Master Interfacoltà di II Livello in SCIENZE FORENSI
Criminologia-Investigazione-Security-Intelligence)
Facoltà di Farmacia e Medicina – Facoltà di Medicina e Odontoiatria
Direttore: Prof. Mario Fioravanti - Coordinatore Scientifico: Prof. Francesco Bruno
Coordinatore Didattico Scientifico: Avv. Prof. Natale Fusaro
TESI DI MASTER
“Accesso abusivo e danneggiamento dei sistemi
informatici: aspetti criminologici e giuridici”
Relatore:
Candidato:
Chiar.mo Prof. GERARDO COSTABILE
Dr.ssa FRANCESCA MILAN ETTI
Anno Accademico 2012-2013
ACCESSO ABUSIVO E DANNEGGIAMENTO DEI SISTEMI
INFORMATICI:ASPETTI CRIMINOLOGICI E LEGISLATIVI
Indice generale
Introduzione..........................................................................................................................1
Capitolo Primo.......................................................................................................................3
I REATI INFORMATICI: FENOMENOLOGIA E QUESTIONI PENALISTICHE..3
1. Metodi di intrusione nei sistemi e nelle reti........................................................................6
2. Programmi dannosi e sabotaggi informatici.........................................................................9
3. Alcuni reati informatici “impropri”.....................................................................................15
4. Principali problemi di diritto penale sostanziale e processuale...........................................17
4.1 Osservazioni sul piano sostanziale: i beni “informatici”.............................................18
4.2 Altre discrasie tra gli istituti di parte generale e i cybercrime.....................................27
5 Difficoltà e tecniche specifiche nelle indagini sui reati informatici.....................................30
Capitolo Secondo....................................................................................................................41
LA NORMATIVA ITALIANA SUI REATI INFORMATICI.........................................41
1. Il primo cybercrime in senso stretto: l'accesso abusivo a un sistema informatico o
telematico (art. 615 ter c.p.).....................................................................................................42
2. Il secondo cybercrime "vero e proprio": il danneggiamento informatico nella disciplina
degli artt. 635 bis, ter, quater e quinquies c.p..........................................................................52
3. Altre norme penali relative ai cybercrime in senso stretto: Il reato "satellite" dell'accesso
abusivo: la diffusione di codici d’accesso art. 615 quater c.p………………………………..69
3.1 Due fattispecie connesse al danneggiamento di sistemi informatici e telematici:
l'art. 392 c.p. e l'art. 615 quinquies c.p........................................................................74
4. Nuovi spazi per il diritto penale: il furto d'identità digitale e il phishing................................82
4.1 La qualificazione penalistica dell'identity thef............................................................83
5. Origine ed evoluzione del concetto di Privacy in Italia........................................................
5.1. La Privacy in Europa…………………………………………………………… .103
Capitolo Terzo..................................................................................................................105
IL CONTRASTO INTERNAZIONALE ALLA CRIMINALITA’ INFORMATICA:
VERSO UNA POLITICA DI CYBER SECURITY………………………………….105
1. Le innovazioni sulla cooperazione contro i reati informatici transnazionali……………..106
2. L'azione dell'Unione Europea: la Decisione Quadro sugli attacchi informatici 2005/222/GA
114.
3. . Le iniziative UE successive alla Decisione Quadro del 2000…………………………..121
4.Verso una politica di Cybersecurity……………………………………………………….126
4.1 Italian Report on Cyber Security: Critical Infrastructure and Other Sensitive Sectors
Readiness 2013…………………………………………………………………………126
5. .I principi strategici della politica di Cibersecurity………………………………………….130
5.1La situazione in Italia…………………………………………………………………133
Conclusioni finali..................................................................................................................... 140
BIBLIOGRAFIA....................................................................................................................142
GIURISPRUDENZA................................................................................................ ………145
INTRODUZIONE
Lo sviluppo delle tecnologie informatiche e telematiche ha originato fenomeni quali l’ecommerce, l’e-government, l’home-banking, il trading online e tante altre attività che
rappresentano il mutamento della società e dei rapporti sociali.
Oggi la maggior parte delle attività sociali, lavorative e di svago passano attraverso le reti
telematiche ed i sistemi informatici.
Se quanto detto vale per ogni attività umana, ha altrettanta valenza anche per le attività
illecite. Così, nella cultura giuridica italiana si è cominciato ad affrontare il problema della
tutela del diritto dell’individuo dalla indebita utilizzazione delle tecnologie di cui sopra e, di
conseguenza, dalle illegittime interferenze nella sfera privata attraverso l’uso degli strumenti
informatici.
Scrivendo questa tesi, ho ritenuto doveroso infilare le mani nella melma dell’underground
informatico, per comprendere le motivazioni che spingono alcuni individui a dedicare la
propria vita all’ideale informatico della libertà dell’informazione, a quei pirati dei nostri
giorni che si chiamano “hacker”.
In questo studio ho scoperto la presenza di un variegato mondo in cui si alternano
personaggi più o meno temibili, nati dalla degenerazione del primigenio ideale hacker.
Si tratta dei “malicius hacker” e di tutte quelle figure malevole che dispongono di una forte
carica criminale e distruttiva.
Il fascino emanato da queste oscure figure mi ha portato a dedicargli un paragrafo di questa
trattazione, dopo aver trattato del fenomeno in generale e delle categorie e modalità di
commissione dei reati informatici.
Immediatamente dopo ho ritenuto opportuno trattate le più importante legge italiana contro
i computer crime, la legge 547 del 23 dicembre 1993, poi modificata con la Legge n.48 del
2008 soffermandomi in modo dettagliato sui reati di l’accesso abusivo ad un sistema
informatico o telematico, la detenzione e diffusione abusiva di codici di accesso a sistemi
informatici e telematici e la diffusione di programmi diretti a danneggiare o interrompere un
sistema informatico.
1
L’accesso abusivo ad un sistema informativo automatizzato è l’argomento che ha
maggiormente affascinato ed interessato il mondo degli hacker e, di conseguenza, la
giurisprudenza e la dottrina. Ho analizzato quindi le varie teorie elaborate intorno a questo
crimine, dal “domicilio informatico” alla tutela della “integrità dei dati e sistemi
informatici”, della “riservatezza dei dati” e della “riservatezza informatica”, fino alla tutela
della Privacy. A quest’ultimo argomento mi soffermo analizzando per intero il Codice della
Privacy con il Dlgs.196. del 2003.
L’ultimo capitolo viene dedicato al contrasto internazionale alla criminalità informatica
analizzando per prima le iniziative europee con l’analisi della Decisione Quadro sugli
attacchi informatici 2005/222/GAI per poi allargare il problema della criminalità informatica
su un’ambito internazionale alla luce di una politica di cyber security e di principi strategici
che gli Stati attuano per contrastare appunto il cyber crime.
2
CAPITOLO PRIMO
I REATI INFORMATICI: FENOMENOLOGIA E ASPETTI GIURIDICI
SOMMARIO: 1 Metodi di intrusione nei sistemi e nelle reti; 2 Programmi dannosi e sabotaggi informatici;.3 Alcuni reati
informatici “impropri”;.4 Principali problemi di diritto penale sostanziale e processuale;4.1 Osservazioni
sul piano sostanziale: i beni “informatici”;4.2 Altre discrasie tra gli istituti di parte generale e i cyber
crime;5 Difficoltà e tecniche specifiche nelle indagini sui reati informatici.
Quando si parla di diritto penale dell'informatica, la prima impressione che si avverte è un
certo spiazzamento, come se si trattasse di una materia appena introdotta nell'ordinamento
italiano; eppure, il testo normativo di riferimento, vale a dire la legge n. 547 del 1993, ha già
compiuto diciotto anni. Il vero problema di questa legge è comprendere di cosa essa si
occupi di preciso.
In altre parole, occorre avere almeno una minima conoscenza pratica dei comportamenti che
il Legislatore intende reprimere. La legge del 1993 ha infatti introdotto nel c.p. le prime
disposizioni volte a incriminare i reati informatici1; alcune di queste previsioni sono state
parzialmente modificate dalla legge 48/2008, che ratifica la Convenzione Cybercrime,
conclusa a Budapest il 23 novembre 2001 in seno al Consiglio d'Europa.
É ormai constatazione ovvia che le tecnologie informatiche siano diventate insostituibili in
ogni ambito dell'economia, dell'amministrazione e della vita quotidiana; la consapevolezza
dei rischi ad esse collegati, invece, è scarsamente diffusa tra gli utenti, i quali spesso
dimenticano di approntare anche gli accorgimenti minimi per la sicurezza dei dispositivi.2
1
La legge 547 del 1993 ha in parte inserito nuove disposizioni nel c.p., in parte ha aggiunto commi ad articoli preesistenti.
Per quanto riguarda le fattispecie create ex novo abbiamo: art. 491 bis (falso informatico), art. 615 ter (accesso abusivo a un
sistema informatico o telematico), art. 615 quater (detenzione e difusione abusiva di codici d'accesso a un sistema
informatico o telematico), art. 615 quinquies (difusione di programmi diretti a danneggiare o interrompere un sistema
informatico), art. 617 quater (intercettazione, impedimento o interruzione illecita di omunicazioni informatiche o
telematiche), art. 617 quinquies (installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni
informatiche o telematiche), art. 617 sexies (falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche), art. 623 bis (rivelazione di comunicazioni telematiche), art. 635 bis (danneggiamento di
sistemi informatici e telematici), art. 640 ter (frode informatica). Le norme previgenti, “aggiornate” all'avvento delle
tecnologie informatiche, sono invece: art. 392 (esercizio arbitrario delle proprie ragioni mediante danneggiamento
informatico), art. 420 (attentato a sistemi elettronici di pubblica utilità), art. 616 (violazione di corrispondenza telematica),
art. 621 (rivelazione del contenuto di documenti segreti su supporti informatici).
2
Internet Security Threat Report 2011, redatto dalla società di sicurezza informatica Symantec e reso pubblico sul sito
ufficiale: www.symantec.com/business/threatreport/build.jsp
3
Ai fini del diritto penale occorre non solo tenere in considerazione i rischi connessi alla
tecnologia informatica, ma anche acquisire alcune nozioni di base sul suo funzionamento, in
modo da saper distinguerne l'uso dall'abuso, ossia, in termini penalistici, apprezzare il grado
di offensività delle condotte realizzabili con tali mezzi.
