirizzi IP degli accessi anomali se visibili dalle impostazioni dell'account, e qualunque altro elemento che consenta di collocare i fatti nel tempo. Prima di recarsi dalla Polizia, è consigliabile consultare un legale: un avvocato esperto di reati informatici può aiutare a organizzare la documentazione in modo coerente e a scegliere la formulazione più efficace dell'atto.

I log di accesso si cancellano. I gestori dei servizi online (social network, provider di posta, banche) conservano i log degli accessi per un periodo limitato, che varia da gestore a gestore. Richiedere tempestivamente alla piattaforma la conservazione di questi dati, meglio se tramite un atto formale inoltrato con il supporto di un legale, può essere decisivo per l'indagine e per il processo.

Come si raccolgono le prove digitali

La prova digitale è fragile per natura: può essere alterata, cancellata o resa inutilizzabile in giudizio se non viene acquisita correttamente. In ambito processuale, la validità di una prova informatica dipende non solo dal suo contenuto ma anche dalla catena di custodia: dalla modalità di acquisizione alla conservazione, ogni passaggio deve essere documentato e verificabile.

I principali elementi di prova in un caso di account violato sono i log di accesso con i relativi indirizzi IP, gli screenshot delle attività non autorizzate (post, messaggi, transazioni), le comunicazioni inviate o ricevute senza il consenso del titolare, e le eventuali modifiche apportate ai dati del profilo (email di recupero, numero di telefono, impostazioni di sicurezza). A questi si aggiungono, dove disponibili, i metadati dei file e delle comunicazioni, che consentono di ricostruire tempi e modalità delle azioni.

Il tema dell'utilizzo delle prove digitali in giudizio si intreccia con quello affrontato in modo più ampio nell'articolo dedicato al recupero dei dati e delle prove cancellate per una causa: le tecniche di estrazione forense e i requisiti di ammissibilità seguono principi comuni. Allo stesso modo, le chat e i messaggi elettronici come prova in giudizio richiedono un trattamento tecnico specifico per essere valorizzati nel contraddittorio.

Il ruolo del consulente informatico forense

In un contesto come questo, il supporto di un consulente informatico forense non è un optional: è spesso il fattore che determina la tenuta probatoria del caso. Il professionista specializzato in informatica forense sa come estrarre i dati dai dispositivi e dalle piattaforme nel rispetto delle norme processuali, come certificarli con procedure tecniche riconosciute (calcolo dell'hash crittografico, apposizione della marca temporale) e come redigere una relazione tecnica che regga nel contraddittorio.

Concretamente, il consulente informatico forense può acquisire una copia forense del dispositivo della vittima, estrarre i log degli accessi alle piattaforme, analizzare le comunicazioni sospette per risalire all'origine dell'attacco, e — se l'indagine lo consente — contribuire a identificare gli indirizzi IP utilizzati dall'aggressore. Questi elementi, presentati in una relazione tecnica strutturata, costituiscono la base probatoria su cui il legale costruirà l'azione penale e quella civile.

Lo studio affianca il cliente con competenza tecnico-forense integrata all'assistenza legale: non si tratta di due percorsi paralleli, ma di un approccio unitario in cui la strategia processuale e l'acquisizione delle prove si sviluppano in modo coordinato. Questo modello, già descritto nell'ambito della consulenza tecnico-legale interdisciplinare, è particolarmente efficace nei casi di criminalità informatica, dove la prova è quasi interamente di natura tecnica.

Tutela civile e GDPR: risarcimento e reclamo al Garante

La via penale e quella civile non si escludono reciprocamente: la vittima può agire su entrambi i fronti, spesso in parallelo. In sede civile, il danneggiato può chiedere il risarcimento dei danni patrimoniali e non patrimoniali causati dalla condotta illecita. I primi comprendono le perdite economiche dirette (somme sottratte, operazioni fraudolente), le spese sostenute per il ripristino della sicurezza dei sistemi e quelle legali. I secondi ricomprendono la lesione della reputazione, il disagio psicologico e la violazione della riservatezza, profili che la giurisprudenza tende a riconoscere quando la condotta è particolarmente grave o protratta.

Il quadro si arricchisce quando entra in gioco il GDPR. Se la violazione dell'account è stata resa possibile o aggravata dall'inadeguata protezione dei dati da parte di una piattaforma o di un'azienda, quest'ultima può essere chiamata a rispondere sia in sede civile — per violazione degli obblighi di sicurezza imposti dal Regolamento — sia davanti al Garante per la protezione dei dati personali, mediante un reclamo formale. Il Garante può irrogare sanzioni amministrative significative e ordinare misure correttive, ma non risarcisce direttamente la vittima: per l'indennizzo economico occorre agire separatamente in sede giudiziaria.

Vale la pena ricordare che il GDPR attribuisce all'interessato il diritto di ottenere il risarcimento del danno subito a causa di una violazione del Regolamento (art. 82 GDPR), anche quando il danno è di natura non patrimoniale. La giurisprudenza europea e nazionale sta progressivamente chiarendo i contorni di questo diritto, e l'orientamento prevalente riconosce che anche la perdita di controllo sui propri dati personali può costituire, in determinate circostanze, un danno risarcibile.

Danni risarcibili: tipologie e prove richieste

Per orientare il lettore, la tabella seguente riepiloga le principali tipologie di danno risarcibile in un caso di account violato e furto d'identità digitale, con i relativi strumenti di prova.