Innanzitutto, la parola "informatica" significa trattamento automatico delle informazioni:
questa definizione, in apparenza superflua, fa sì che siano compresi nell'alveo dei reati
informatici sia i comportamenti diretti a computer o reti di computer (Internet in primis), sia
quelli rivolti ad altri apparecchi elettronici, come gli sportelli Bancomat, i telefoni cellulari
di ultima generazione (cd. smartphone), le nuove carte di credito e debito (contenenti tutte
un microchip) e così via.
Per questo motivo è da rigettare la denominazione di "computer crimes", talvolta utilizzata
come sinonimo di reati informatici, poiché essa suggerisce un'idea riduttiva e non
rispondente alla realtà normativa, cioè che la tutela penale abbia ad oggetto soltanto i
computer; per il motivo opposto, cioè per l'eccessiva dilatazione dell'oggetto, non è
condivisibile nemmeno la categoria di "high-tech crime"proposta, al pari di quella dei
"computer crimes", dalla dottrina di common law.
Con la graduale massificazione dell'uso delle tecnologie informatiche, grazie soprattutto
all'introduzione del personal computer negli anni Ottanta, i problemi legati all'abuso dei
nuovi strumenti aumentarono in modo esponenziale. In primo luogo, è andata affermandosi
una sorta di "sottocultura" (non necessariamente criminale) nel mondo giovanile: l'hacking,
che in estrema sintesi può riassumersi nell'idea per cui tutti abbiano diritto a condividere
ogni informazione contenuta nei computer, anche a costo di accedere nei dispositivi altrui
senza il consenso del titolare.
In secondo luogo, attività un tempo "cartacee" cominciano ad essere svolte tramite mezzi
elettronici: il trasferimento di denaro, l'acquisto di beni e servizi, la tenuta della contabilità e
degli archivi ne sono gli esempi più significativi. Ciò comporta un radicale cambiamento
negli usi leciti ed illeciti dei dispositivi informatici: come mutano le modalità di stipulazione
di un contratto, così si evolvono i metodi di riciclaggio, truffa, frode fiscale, falsificazione
dei bilanci, etc., diventando virtuali e quindi più difficili da accertare per le autorità
inquirenti.
4
Infine, il grande salto di qualità nella società occidentale e, di pari passo, nella
fenomenologia criminale, è stato negli anni Novanta l'avvento di Internet, il primo mezzo di
comunicazione globale ed istantaneo, che funziona connettendo più computer o dispositivi a
un'unica rete mondiale (il Web); adesso, vent'anni dopo la sua affermazione, Internet è una
tecnologia imprescindibile per qualsiasi soggetto individuale o collettivo, pubblico o privato.
Le attività illecite, parallelamente, si sono notevolmente modernizzate grazie al Web, il
quale offre nuove opportunità e nuovi strumenti per la commissione di reati. In particolare,
molte organizzazioni criminali sfruttano Internet per aumentare la propria efficienza, ad
esempio impiegando le aste online per riciclare denaro sporco oppure comunicando via email alle singole cellule sparse in luoghi distanti.
In questi casi Internet rappresenta soltanto un nuovo strumento per la commissione di reati
"tradizionali"; in altri casi, invece, Internet è il contesto virtuale necessario alla realizzazione
di aggressioni anomale, che non trovano un corrispondente nel mondo fisico. Si pensi ai
numerosi episodi di furto di identità digitale sul Web, i quali consistono nella copia ed
utilizzo di dati riguardanti un individuo, attinti da database online oppure da cartelle
condivise tra un ristretto numero di computer: i furti d'identità non sono né sussumibili sotto
il furto tradizionale di cui all'art. 624 c.p., non essendo l'identità digitale una cosa mobile, né
paiono corrispondere al trattamento abusivo di dati personali incriminato dall'art. 167 del
Codice della Privacy. In assenza di disposizioni ad hoc, vedremo in quale modo dottrina e
giurisprudenza cercano di colmare le lacune nella legislazione italiana.
Riassumendo, l'espressione "reato informatico" racchiude in sé una molteplicità di condotte
illecite, che variano continuamente insieme al progresso tecnologico: particolarmente
pressante è, perciò, il problema della rapida obsolescenza delle definizioni giuridiche e delle
disposizioni incriminatrici. Molte fattispecie non riescono difatti a tipizzare le più frequenti
aggressioni alla sicurezza ed all'affidabilità dei sistemi informatici, in parte a causa di una
terminologia ab origine imprecisa o addirittura inadeguata, in parte a causa dell'inevitabile
ritardo con cui il legislatore giunge a reprimere tali fenomeni criminosi.
In questo capitolo, pertanto, intendiamo tratteggiare un quadro generale dei principali abusi
delle tecnologie informatiche, non tanto attraverso l'analisi normativa, alla quale
dedicheremo il prossimo capitolo, quanto facendo riferimento alle ricerche, condotte
5
soprattutto negli Stati Uniti, in Canada e nel Regno Unito3 sulla sicurezza dei dispositivi
elettronici e delle reti telematiche. Sui reati informatici, detti nel mondo anglosassone
“cybercrimes”, esiste una vera e propria congerie di termini tecnici, quasi esclusivamente in
lingua inglese, tale da disorientare chiunque non sia un programmatore o un ingegnere.
Tuttavia, senza una minima conoscenza -sia pur approssimativa ed atecnica- delle maggiori
minacce per le tecnologie informatiche, si rischia di perdere di vista il significato concreto
delle disposizioni penali previste nel nostro ordinamento e negli atti internazionali.
1 Metodi di intrusione nei sistemi e nelle reti
A prima vista, i comportamenti illeciti aventi ad oggetto un dispositivo informatico
sembrano essere caratterizzati da un alto grado di abilità tecnica da parte dell'autore; questa
impressione iniziale, però, deve essere assolutamente smentita. Dobbiamo premettere che
anche le violazioni più complesse possono essere compiute da soggetti privi di competenze
specifiche, grazie a particolari programmi scaricati da Internet e poi semplicemente avviati
dal proprio computer (si pensi alla diffusione di virus oppure all'intercettazione di
comunicazioni online, oggi consentite da applicazioni pronte all'uso e condivise
gratuitamente sul Web).
Partiamo dunque con il definire l'hacking stesso: esso è un comportamento volto a violare la
sicurezza dei sistemi informatici e delle reti telematiche. In linea di principio l'accesso
abusivo a un dispositivo elettronico non è animato da un fine di lucro, bensì da un mero
scopo ludico. Non è infrequente, tuttavia, che il soggetto, una volta superate le barriere di
3
Solo per citare i testi di riferimento in una letteratura già amplissima: CASEY E., Digital evidence and computer crime.
Forensic science, computer and the internet, Elsevier Academic Press, Second Edition, 2004; CLOUGH J., Principles of
cybercrime, cit.; CLIFFORD R. D. (editing), Cybercrime: the investigation, prosecution and defense of a computer-related
crime, cit.; LEMAN-LANGLOIS S. (editing), Technocrime, cit.; MOORE R., Cybercrime: investigating high-technology
computer crime, cit.; SMITH R. G., GRABOSKY P., URBAS G., Cyber criminals on trial, Cambridge, 2004. Come si può
notare dalla semplice lettura dei titoli, questi lavori hanno in comune un taglio poco dottrinale e molto pratico, essendo
focalizzati sulle modalità di investigazione e sulle regole processuali riguardanti i reati informatici.
Per una prospettiva più dogmatica e normativa occorre rifarsi al primo “manuale” di diritto penale dell'informatica, ormai
divenuto un classico della materia, scritto da un illustre Autore tedesco: SIEBER U., The international handbook for
computer crime. Computer-Related Economic Crime and the Infringements of Privacy, New York, 1986.
6
protezione, decida di copiare le informazioni contenute nel sistema violato, oppure di
inserirvi un programma dannoso4.
Negli Stati Uniti questa nuova forma di estorsione è documentata soprattutto presso le
grandi aziende, le quali, pur di non diffondere nel pubblico la notizia negativa di una falla
nella sicurezza informatica, sono disposte a pagare immediatamente gli hacker che le
minacciano. In Italia non si conoscono ancora casi del genere, dato che nei resoconti sulla
sicurezza informatica delle imprese vengono riportate in generale le violazioni delle misure
di protezione senza specificare se contestualmente vi siano stati o meno comportamenti di
minaccia o estorsione.
I metodi con cui sono attuate le intrusioni nei sistemi informatici sono molto vari, da quelli
rudimentali ai più sofisticati; sebbene gli accessi abusivi più insidiosi a sistemi informatici
siano compiuti a distanza, per esempio da hackers entrati illegalmente nella medesima
connessione Internet del computer bersaglio, sono decisamente più frequenti le violazioni
commesse in loco sulle macchine aziendali, da parte di dipendenti insoddisfatti o da poco
licenziati.
Occorre precisare che il fenomeno del phishing si distacca totalmente da quello dell'hacking,
per il motivo che l'hacker mira semplicemente ad accedere nel sistema informatico della
vittima, mente il phisher intende sfruttarne il profilo finanziario, per cui anche le
disposizioni penali applicabili sono assai diverse: da un lato, l'hacking è sanzionato dall'art.
615 ter c.p., dall'altro, il phishing, qualora sia seguito dall'effettivo conseguimento in capo al
phisher di un'utilità patrimoniale, è in genere ricondotto dalla giurisprudenza alla fattispecie
di truffa (art. 640 c.p.)5. Resta comunque il fatto che per la commissione di entrambi i reati è
possibile servirsi dei medesimi comportamenti di social engineering.
Passando ora alle tecniche di intrusione più sofisticate, poiché richiedono buone competenze
informatiche, dobbiamo considerare prima di tutto l'installazione di programmi di key-
4
Il termine hacker verrà utilizzato nella presente esposizione in senso lato, poiché in realtà sotto questo nome si cela una
galassia di diversi tipi di “creativi dell'informatica”, contraddistinti dalle finalità delle loro azioni. Esistono infatti gli hacker
dal cappello bianco (white hat hacker), grigio (gray hat) e nero (black hat hacker), a seconda della liceità o meno delle loro
operazioni. I bianchi sono noti come gli hacker “buoni”, cioè intenti a scovare e segnalare falle nella sicurezza, mentre i
neri sono conosciuti meglio con l'appellativo di cracker, ossia i distruttori, che usano il computer solo per cagionare danni.
I grigi si collocano in una zona intermedia, compiendo alcune volte attività illegali e altre volte “buone azioni”. La
distinzione interna tra le categorie di hacker è comunque assai labile, perché basata solo sulle intenzioni e non sui risultati
concreti delle condotte, che sono gli unici a interessare il diritto penale. Adotteremo dunque il termine hacker in senso
ampio, includendovi coloro che nel gergo informatico sarebbero definiti cracker.
5
Tratteremo la questione della qualificazione giuridica del phishing nel Capitolo Secondo.
7
logging6 che registrano ogni tasto premuto sulla tastiera del dispositivo e trasmettono in
tempo reale queste informazioni alla cd. “casa madre”, ossia il computer dell'hacker. Basta
che l'utente abbia digitato una sola volta sulla tastiera sorvegliata il codice di accesso, perché
l'hacker entri in possesso immediato della password. Questo particolare tipo di programma
entra nel sistema informatico in vari modi: innanzitutto, può essere installato
inavvertitamente dall'utente durante il download di diversi software o visitando siti Internet
poco sicuri; inoltre, non mancano casi in cui sono i supporti esterni, quali cd-rom, penne usb
e periferiche auto-installanti (plug and play), a contenere il key-logger.
Oltre ai programmi di key-logging, gli hacker possono attaccare il sistema bersaglio tramite
software di decifrazione delle password, noti come decryptor. In realtà questo metodo è
estremamente costoso in termini di tempo e di denaro, poiché in caso di diversi livelli di
protezione si ottiene l'accesso anche dopo settimane o mesi.
Ciò comporta che il metodo di decifrare le password sia adottato solo per notevoli interessi
economici o strategici, come è accaduto in alcuni casi di spionaggio industriale o militare.
Difficilmente, quindi, l'archivio elettronico di un personal computer verrà violato con metodi
di decifrazione delle password; assai più frequente, invece, è l'abuso del meccanismo di
cifratura, soprattutto a seguito dell'accesso abusivo a un dispositivo informatico. Per coprire
le proprie azioni illegali, infatti, gli “intrusi” nelle reti telematiche nascondono l'origine
dell'attacco criptandone ogni passaggio e rendendo così quasi impossibili le indagini penali.
In aggiunta, i codici d'accesso sono acquisiti facendo uso della tecnica nota come “XXS cross site scripting”7 grazie alla quale in un sito internet lecito vengono inseriti dei comandi
dannosi, capaci di leggere negli archivi dei singoli computer che si connettono alla pagina
web modificata. I siti oggetto di simili violazioni sono soprattutto quelli di istituzioni
bancarie, previdenziali e commerciali, le quali offrono servizi online dietro registrazione e
inserimento di dati sensibili come il numero di carta d'identità, di conto corrente bancario o
di carta di credito. In questo modo assistiamo ad attacchi combinati: da un lato, l'hacker può
leggere direttamente le informazioni registrate sul sito violato; dall'altro, il software di
6
Su key-loggers, decryptors e sull'utilizzo investigativo da parte delle forze di polizia statunitensi.
7
Sui dettagli tecnici del metodo XXS e dei vari tipi di spoofing si soferma SIEBER U., Organised crime in Europe: the
threat of cybercrime. Situation Report 2004, Council of Europe Publishing, 2005, p. 89-91;
8
scripting risale alla fonte di queste informazioni, ossia prende visione dei file memorizzati
nei computer connessi al sito.
Altre modalità di intrusione nei sistemi informatici sono caratterizzate dall'induzione in
errore del titolare del codice d'accesso, grazie al “dirottamento” vero e proprio dei comandi
impartiti dall'utente legittimo.
Queste condotte sono piuttosto difficili da qualificare sotto un'unica fattispecie
incriminatrice, constando al contempo in un accesso abusivo e in un'intercettazione
telematica illecita. Per quanto riguarda il “dirottamento” dei comandi (cd. spoofing), esso
altera i meccanismi che associano le istruzioni digitate sulla tastiera alle operazioni compiute
dal computer: ad esempio, un determinato indirizzo Web conduce, invece che al sito Internet
desiderato, a uno falso, creato per richiedere informazioni personali alla vittima (web
spoofing).Ancora più sofisticati sono i metodi di IP spoofing, DNS spoofing e HTTP
spoofing, i quali si basano sulla clonazione delle credenziali d'accesso di un computer a una
rete aperta (come Internet) o chiusa, qualora metta in condivisione un numero determinato di
dispositivi.
Volendo schematizzare il funzionamento di questi accessi abusivi assai complessi sotto il
profilo tecnico, l'hacker si intromette nella connessione tra il singolo computer e il computer
server, che, una volta riconosciuto l'utente, lo collegherà alla rete: grazie a questa intrusione
il soggetto estraneo riesce a farsi autorizzare dal server e ad accedere a tutti gli archivi
condivisi in via telematica, senza nemmeno dover violare le misure di protezione del
computer “dirottato”, bensì sostituendosi ad esso nella navigazione.
2 Programmi dannosi e sabotaggi informatici
Gli accessi non autorizzati nelle memorie elettroniche sono senza dubbio molto frequenti,
ma non rappresentano la minaccia più grave alla sicurezza dei sistemi informatici; la
maggior preoccupazione degli utenti di computer, invero, è di evitare i virus e gli altri
programmi dannosi8 La diffusione di software pericolosi assume rilevanza penale autonoma,
a prescindere dal verificarsi di un danno al sistema informatico, in forza dell'art. 615
8
Dati Symantec, reperibili nell'Internet Security Threat Report 2010 (Relazione sui rischi per la sicurezza in Internet)
all'indirizzo: http://www.symantec.com/business/threatreport/index.jsp
9
quinquies c.p., introdotto dalla legge n. 547 del 1993; pertanto, non si può comprendere
l'oggetto materiale delle condotte incriminate senza prima fare chiarezza sui concetti di
programma dannoso e di virus.
I programmi dannosi sono meglio noti sotto il nome di malware, una contrazione di
malicious software, che possiamo tradurre alla lettera come software “maligni”. I malware
rappresentano una categoria ampia, che racchiude una molteplicità di programmi aventi
effetti negativi sul normale funzionamento di un sistema informatico9.
Il tipo di malware più noto è senza dubbio il virus, al punto che impropriamente per virus si
indicano tutti i programmi dannosi in generale. La caratteristica specifica dei virus è quella
di essere ospitati da un altro programma, all'interno del quale si annidano e si diffondono. In
altre parole, un virus non è un programma a sé stante, bensì consiste in una serie di comandi
aggiunta a un'applicazione preesistente.
Il meccanismo con cui opera un virus è abbastanza semplice: quando il software contenitore
si attiva, immediatamente entra in funzione anche il virus, oppure attende il verificarsi di una
condizione prefissata dal suo programmatore (in quest'ultimo caso il virus funziona come
una bomba a orologeria e perciò è chiamato logic bomb – bomba logica).
I primi virus erano ospitati soltanto da alcuni programmi particolari, detti eseguibili, i quali
compiono operazioni indipendenti dall'intervento umano.
Oggi, invece, pressoché tutti i file e le applicazioni possono avere al loro interno un virus, in
quanto anche una semplice pagina scritta con Word consente lo svolgimento di azioni
automatiche (in gergo macro).
Nella comunità degli hacker chi crea virus in questo modo riceve il soprannome alquanto
spregiativo di “script kid”, ossia di “ragazzino nella programmazione”.
Gli script kiddies rappresentano una seria minaccia alla sicurezza dei sistemi informatici,
soprattutto per il fatto che, essendo degli hacker alle prime armi, spesso ignorano gli effetti
reali delle proprie azioni e possono dare luogo a danneggiamenti molto più devastanti del
previsto.
Un caso eclatante avvenne nel 2000, dove uno script kid quindicenne (sotto il nome di
MafiaBoy) causò seri danni economici (quasi 2 miliardi di dollari) ai più importanti siti di
9
9 SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione. Profili di diritto penale e
prospettive de jure condendo, in Ciber. Dir., 2008, n. 9, p. 348;
10
commercio elettronico negli Stati Uniti e nel Canada, semplicemente utilizzando programmi
malware scaricati da Internet.10
Tornando ai diversi tipi di malware, bisogna precisare che i virus sono comunque del tutto
inoffensivi una volta isolati dal software contenitore. Questo permette di distinguere i virus
dai cd. worm (vermi in inglese), che al contrario sono dei programmi autosufficienti, in
grado di replicarsi e di danneggiare il computer da soli.
I worm sono meno famosi dei virus, tuttavia dopo l'avvento di Internet sono divenuti il tipo
di malware più diffuso e più insidioso in assoluto11. A differenza dei virus, che possono
essere bloccati evitando di aprire il file infetto, i worm entrano nei dispositivi informatici in
modo invisibile, sfruttando le falle (cd. bugs) nei sistemi operativi o nei programmi antivirus, e si riproducono spontaneamente negli archivi elettronici del sistema attaccato.
Dopo l'auto-replicazione, le nuove copie di worm andranno ad attaccare tutti i computer
connessi al dispositivo infetto, secondo due modalità alternative: o inviando loro messaggi
automatici di posta elettronica con allegato il worm, oppure sfruttando falle simili a quelle
nel sistema informatico infetto.
Gli effetti di un programma worm differiscono in parte da quelli di un virus: se quest'ultimo
ha come scopo necessario la cancellazione della memoria elettronica o il malfunzionamento
delle applicazioni, per un worm questo effetto è soltanto eventuale. Il primo obiettivo dei
worm è infatti “bucare” le barriere di sicurezza di un dispositivo, per consentire in un
secondo momento l'installazione di altri programmi dannosi. Questo non deve portare a
ritenere che i worm di per sé siano software innocui o, al massimo, fastidiosi: il loro
processo di auto-riproduzione impiega le risorse del computer attaccato, fino a impedire il
normale funzionamento dei programmi di prevenzione e diagnostica contro il malware.
Peraltro, la fase successiva di diffusione produce sovente una mole gigantesca di e-mail
indesiderate, in grado di saturare le caselle di posta elettronica dei destinatari o, nei casi più
gravi, di sovraccaricare il computer server. Non mancano, infine, worm a scopo
esclusivamente distruttivo, che causano danni irreversibili all'archivio elettronico o al
sistema operativo, analogamente ai virus informatici.