Tipo di danno Esempi concreti Prove utili Sede
Danno patrimoniale diretto Somme sottratte dal conto, acquisti fraudolenti a nome della vittima Estratti conto, log transazionali, ricevute Civile (e penale se frode)
Danno patrimoniale indiretto Spese per ripristino sistemi, consulenze tecniche, costi legali Fatture, preventivi, ricevute di pagamento Civile
Danno reputazionale Contenuti diffamatori pubblicati a nome della vittima, messaggi offensivi inviati ai contatti Screenshot certificati, dichiarazioni di terzi, perizia forense Civile (e penale)
Danno non patrimoniale da violazione della riservatezza Diffusione di dati personali, accesso a comunicazioni private Log accessi, perizia informatica, relazione tecnica Civile / Garante Privacy
Danno da perdita di controllo dei dati personali Dati ceduti a terzi senza consenso, profilazione abusiva Documentazione data breach, notifica al Garante (se avvenuta) Garante Privacy / Civile (art. 82 GDPR)

In sintesi

  • Reati applicabili: art. 615-ter c.p. (accesso abusivo), art. 494 c.p. (sostituzione di persona), art. 640-ter c.p. (frode informatica).
  • Prima azione: agire subito per conservare i log di accesso; il tempo è un fattore critico.
  • Denuncia/querela: Polizia Postale, anche online; meglio con il supporto di un avvocato.
  • Prove digitali: vanno estratte e certificate da un consulente informatico forense per essere ammissibili in giudizio.
  • Tutele cumulative: sede penale, civile e reclamo al Garante Privacy possono coesistere.
  • GDPR: l'art. 82 riconosce il risarcimento del danno anche non patrimoniale da violazione del Regolamento.

Domande frequenti

Cos'è il furto d'identità digitale e come si distingue dall'hackeraggio?
Il furto d'identità digitale consiste nell'impossessarsi dei dati identificativi altrui per spacciarsi per un'altra persona in rete. L'hackeraggio (accesso abusivo a un sistema informatico) è spesso il mezzo con cui si realizza il furto: chi ottiene le credenziali altrui le usa per accedere agli account e poi agire a nome della vittima. Sul piano penale, i due profili possono concorrere.
Dove si sporge la denuncia per un account hackerato?
La denuncia o querela va presentata alla Polizia Postale e delle Comunicazioni, competente per i reati informatici, oppure a qualunque commissariato o comando dei Carabinieri, che la trasmetterà all'autorità competente. È importante agire tempestivamente: i log di accesso e gli indirizzi IP vengono conservati dai gestori solo per un periodo limitato, e richiedere il loro blocco subito può essere decisivo per l'indagine.
Quali articoli di legge si applicano al furto d'identità digitale?
I profili penali principali sono l'accesso abusivo a sistema informatico (art. 615-ter c.p.), la sostituzione di persona (art. 494 c.p.) e la frode informatica (art. 640-ter c.p.). Sul versante della protezione dei dati personali, si applica il Regolamento UE 2016/679 (GDPR) e il Codice in materia di protezione dei dati personali (d.lgs. 196/2003 e successive modifiche).
Come si raccolgono le prove di un account violato?
Le prove fondamentali sono i log di accesso (che mostrano data, ora e indirizzo IP di chi si è connesso), gli screenshot delle attività non autorizzate e le comunicazioni inviate o ricevute senza il consenso del titolare. Un consulente informatico forense può estrarre e certificare questi dati con procedure tecniche riconosciute (hash crittografici e marca temporale), rendendoli utilizzabili in giudizio nel rispetto delle norme processuali.
Si può ottenere un risarcimento del danno per un account violato?
Sì, in sede civile la vittima può chiedere il risarcimento del danno patrimoniale (perdite economiche dirette, spese per il ripristino dei sistemi, costi legali) e del danno non patrimoniale (lesione della reputazione, disagio psicologico, violazione della riservatezza). La prova del nesso causale tra la condotta illecita e il danno è centrale: una documentazione forense accurata rafforza la posizione in giudizio.
Conviene rivolgersi al Garante per la protezione dei dati personali?
Il reclamo al Garante Privacy è uno strumento complementare, non alternativo, all'azione penale e civile. Può essere utile quando il furto d'identità ha implicato un trattamento illecito di dati personali da parte di un'organizzazione (es. piattaforma che non ha adeguatamente protetto i dati dell'utente). Il Garante può irrogare sanzioni amministrative e ordinare misure correttive, ma non risarcisce direttamente la vittima: per l'indennizzo occorre agire in sede civile.
Tutte le domande frequenti del sitoSfogliale raggruppate per tema e per argomentoApri l'indice FAQ →

Il tuo account è stato violato?

Se hai subito la violazione di un account, il furto delle tue credenziali o l'uso non autorizzato della tua identità digitale, lo studio valuta il caso con riservatezza: quali reati contestare, come raccogliere le prove in modo tecnicamente corretto e quale strategia adottare tra la sede penale, quella civile e il reclamo al Garante Privacy. Nessuna promessa di esito: solo un confronto chiaro su strumenti e margini di intervento.

Contatta lo studio

Articoli correlati

Sentenze

Phishing e bonifico fraudolento: quando la banca rimborsa

Giugno 21, 2026
Sentenze

Le chat WhatsApp come prova in giudizio

Giugno 21, 2026
Sentenze

Recupero dati e prove cancellate per una causa

Giugno 21, 2026