10
Caso citato da MOORE R., Cybercrime, cit., p. 43 s.; in Italia le vicende di MafiaBoy sono state
seguite sul sito http://punto-informatico.it;
11
Fonte: bollettini di sicurezza rilasciati fino a Marzo 2011 dal Microsof Security Center, sul sito
http://www.microsof.com/italy/technet/security/bulletin/ms11-mar.mspx;
11
Devono essere tenuti distinti dai worm altri due tipi di programmi dannosi, i trojan e le
backdoor, che non di rado aggrediscono congiuntamente il dispositivo bersaglio, tramite un
meccanismo a scatole cinesi: il programma worm interviene per primo, poiché è in grado di
superare le misure di protezione e di installarsi autonomamente nella memoria elettronica
del computer; all'interno del worm può trovarsi un trojan, che a sua volta include delle
backdoor.
Andando per ordine, i trojan prendono il loro nome dal Cavallo di Troia, in quanto essi sono
sempre contenuti in un programma apparentemente inoffensivo.
Mentre i worm si diffondono automaticamente, i trojan hanno bisogno di un'azione diretta
da parte della vittima e per questo motivo sono spesso nascosti all'interno di programmi
condivisi tra gli utenti, primi fra tutti i videogiochi su Internet. In alternativa, i trojan
vengono trasmessi inconsapevolmente, essendo veicolati da un worm.
Gli effetti dannosi di un trojan sono diversi da quelli distruttivi o impeditivi propri di un
virus informatico: di solito, il trojan sottrae in tutto o in parte il dominio della macchina al
legittimo utilizzatore, per consentire all'hacker di intervenire sul sistema e sottrarre le
informazioni in esso contenute senza che il titolare se ne accorga.
Negli ultimi dieci anni, inoltre, si è affermato un nuovo uso criminoso dei trojan: essi non
sono più finalizzati al furto di dati digitali, bensì al controllo remoto dei dispositivi infetti,
che in tal modo diventano strumenti per la commissione di attacchi informatici. Il trojan
viene immesso in una molteplicità di computer e lasciato inattivo per un certo periodo di
tempo; quando scade il termine fissato dall'hacker il programma dannoso si risveglia e
comincia a impartire comandi a tutti i sistemi violati, formando così una vera e propria rete
di automi (detti zombie). É questo il fenomeno conosciuto sotto il nome di botnet, del quale
ci occuperemo tra poco parlando degli attacchi DDoS. Ai fini del presente paragrafo
evidenziamo solo la tecnica informatica impiegata, che consiste per l'appunto nella
diffusione massiccia di programmi trojan.
Per quanto concerne le backdoor, abbiamo detto che esse sono quasi sempre contenute in un
“cavallo di Troia” informatico; il significato in italiano di backdoor è “porta sul retro”, per
indicare un programma che crea delle aperture nascoste nelle misure di sicurezza di un
dispositivo informatico. Una volta aperta questa “porta di servizio”, qualunque hacker che
ne conosca l'esistenza può entrare nella memoria e nel sistema operativo del computer, in
modo da utilizzarlo in qualità di amministratore e a totale insaputa del legittimo titolare.
12
Di conseguenza, la backdoor semplifica sensibilmente l'azione degli hacker, poiché
attraverso questa “porta lasciata aperta” chiunque può prendere il controllo di un sistema
quando vuole, fino al momento in cui viene scoperto e risolto il difetto di protezione. Gli
effetti negativi delle backdoor sono molto preoccupanti; invero, esse espongono il computer
a un numero illimitato di attacchi remoti, dal furto di dati sensibili fino alla commissione di
sabotaggi informatici.
In sintesi, i programmi a scopo esclusivamente dannoso, denominati malware dalle
discipline informatiche, si distinguono in quattro categorie principali: i virus, i worm, i
trojan horse e le backdoor. I loro effetti potenziali sono la distruzione della memoria
elettronica, l'alterazione del funzionamento del sistema oppure la perdita del controllo su di
esso da parte del titolare.
Adesso, invece, intendiamo concludere questa rapida introduzione alle varie tecniche di
danneggiamento informatico con alcuni cenni ai sabotaggi virtuali realizzati su Internet.
Queste forme di abuso delle reti telematiche sono note con l'acronimo di “DoS”, che sta per
Denial of Service, in italiano blocco del servizio. Gli attacchi DoS prendono di mira siti web
popolari (come quelli di commercio elettronico), di pubblica utilità o di enti istituzionali,
sovraccaricandoli di richieste di informazioni fino alla completa paralisi (crash) dei sistemi
colpiti.
Talvolta gli attacchi sono giustificati dagli autori sulla base di ideologie estremiste o di
mobilitazioni contro determinati governi o imprese multinazionali: l'episodio più noto negli
ultimi mesi è stato il sabotaggio di alcuni siti ritenuti “collaborazionisti” con le forze di
polizia, ad opera dei sostenitori di Julien Assange, portavoce di Wikileaks12.
Una variante più recente è il cosiddetto attacco ”DDoS”, sigla di Distributed Denial of
Service, ossia blocco diffuso del servizio. A differenza del primo tipo di sabotaggio
telematico, commesso da uno o più hackers in modo simultaneo, l'attacco DDoS si serve dei
computer altrui, precedentemente infettati da un trojan e coordinati così in una botnet (rete
di robot).
Quando si verificano le condizioni prestabilite nel programma malware, i computer si
trasformano in robot e rispondono ai comandi impartiti da un soggetto esterno, il quale
12
La notizia è stata riportata su tutti i quotidiani nazionali; per leggere in proposito un articolo liberamente consultabile su
Internet indichiamo il seguente indirizzo: http://www.itespresso.it/laresa- di-julian-assange-e-gli-attacchi-a-paypal-e-ai-sitianti-wikileaks-49416.html;
13
perciò può eseguire un attacco Denial of Service avendo a disposizione un numero
elevatissimo di macchine. È intuibile quanto siano dannosi sabotaggi telematici a così ampio
raggio, senza considerare il problema dell'individuazione degli autori effettivi, dato che la
maggior parte dei dispositivi viene sfruttata all'insaputa del titolare.
Emblematici in tal senso sono i due episodi principali di attacchi DDoS, il primo avvenuto ai
danni dei siti della pubblica amministrazione estone nel 2007, il secondo tramite la
diffusione a livello globale del worm di nome Stuxnet nel 201013: in entrambi i casi sono
state causate gravissime perdite economiche in tutto il mondo, ma gli ideatori e gli esecutori
dei danneggiamenti sono rimasti ignoti.
Esistono tuttavia forme di sabotaggio virtuale meno distruttive, primo fra tutti il defacing,
una pratica impiegata soprattutto in segno di protesta, la quale consiste nell'alterazione
dell'aspetto di una pagina web, inserendovi messaggi offensivi, dure contestazioni politiche
o addirittura una schermata nera.
3 Alcuni reati informatici “impropri”
Nei due paragrafi che precedono abbiamo descritto la fenomenologia dei reati informatici in
senso proprio; le fattispecie di accesso abusivo a un sistema e di danneggiamento
informatico, difatti, sono nate insieme alla diffusione dei dispositivi elettronici e della rete
Internet e sono perciò difficilmente assimilabili a reati tradizionali come la violazione di
domicilio, il furto o il danneggiamento comune, mancandone l'oggetto materiale.
Si può quindi sostenere che i cybercrime si caratterizzino per la peculiarità dell'oggetto
dell'azione criminosa, il quale consiste, chiaramente, nel software di un sistema informatico
o di una rete di computer14. Facendo l'esempio del sabotaggio virtuale sopra descritto, esso
non può ritenersi integrato qualora un soggetto distrugga fisicamente un computer, poiché in
tal caso egli commette il reato di danneggiamento comune; risponde al contrario di un reato
13
13 La notizia dell'attacco all'Estonia causò un vero e proprio shock all'Unione Europea e agli esperti di sicurezza, poiché
l'Estonia è un Paese modello sul piano delle tecnologie informatiche (per darne un'idea, l'intera gestione della Pubblica
Amministrazione
è
digitale).
Un
reportage
molto
completo
è
stato
pubblicato
sul
sito
http://www.wired.com/politics/security/magazine/15-09/f_estonia Sul caso Stuxnet sono state fatte molte ipotesi, la più
difusa delle quali sostiene che dietro questo potentissimo worm vi sia una “guerra cibernetica” in atto tra Stati Uniti e
Israele, da un lato, e l'Iran, dall'altro. Tra i vari computer danneggiati figurano, infatti, anche quelli delle centrali nucleari
iraniane. Si può leggere http://uk.reuters.com/article/2010/09/24/us-security-cyber-iranfb- idUKTRE68N3PT20100924
14
La classificazione è illustrata da CLOUGH J., Principles of cybercrime, Cambridge, 2010, p. 11-13;
14
informatico il soggetto che renda inservibile tale dispositivo sovraccaricandolo di operazioni
o inserendovi un malware, in quanto l'azione è diretta contro la componente logica e
immateriale del computer e non sulla sua struttura fisica15.
Altri reati sono invece definiti comunemente “cybercrime” in maniera impropria, poiché è
diverso il ruolo del dispositivo elettronico nella condotta illecita: se per i reati informatici in
senso stretto il software è l'oggetto necessario dell'azione, per quelli in senso lato esso è
soltanto uno strumento eventuale per la realizzazione del fatto.
Ancora più chiaro: mentre le condotte di hacking sono illeciti assolutamente nuovi per il
diritto penale, fenomeni criminosi quali le frodi informatiche oppure le intercettazioni online
rappresentano solo modalità innovative di reati tradizionali come la truffa e l'intercettazione
di comunicazioni. Il criterio della strumentalità non può fondare la definizione dei reati
informatici, poiché, al limite, quasi tutti i reati potrebbero essere commessi con l'ausilio
delle tecnologie elettroniche e quindi avremmo un'infinità di cybercrime, mere “copie
tecnologiche” di fattispecie previgenti. L'unico criterio per individuare i cybercrime in modo
selettivo e rigoroso è dunque esclusivamente quello dell'oggetto dell'aggressione.
La distinzione tra reati informatici propri e impropri appare lineare e schematica a livello
teorico, poiché basta semplicemente individuare il ruolo del computer nella dinamica
criminosa (oggetto dell'azione o suo strumento) e, di conseguenza, “etichettare” la condotta
come cybercrime oppure come reato tradizionale commesso tramite mezzi elettronici.
Nella pratica, però, questa classificazione mostra segni di cedimento, perché spesso è
controverso l'oggetto dell'azione (si pensi alla frode elettronica, dove parte della
giurisprudenza individuava l'oggetto materiale nel computer manipolato e altra parte,
maggioritaria, nel patrimonio dell'utente). I concetti di oggetto dell'azione e di strumentalità
subiscono infatti una torsione e una sovrapposizione in ambito di reati informatici, nel senso
che non è sempre agevole scindere i casi in cui l'abuso del computer è l'oggetto della
condotta da quelli in cui esso sia solo un mezzo per la lesione di interessi ulteriori16.
15
15 In senso conforme al testo PICA G., v. Reati informatici e telematici, in Dige. Disc. Pen. Eco., Aggiornam. I, 2000, p.
526; contra PECORELLA C., Diritto penale dell’informatica, Padova, 2006, p. 115;
16
ALMA M. – PERRONI C., Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici, in Dir. Pen. Proc.,
1997, n. 4, p. 506-507;
15
Emblematico è il fenomeno del furto di identità digitale; circa il cd. identity thef si dibatte da
tempo se sia qualificabile o meno come reato informatico: da un lato, infatti, oggetto
dell'azione sono i dati informatici di un soggetto (cybercrime non previsto dalla nostra
legislazione), dall'altro possiamo interpretare queste condotte non come accessi abusivi a un
archivio elettronico, ma come violazioni della privacy per mezzo di dispositivi tecnologici
(applicazione estensiva dei reati previsti dal Codice della Privacy).
Come si vede dall'esempio appena riportato, decidere sul punto della natura informatica di
un reato non ha pura rilevanza teorica, bensì incide sulla tipicità delle condotte e in
particolare sulla loro assumibilità sotto fattispecie incriminatrici esistenti.
In definitiva, è opportuno impiegare le nozioni di reato informatico proprio e improprio
soltanto a livello orientativo, senza accettarle acriticamente e rigidamente.
4 Principali problemi di diritto penale sostanziale e processuale
L'abuso delle tecnologie informatiche pone numerosi interrogativi per l'ordinamento
giuridico in generale e per il diritto penale in particolare; la natura immateriale e spesso
transnazionale delle condotte entra in corto circuito con le categorie tradizionali del soggetto
attivo del reato, del bene giuridico tutelato, dell'elemento psicologico e così via.Il punto di
partenza è un dato fondamentale: i reati informatici non aggrediscono e non
strumentalizzano cose mobili o tangibili, bensì dati e programmi elettronici, ossia la
componente logica di un dispositivo. Questo è l'elemento comune a tutti i cybercrime, sia in
senso stretto sia in senso lato; anche le violazioni commesse su reti telematiche, infatti,
possono essere scomposte in una serie di alterazioni o di interruzioni del funzionamento di
singoli software.
Il contesto necessariamente virtuale entro il quale si inscrive questa categoria di illeciti non
può che influenzare a monte le fattispecie incriminatrici e a valle le relative disposizioni
processuali. È facile prevedere che non manchino i problemi, soprattutto a causa
dell'insuperabile divario tra la rapida evoluzione tecnologica dei fenomeni criminosi e la
rigidità propria della legislazione penale. Affronteremo in questa sede le questioni più
scottanti per quanto riguarda i principi generali della materia penale-informatica, guardando
prima ai profili sostanziali e poi a quelli processuali.17
17
L'analisi verticale, nel dettaglio, dei singoli articoli del c.p. inseriti dalla l. 547/1993 e dalla l. 48/2008 sarà condotta nel
capitolo successivo.
16
4.1 Osservazioni sul piano sostanziale: i beni “informatici”
La descrizione della fenomenologia dei reati informatici dà un'idea della molteplicità dei
comportamenti passibili di sanzione penale; il primo dubbio che sorge attiene
all'identificazione dei beni giuridici da questi lesi. L'offensività dei cybercrime è infatti
difficile da cogliere in alcuni casi: mentre un atto vandalico nei confronti di un sistema
elettronico produce immediate conseguenze negative sul piano patrimoniale, la mera
detenzione nel proprio computer di programmi dannosi o di codici di accesso altrui, senza
diffonderli né comunicarli a terzi, sembrerebbe un comportamento innocuo. Per fondare
qualsiasi tipo di incriminazione non si può prescindere dall'osservanza dei principi di
extrema ratio, determinatezza e tassatività; ancora più importante in questo ambito del
diritto penale è riuscire a mantenere una proporzione tra la severità della risposta punitiva e
il grado di intensità dell'offesa a beni giuridici rilevanti. La correlazione tra gravità della
violazione e gravità della sanzione non è sempre rispettata dai reati informatici previsti nel
nostro c.p., dove anzi figurano esempi di fattispecie di pericolo presunto assai criticabili.
In ogni caso, resta sullo sfondo la domanda centrale: quali beni giuridici sono lesi dai reati
informatici?. La ricerca di un interesse unitario sotteso a tutti i reati informatici, tuttavia,
fornisce risultati alquanto deludenti, poiché volendo adattare il “bene giuridico informatico”
alle diverse fattispecie non si fa altro che dilatarne il significato fino all'indistinto.
A ben vedere, la collocazione delle disposizioni sui delitti informatici in capi distinti del c.p.
è una spia evidente dell'eterogeneità dei beni giuridici offesi dagli abusi dei dispositivi
elettronici. Inoltre, la scelta del legislatore di inserire nel codice, e non in una legge
complementare, le fattispecie penali informatiche dimostra che, almeno tendenzialmente, gli
interessi tutelati dovrebbero essere gli stessi dei corrispondenti reati tradizionali. Questa
osservazione è agevolmente dimostrabile con riferimento ai cd. reati informatici “impropri”,
tra i quali figurano il falso informatico (art. 491 bis c.p.), la violazione di corrispondenza
17
telematica (art. 616 c.p.), l'intercettazione di comunicazioni informatiche (art. 617 quater
c.p.) e la frode informatica (art. 640 ter c.p.).
Tali previsioni possono essere ritenute degli “aggiornamenti tecnologici” di incriminazioni
preesistenti, sotto il profilo specifico delle modalità della condotta, ma non cambia
l'interesse protetto. Il discorso opposto vale per i reati informatici in senso tecnico: qui
sussiste effettivamente un problema di individuazione del bene giuridico e le interpretazioni
a disposizione sono molte. In primo luogo, dobbiamo suddividere in due gruppi i cybercrime
“veri e propri”: da una parte il reato di accesso abusivo, dall'altra le diverse forme di
danneggiamento informatico.
Sul fondamento punitivo dell'accesso abusivo di cui all'art. 615 ter c.p.18 sono state proposte
alcune teorie: la più diffusa tra gli studiosi, recepita dalla Corte di Cassazione19, vi ravvede
la difesa di un nuovo bene, il cd. “domicilio informatico”. In breve, i dati registrati su un
computer e protetti da misure di sicurezza sono la proiezione “virtuale” del domicilio fisico;
quindi il domicilio fisico e quello informatico formano entrambi spazi di esclusiva
pertinenza della persona, cui estendere la tutela della riservatezza, bene di rango
costituzionale ex art. 14 Cost.
Funzionale alla piena garanzia della cd. riservatezza informatica è allora la fattispecie di
pericolo prevista dall'art. 615 quater c.p.20, che incrimina la detenzione e la diffusione
abusiva di codici di accesso: il legislatore intende perseguire non solo le avvenute violazioni
della sicurezza, ma anche le condotte univocamente dirette all'intrusione nel sistema, come il
procurarsi illegittimamente password altrui.
Altra dottrina21 critica la tesi del domicilio informatico, poiché porta a un arretramento
eccessivo della soglia di rilevanza: assumendo tale posizione, infatti, saremmo portati a
18
Per chiarezza espositiva trascriviamo in nota il dettato del primo comma dell'art. 615 ter c.p.: “(Accesso abusivo a un
sistema informatico o telematico). Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da
misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con
la reclusione fino a tre anni.”;
19
Cass. Pen., sez. VI, 4 ottobre - 14 dicembre 1999, ric. Piersanti, pubblicata su Cass. Pen., 2000, p. 2990 e disponibile
anche sul sito http://www.ictlex.net;
20
20 Questo è il testo dell'art. 615 quater c.p. sopra richiamato: “(Detenzione e diffusione abusiva di codici di accesso a
sistemi informatici o telematici). Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno,
abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso a
un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al
predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a lire 10 milioni.”;
21
21 MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro il patrimonio, Padova, 2009, p. 136;
18
tipizzare le semplici violazioni delle misure di protezione, non accompagnate da un'effettiva
cognizione dei dati riservati.
Se il bene protetto è la riservatezza degli archivi elettronici, allora risulta contraddittorio
punire il mero ingresso o mantenimento abusivo nella memoria del computer, senza
appurare se ne sia stato letto il contenuto. Il ragionamento è coerente, ma può servire tutt'al
più come suggerimento de jure condendo per una futura riforma del reato di accesso
abusivo: come vedremo nel prossimo capitolo, la lettera dell'art. 615 ter c.p.
Non accenna affatto alla presa di cognizione dei dati e quindi un simile requisito non può
essere inserito ex novo per via interpretativa.
Rimanendo in tema di bene giuridico protetto, vi è stato chi ha assunto una prospettiva
ulteriore, rifiutando le tesi del domicilio informatico e della riservatezza, nonché quella, del
tutto isolata, dell'accesso abusivo come reato di pericolo astratto rispetto al danneggiamento.
La disposizione tutelerebbe piuttosto l'interesse all'“indisturbato godimento” di un
dispositivo informatico; l'art. 615 ter c.p., cioè, dovrebbe incriminare le turbative nella
fruizione di un computer ai danni del legittimo utilizzatore. Il requisito delle misure di
protezione servirebbe a selezionare le condotte dotate di maggior disvalore, poiché
altrimenti sarebbero incriminati tutti gli usi indebiti di un sistema, con l'effetto abnorme di
una penalizzazione a tappeto.È infatti esplicita nella Relazione alla legge 547/93 la volontà
del legislatore di non punire i semplici “furti di tempo”, ossia gli sfruttamenti parassitari dei
servizi informatici altrui.
La tesi presta il fianco a molte critiche: prima fra tutte, la disposizione in esame non accenna
neppure indirettamente ad un effetto di turbativa arrecato dall'ingresso abusivo nel sistema;
inoltre, non si comprende a quale posizione giuridica debba riferirsi il “godimento
indisturbato”, potendo insistere sullo stesso computer diritti e facoltà di fonte e contenuto
differente. Infine, il difetto principale di questa ipotesi esegetica è lo scarso attaccamento
alla realtà delle intrusioni negli archivi informatici: nella maggior parte dei casi questi
accessi abusivi avvengono senza disturbare l'utente legittimo del computer, anzi spesso non
sono neppure scoperti. Ricordiamo solo l'esempio dei programmi backdoors, che creano
falle nascoste nelle misure di protezione del dispositivo, senza che la vittima possa
accorgersene.La teoria del “godimento indisturbato” ha però il pregio di sottolineare un
aspetto sottovalutato dai sostenitori del “domicilio informatico”: i dati contenuti in un
dispositivo elettronico non possono essere de plano assimilati ai dati riservati né ai dati
19
sensibili, anzi i file protetti non hanno tipicamente un contenuto personalistico, bensì un
valore economico.
Inoltre, a difesa della riservatezza dell'individuo esistono già le sanzioni penali del Codice
della Privacy (artt. 167 e seguenti del d.lgs. 196/2003), che predispongono una tutela ampia
ed esaustiva dei dati personali contro qualsiasi intervento o trattamento abusivo, a
prescindere dalla loro archiviazione in un sistema informatico protetto.
Non si può negare che la collocazione codicistica dell'art. 615 ter c.p. e la terminologia
impiegata dal legislatore del 1993 per la descrizione del fatto tipico siano poco felici, in
quanto suggeriscono un'analogia tra domicilio fisico e sistema informatico giuridicamente
debole e inesistente nella realtà. Bisogna peraltro evidenziare il fatto che l'art. 615 ter c.p.
contempla espressamente l'accesso a sistemi e non ai dati, quindi il baricentro
dell'incriminazione non poggia sul contenuto personale del dispositivo informatico, ma sulla
protezione con mezzi logici dello stesso; a conferma ulteriore possiamo citare la circostanza
aggravante nel terzo comma, dove figurano i computer di pubblica utilità, per i quali non
possiamo assolutamente parlare di archivio elettronico come proiezione della sfera
personale. Parlare quindi del bene della riservatezza informatica22 disorienta, poiché il reato
di accesso abusivo tutela sì un bene giuridico autonomo, ma è la sicurezza informatica.
Cosa significa sicurezza informatica? Vuol dire che il legislatore appresta una difesa
aggiuntiva, mai esclusiva, dei dispositivi informatici: l'utente deve prima predisporre delle
misure di protezione di tipo tecnico, anche molto semplici23, poi se queste non hanno
funzionato ed è avvenuta un'intrusione abusiva interviene il diritto penale.
Questa interpretazione rende la fattispecie pienamente conforme ai principi di proporzione e
sussidiarietà dell'intervento punitivo: qualora il soggetto passivo dell'accesso non si sia
precedentemente responsabilizzato, dimenticando di predisporre delle barriere minime agli
ingressi non autorizzati nel proprio sistema informatico, non può esigere dall'ordinamento
giuridico una reazione repressiva contro l'hacker.
22
Per le incertezze sul concetto di riservatezza in generale si veda MANTOVANI F., Diritto Penale. Parte speciale.
Delitti contro la persona, Padova, 2008, p. 533, nota n. 3;
23
Secondo la giurisprudenza prevalente l'art. 615 ter c.p. incrimina anche la violazione di misure insufficienti alla reale
protezione del computer, dovendosi escludere un requisito di idoneità delle barriere tecniche, Cass. Pen., sez. V, 7
novembre – 6 dicembre 2000, n. 1675, ric. Zara, pubblicata su Cass. Pen., 2002, p. 1018 ss.;.contra GUP Roma, 4-21 aprile
2000, disponibile sul sito www.penale.it;
20
In effetti, in assenza di limitazioni all'accesso o al mantenimento in un sistema informatico,
non si può nemmeno parlare di abusività della condotta, né di violazione della sicurezza,
poiché i sistemi e le reti possono essere solo in due modi: o protetti, nel senso che sono
utilizzabili solo da un numero determinato di soggetti, oppure aperti, che vuol dire a
disposizione di chiunque. Da tali considerazioni discende la soluzione per la qualificazione
giuridica dei cd. furti di tempo: essi non sono puniti dall'art. 615 ter c.p., perché non violano
la sicurezza informatica, causando solo uno spreco di risorse, penalmente irrilevante.24
Nel 2004 la Corte di Cassazione25 ha stabilito (finalmente) che non è ravvisabile il reato di
accesso abusivo se il sistema informatico o telematico nel quale l’imputato si inserisce non
risulta obiettivamente protetto da misure di sicurezza (per un uso specifico).
Se tutto ciò è vero, osserva l’autore Aterno, il concetto di domicilio informatico come bene
giuridico tutelato deve essere rivisto. Il bene protetto nell’intrusione informatica non può
essere (soltanto) ciò che intendiamo comunemente come “domicilio” definito inviolabile,
protetto con l’art. 614 c.p. e poi tutelato costituzionalmente con l’art. 14 perché altrimenti
non si spiega come mai la tutela è condizionata dalla presenza delle misure di sicurezza.
Il concetto di “domicilio”, continua Aterno, comunemente inteso, di cui al Titolo XII, Capo
II, sezione IV, art. 614 cp è qualcosa di diverso tanto che la sua tutela non è limitata dal
requisito delle protezioni o “misure di sicurezza”. In caso di intrusione informatica ritenere
che il solo bene giuridico tutelato è il “domicilio informatico” può creare qualche problema
interpretativo e applicativo, anche perché mal si concilia con le ipotesi aggravate del sistema
informatico di interesse pubblico, di interesse militare o relativo all’ordine pubblico, alla
sicurezza pubblica o alla sanità.
Dietro l’analisi della struttura del reato di accesso abusivo ad un sistema informatico vi è
dunque, la riflessione26 sul dilemma riguardo la sua collocazione come reato “di pericolo
astratto” o reato “di danno”
24
Aterno S .Le misure di sicurezza nel reato di accesso abusivo: l’agente deve averle neutralizzate, commento a sentenza
della Cassazione sul reato di accesso abusivo, in Diritto dell’internet, 1, 2008, Ipsoa;
25
“Non c’è reato di accesso abusivo se sul sistema informatico “attaccato” mancano le misure di sicurezza” (art. 615 ter
c.p.), commento alla sentenza della Corte di Cassazione Sez. VI, 27 ottobre 2004(dep. 30 novembre 2004), n. 46509. in
vedi all’Url: http://www.penale.it/page.asp?mode=1&IDPag=174;
26
Aterno S. "Il reato di accesso abusivo a sistema informatico tra reato di danno e reato di pericolo", reperibile all’URL
www.penale.it
21
Alla luce del bene della sicurezza informatica è preferibile interpretare anche la fattispecie
incriminatrice sub art. 615 quater c.p., in modo da descriverla come un reato di pericolo
concreto. Riteniamo infatti che la previsione del requisito dell'idoneità dei codici a violare le
barriere poste all'accesso di un sistema dovrebbe essere accertata effettivamente e non
presunta o dedotta dalle caratteristiche astratte della password.
Per esempio, procurarsi o diffondere una parola chiave (seppur esatta) di un computer con
più livelli di protezione non integra il reato, poiché il codice d'accesso è inidoneo in concreto
a ledere la sicurezza di quel particolare dispositivo informatico. Lo stesso ragionamento può
essere applicato alle password errate, da ritenere escluse dalla fattispecie anche quando
presentino delle qualità astrattamente idonee a violare le misure di protezione.
Passando al secondo gruppo di reati informatici stricto sensu, l'individuazione del bene
giuridico sottostante alle incriminazioni del danneggiamento virtuale si dimostra meno
problematica. In dottrina è opinione condivisa che l'interesse protetto sia l'integrità
informatica, ossia la salvaguardia di dati, programmi e sistemi dalla loro alterazione o
cancellazione abusiva. Occorre però chiarire il concetto di “integrità”: esso non si riduce a
una conservazione statica delle impostazioni fissate nel computer, ma si rivolge alla
funzionalità del dispositivo, in altri termini alla sua capacità di svolgere operazioni.
La precisazione ha importanti ricadute applicative: nel caso in cui un malware cancelli
alcuni dati contenuti nella memoria elettronica di un computer, il sistema operativo non
subisce danni, né il programma che gestisce il salvataggio dei file, ma quello specifico
archivio è reso inservibile per la funzione cui l'utente lo aveva destinato e quindi ricorre una
lesione della integrità informatica.
Viceversa, il criterio della funzionalità consente di escludere la tipicità di alterazioni minime
come la modifica temporanea dell'aspetto grafico di uno schermo (che invece sarebbe
rilevante in una concezione rigida della integrità informatica).
Anche l'inserimento di dati falsi o estranei in file preesistenti è una condotta lecita di
principio, fatta eccezione per l'intervento abusivo su un documento informatico avente
efficacia probatoria, punibile ai sensi dell'art. 491 bis c.p., cioè a titolo di falso informatico.
Dagli esempi emerge chiaramente come le offese all'integrità informatica, per essere ritenute
tali, debbano comportare l'inservibilità -almeno parziale- dei dati o dei sistemi alterati,
ispirandosi così al modello del danneggiamento comune nell'art. 635 c.p.; la condotta del
“rendere inservibili” era contemplata dall'art. 635 ter c.p. nella versione originaria del 1993
22
ed oggi dagli articoli 635 quater e 635 quinquies c.p., che sanzionano il danneggiamento di
sistemi informatici e telematici.
L'interesse all'integrità dei dispositivi assume valenze diverse a seconda della funzione
pubblica o privata dei computer danneggiati: le aggressioni a sistemi di uso privato sono
perseguite in un'ottica patrimonialistica (procedibilità a querela della persona offesa, sulla
falsariga della fattispecie non aggravata di danneggiamento), mentre le azioni rivolte contro
impianti di pubblica utilità sono represse già allo stadio dell'attentato, poiché oltre
all'integrità informatica esse minacciano l'ordine pubblico e l'incolumità pubblica.
Pure il reato di diffusione di programmi dannosi, previsto dall'art. 615 quinquies c.p.27, è
finalizzato alla tutela dell'integrità informatica, anticipando la soglia di rilevanza penale a un
momento anteriore rispetto all'evento lesivo. Sicuramente si tratta di una fattispecie di
pericolo, per alcuni commentatori addirittura di reato ostacolo28.
In ogni caso la fattispecie è molto discussa in dottrina, sin dalla sua introduzione con la
legge 547/1993; in seguito, la legge 48/2008 di ratifica della Convenzione Cybercrime ha
nuovamente riscritto il fatto tipico.
Sintetizzando, il testo originale dell'art. 615 quinquies c.p. puniva una serie di condotte
relative a programmi “aventi per scopo o per effetto” il danneggiamento informatico.
Il legislatore aveva adottato un criterio obiettivo per selezionare i comportamenti illeciti,
ossia guardava alle caratteristiche dei malware in sé, senza considerare le reali intenzioni
dell'agente: al limite, poteva essere punito anche l'esperto informatico che testasse un virus a
scopo scientifico e che, inavvertitamente, cagionasse danni al sistema in uso. La deriva verso
un'imputazione colposa e persino obiettiva era un rischio evidente; sotto il profilo dell'offesa
dell'integrità informatica, inoltre, la fattispecie contemplava le condotte di diffusione,
comunicazione e consegna del programma dannoso, che sono ancora ben lontane dal
danneggiamento di un sistema, in quanto prescindono dalla successiva attivazione del
malware. Per come era formulata, la fattispecie poteva pacificamente applicarsi alla
diffusione di un virus mai entrato in funzione o innocuo per un difetto di programmazione,
27
Il testo attuale dell'art. 615 quinquies c.p. recita: “(Diffusione di apparecchiature, dispositivi o programmi informatici
diretti a danneggiare o interrompere un sistema informatico o telematico). Chiunque, allo scopo di danneggiare
illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso
pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o
programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”;
28
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, Padova, 2008, p. 526-527;
23
soltanto perché creato con l'obiettivo di danneggiare. La novella del 2008 ha introdotto un
elemento soggettivo di tipicità, inserendo il dolo specifico di “danneggiare illecitamente un
sistema ovvero di alterarne il funzionamento”; tuttavia, ha allo stesso tempo eliminato il
parametro oggettivo della portata dannosa del programma. Considerato il fatto che l'elenco
delle condotte è stato dilatato fino a comprendere la produzione e la detenzione di un
malware, il risultato della modifica è un'ulteriore anticipazione della tutela, assai difficile da
adeguare ai principi di offensività e proporzione.29
Se già si sospettava che l'art. 615 quinquies c.p. fosse nato come un reato di pericolo
presunto, adesso, dopo le modifiche del 2008, questo sospetto è divenuto certezza.
L'intenzione -non dichiarata- del legislatore è quella di incriminare il cd. “rischio
tecnologico” insito al settore dell'informatica; perde significato l'offensività della condotta,
perché il disvalore è concentrato tutto sulla mera volontà di ledere l'integrità dei sistemi
altrui.
Probabilmente la giurisprudenza compierà un'opera di ortopedia interpretativa, che eviti
risvolti pratici abnormi: stando alla lettera della disposizione, per fare solo un esempio, è
tipica la condotta di chi, animato da intenti vandalici, crei un programma assolutamente
inoffensivo e lo salvi nel computer, senza neppure comunicarlo all'esterno.
Dov'è la messa in pericolo dell'integrità informatica? Forse sarebbe stato meglio tenere tutti
e due i criteri selettivi: quello oggettivo, sulle qualità del programma, e soggettivo, il nuovo
dolo specifico.
Inoltre, dovrebbero essere tipizzate esclusivamente le condotte diffusive, poiché la
produzione e la detenzione di un programma dannoso non sono affatto pericolose per
l'integrità dei computer altrui. Così l'area di operatività della norma si restringerebbe e,
forse, avremmo finalmente stabilito un collegamento tra l'inoculazione volontaria del
malware nel dispositivo bersaglio e la probabilità dell'evento lesivo.
Bisogna sottolineare a questo punto che i due “beni informatici” della sicurezza e
dell'integrità devono essere tenuti su piani distinti: essi hanno significati diversi, dato che la
sicurezza riguarda lo “scudo esterno” dei dispositivi e l'integrità il loro funzionamento
interno.
29
SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione. Profili di diritto penale e
prospettive de jure condendo, in Ciber. Dir., 2008, n. 9, p. 352-353;
24
Alcuni indici normativi dimostrano che il fondamento punitivo dell'accesso abusivo sia
differente da quello del danneggiamento informatico30; il più importante fra questi è
l'assenza del requisito delle misure di protezione nelle disposizioni sul sabotaggio virtuale.
Sono pertanto penalmente rilevanti tutte le condotte distruttive, modificative e comunque
lesive della funzionalità di un dispositivo informatico indipendentemente dall'esistenza di
barriere di sicurezza.
L'integrità dei software è allora tutelata in maniera autonoma dalla sicurezza dei sistemi: se
un soggetto commette un accesso abusivo e dopo ciò danneggia il computer violato, egli
sarà punito ai sensi del reato aggravato dall'evento di cui all'art. 615 ter comma 2 n. 3 c.p.; in
breve, il reato di danneggiamento non assorbe quello di ingresso illecito, né accade
l'inverso.31
Dopo queste riflessioni sugli interessi lesi dai reati informatici, possiamo concludere che i
beni giuridici nuovi, nati dall'affermazione delle tecnologie informatiche nella società, sono
soltanto due: la sicurezza, tutelata dalle norme sull'accesso abusivo e sulla detenzione illecita
di password altrui, e l'integrità, protetta a stadi differenziati dai reati di danneggiamento, di
attentato a computer pubblici e di produzione e distribuzione di malware.
Dal punto di vista del diritto penale sostanziale, gli interessi protetti da reati informatici
costituiscono, senza ombra di dubbio, il tema più complesso; sussistono tuttavia altre
incongruenze con gli istituti di parte generale, che presenteremo adesso in modo schematico,
per completare le osservazioni sui problemi generali dei cybercrime.
Sono questioni non ancora affrontate dal legislatore né dalla giurisprudenza, sebbene
esigano una soluzione chiara sin dalla promulgazione della legge 547/1993.
4.2 Altre discrasie tra gli istituti di parte generale e i cybercrime
30
In senso contrario PICOTTI L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici
tutelati, cit., p. 62;
31
LUSITANO D., In tema di accesso abusivo a sistemi informatici o telematici, in Giur. It., 1998, p. 1926;
25
Il primo momento di crisi del diritto penale tradizionale si percepisce guardando alla
tipizzazione delle condotte. Il legislatore italiano è schiavo di un metodo iper-casistico in
diverse disposizioni, come se le avesse redatte nell'ansia di comprendere qualunque illecito
tecnologico presente e futuro. In realtà, la predisposizione stessa di elenchi tassativi fa sì
che, inevitabilmente, qualcosa resti fuori; nel contesto dei cybercrime, per giunta, il
progresso inarrestabile delle modalità commissive rende vani gli sforzi di definire le
condotte in termini puntuali.
Meglio sarebbe stato, quindi, un approccio intermedio, che combinasse la determinatezza del
metodo casistico con l'elasticità di clausole di chiusura.
Le fattispecie sull'hacking e sul danneggiamento virtuale, invece, sebbene a una rapida
lettura sembrino onnicomprensive, non riescono a tipizzare nuovi abusi dei dispositivi
elettronici, quali gli attacchi DDoS (collocabili a metà strada tra il vandalismo e
l'interruzione di comunicazioni), il phishing e i furti di identità digitale.32
Una seconda zona grigia è rappresentata dal luogo e tempo di commissione del reato
informatico, in particolare quando esso è realizzato via Internet; secondo la dottrina si
dovrebbe considerare di regola il luogo dell'evento, perciò in caso di accesso abusivo a
distanza, per esempio, il luogo di consumazione è quello in cui si trova il dispositivo violato
e non il computer utilizzato dall'autore.
La giurisprudenza, invece, non ha ancora fornito risposte chiare sul locus commissi delicti
dei reati informatici: alternativamente si considera luogo della consumazione il computer
dell'indagato oppure la sede del dispositivo danneggiato. È documentato almeno un caso33 in
cui è stato ritenuto competente il giudice del luogo in cui si trovava il computer da cui era
partito l'attacco.
32
Di queste tre condotte atipiche per il diritto penale ci occuperemo alla fine del Secondo Capitolo.
33
FLOR R., Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto,
in Dir. Pen. Proc., 2008, n. 1, p. 109; 96 Cass. Pen., sez. III, 11 febbraio 2000, n. 5397, commentata da GENOVESE F. A.,
I reati a mezzo Internet e il radicamento della giurisdizione negli stati nazionali, in ILARDA G. – MARULLO G. (a cura
di), Cybercrime: conferenza internazionale. La convenzione del Consiglio d’Europa sulla Criminalità Informatica, Milano,
2004, p. 178-179;
26
Quando vi sono incertezze circa il luogo della consumazione è comunque possibile ricorrere
alle regole suppletive per la determinazione della competenza, di cui 92 Vedremo nel Capitolo
Secondo la tecnica casistica degli articoli 615 ter, 615 quinquies e 635 bis c.p.. all'art. 9 c.p.p.34
Per quanto concerne il tempus commissi delicti, non si può sottacere il frequente lasso
temporale intercorrente tra l'azione e il verificarsi delle conseguenze lesive: la trasmissione
di un malware può danneggiare il dispositivo bersaglio anche a distanza di settimane o mesi,
con il risultato di rendere arduo l'accertamento successivo del nesso causale.
È proprio la difficoltà di adeguare la causalità penale al funzionamento spesso imprevedibile
delle tecnologie informatiche il nodo gordiano dei cybercrime, nodo reciso nettamente dal
nostro legislatore con l'inserimento di numerose fattispecie di pericolo o di attentato.
Le fattispecie di mera condotta consentono di evitare le complesse perizie informatiche
sull'apporto causale dell'operazione criminosa; d'altronde, esse possono anticipare la risposta
punitiva a una fase eccessivamente anteriore rispetto alla effettiva messa in pericolo del
bene. In effetti ci pare che ciò sia successo per il reato di produzione di malware: non
essendo determinabile con certezza la pericolosità di ogni programma informatico, l'art. 615
quinquies c.p. la presume per tutti i software finalizzati alla manipolazione abusiva dei
sistemi operativi, e non ammette alcuna prova contraria da parte dell'imputato.
Anche l'elemento psicologico dei reati informatici presenta profili peculiari, che dipendono
solo in minima parte dalla virtualità del contesto, in quanto, pur essendo offesi beni
immateriali, in genere l'autore è consapevole della illiceità e della portata offensiva della
propria condotta.
La particolarità principale, invece, attiene al rapporto tra l'uomo e le tecnologie
informatiche, una relazione più sfaccettata del semplice legame soggetto-oggetto. Come è
stato giustamente osservato dalla dottrina35, l'idea stessa di dolo non ha molto senso quando
si utilizzano dispositivi elettronici, poiché è volontario soltanto il comando impartito
34
Art. 9 c.p.p. “(Regole suppletive). 1. Se la competenza non può essere determinata a norma dell'art. 8, è competente il
giudice dell'ultimo luogo in cui è avvenuta una parte dell'azione o dell'omissione. 2. Se non è noto il luogo indicato nel
comma 1, la competenza appartiene successivamente al giudice della residenza, della dimora o del domicilio dell'imputato.
3. Se nemmeno in tale modo è possibile determinare la competenza, questa appartiene al giudice del luogo in cui ha sede
l'ufficio del pubblico ministero che ha provveduto per primo a iscrivere la notizia di reato.”
35
Commento all'art. 5 della l. 547/1993, in Legisl. Pen., 1996, p. 122;
27
dall'utente, mentre la sua esecuzione dipende da processi automatizzati sottratti al controllo
dell'individuo.
Ecco spiegato il motivo per cui nei capi d'imputazione per reati informatici viene quasi
sempre contestato il dolo eventuale, sostenendosi che l'imputato, inserendo un determinato
input nella macchina, ha per lo meno accettato il rischio che questa svolgesse operazioni
vietate dalla legge. La linea di confine tra dolo eventuale e colpa con previsione è comunque
molto sottile in questo ambito, anzi sembra che atteggiamenti di mera negligenza, come
l'inoltro immediato di mail contenenti virus nascosti, vengano qualificati come dolo
eventuale solo per fini repressivi.
Lo stesso discorso dovrebbe valere anche per gli hacker contattati da organizzazioni
criminali per compiere attività preparatorie alla realizzazione di reati informatici più gravi;
stiamo facendo riferimento alle acquisizioni di password “commissionate” ad esperti di
informatica da parte di esponenti mafiosi, per poi servirsene in elaborate frodi elettroniche.
Il crimine organizzato ha infatti scoperto da alcuni anni le potenzialità dei reati informatici e
la sua influenza su determinati tipi di violazioni (danneggiamenti, accessi abusivi,
intercettazioni, oltre al “classico” riciclaggio) è in continuo aumento.
L'hacker che fornisce la propria “prestazione professionale” a terzi spesso ignora il
successivo utilizzo delle password copiate; se così è, egli non dovrebbe rispondere né di
reato associativo né di concorso nel fatto commesso da altri grazie alle chiavi d'accesso che
ha comunicato. Resta ferma, ovviamente, la responsabilità dolosa dell'hacker per le
fattispecie mono soggettive di accesso abusivo (art. 615 ter c.p.) e di distribuzione illecita di
codici d'accesso (art. 615 quater c.p.).
5 Difficoltà e tecniche specifiche nelle indagini sui reati informatici
Abbiamo appena detto che il contesto virtuale proprio dei reati informatici non ne stravolge
il dolo, almeno nelle fattispecie mono soggettive; viceversa, la dimensione immateriale dei
cybercrime ha sempre un fortissimo impatto sugli aspetti processuali e, in modo peculiare,
sulle tecniche di indagine.
Anche quando la vittima del reato informatico denuncia la violazione alle autorità36, la
ricerca dell'autore si complica notevolmente rispetto a un'indagine “tradizionale”.
36
Per i cybercrime la cd. “cifra oscura del reato” è molto elevata: chi subisce un accesso abusivo, un sabotaggio virtuale o
una frode informatica è invero restio a sporgere querela, poiché conscio della probabile inutilità delle indagini sul
28
I computer e le reti telematiche offrono invero ampie possibilità di anonimato a chi abbia
una buona conoscenza di queste tecnologie. Esistono difatti vari strumenti per occultare
l'identità del soggetto agente, ma ciò non significa che siano tutti insuperabili.
I metodi più affermati sfruttano in modo abusivo il funzionamento di Internet: innanzitutto,è
possibile inviare e-mail anonime, celando i dati che consentono di rintracciare il computer
del mittente (indirizzo IP), ovvero strumentalizzando illecitamente i computer server
“schermo” (proxy server), nati al fine di garantire l'anonimato su Internet per ragioni di
sicurezza.37
Succede pure di individuare immediatamente da quale computer sia partito l'attacco, salvo
poi scoprire che tale dispositivo appartiene a un internet point irregolare, dove non viene
registrata l'identità dei clienti. Il risultato è identico: l'anonimato dell'autore del fatto.
Un'altra tecnica ricorrente si basa sui software di crittografia38 o su quelli di rimozione totale
degli archivi elettronici (wiping, letteralmente “spazzar via”), che il soggetto attivo del reato
impiega per nascondere o eliminare irreversibilmente le tracce lasciate dalla sua navigazione
sul Web.
Infine, un hacker può decidere di falsificare la provenienza delle email e delle aggressioni ai
computer altrui, invece di cifrarla o cancellarla. Entra in gioco lo strumento dello spoofing1
39
in inglese imbroglio, che inserisce informazioni erronee nei registri elettronici riguardo al
percorso svolto dai comandi dannosi.
Tutte queste tecniche appaiono insormontabili a un soggetto privo di competenze
informatiche a livello professionale; tuttavia con conoscenze e mezzi adeguati è possibile quasi sempre- fare breccia nell'anonimato online. Per esempio, si possono decodificare i dati
responsabile; inoltre, se ad essere colpito è un soggetto che esercita un'attività economica, allora i danni all'immagine
derivanti dalla pubblicità negativa superano i benefici di una repressione penale. Pensiamo a un istituto di credito o a un
sito di ecommerce: se si diffondesse la notizia che i loro sistemi di sicurezza sono stati violati, i clienti passerebbero alle
imprese concorrenti, perché ispirano maggiore fiducia sulla protezione informatica.;
37
Si pensi all'anonimato per siti di dissidenti politici in Paesi con forte censura. Peraltro, non esiste un obbligo di
identificazione degli utenti su Internet, quindi l'anonimato è di base una facoltà a disposizione di tutti gli individui, che ne
possono usufruire tranquillamente per attività lecite.
38
Il tipo di crittografia più difficile da decifrare è la steganografia, la quale opera su due livelli: prima codifica
un'informazione e la sua chiave di decifrazione, poi nasconde l'esistenza stessa del file criptato, cui si può risalire solo dopo
una complessa operazione di steganalisi. Questa tecnica quindi non solo nasconde il codice di accesso ai dati protetti, ma
anche il fatto che esistano. Per esempio, da un elenco di nomi e indirizzi il sofware di steganografia può creare un
insospettabile file di immagine, che solo con strumenti sofisticati rivela il suo significato
Nascosto;
39
Vedi retro al paragrafo 1 sui tipi di spoofing.
29
criptati con software appositi, oppure si può risalire alla fonte dell'attacco chiedendo la
collaborazione dei gestori dei proxy server o degli internet point.
Quasi impossibile è invece recuperare i dati soppressi con il metodo del wiping; per fortuna
i software di rimozione totale della memoria elettronica sono piuttosto costosi e lenti e per
questi due motivi di solito non sono usati per coprire la commissione di un reato
informatico.
In sostanza, gli ostacoli alla determinazione dell'“identità virtuale” non sono granitici come
si teme, sempre che vi siano numerosi esperti di informatica ed altrettanti apparecchi
tecnologici a disposizione delle autorità investigative.
Supponiamo che l'autore del reato sia stato prontamente individuato e che si sappia anche
dove si trovi il dispositivo impiegato per la commissione del reato: si apre a questo punto
una nuova serie di interrogativi, inerenti le regole per la ricerca delle prove.Nelle indagini
per reati informatici le esigenze di tempestività dell'attività investigativa sono assai
pressanti, perché i file sono per definizione informazioni volatili e facilmente
alterabili,perciò il pericolo di distruzione o inquinamento probatorio da parte dell'indagato è
altissimo.40 È altrettanto elevato il rischio che gli inquirenti stessi modifichino
inavvertitamente i dati originali mentre li copiano o li analizzano.
In Italia le cd. tecniche di computer forensic sono poco conosciute ed applicate, soprattutto
perché ancora non abbiamo maturato un'esperienza consolidata nelle indagini per reati
informatici, a differenza del mondo anglosassone, dove ormai da anni circolano manuali
operativi per il corretto trattamento della prova digitale41.
La computer forensics42
è un processo teso alla “manipolazione controllata” e più in
generale al trattamento di dati e/o informazioni digitali e/o sistemi informativi per finalità
investigative e di giustizia , adottando procedure tecnico-organizzative tese a fornire
adeguate garanzie in termini di integrità, “autenticità” e disponibilità delle informazioni e
dei dati in parola.
40
PECORELLA C., Diritto penale dell’informatica, Padova, 2006, p. 33;
La guida operativa fondamentale è costituita dal manuale, periodicamente aggiornato, della sezione cybercrime del
Dipartimento
di
Giustizia
statunitense,
scaricabile
gratuitamente
dal
sito
internet
http://www.cybercrime.gov/ssmanual/ssmanual2009.pdf;
42
Definizione di Costabile G. Presidente IISFA Itralian Chapter(www.iisfa.it) CIFI,ACE,CGEIT in Ciberspazio e diritto
2010 Vol.11n.3,pp 465;
41
30
Nel linguaggio comune, inoltre, per computer forensics si intende anche il processo
investigativo mediante il quale si utilizzano tecniche informatiche43 per raccogliere indizi o
fonti di prova di varia. natura
Il rischio di “allargamento”dice l’autore Costabile di questa definizione potrebbe portare ad
“abusare” del ruolo di tale disciplina nei vari contesti investigativi, spostando cosi di fatto il
baricentro a favore dell’informatica la quale, invece, deve rimanere il più possibile neutra ed
“al servizio” di questa o altra materia. In tal caso potremmo definire una “nuova” disciplina
dal nome “digital investigation” o “informatica investigativa”, sorella della computer
forensics e cugina della più nota informatica giuridica.
I principi generali di legittimità, trasparenza e verificabilità44 non si discostano in maniera
significativa da quelli delle indagini tradizionali, salva la maggiore attenzione nei confronti
dell'integrità delle informazioni ottenute dai computer sequestrati. Basta infatti riavviare il
computer per cambiare in modo irreversibile i registri delle attività e perciò rendere
potenzialmente inutilizzabili i dati digitali in sede processuale.
La computer forensic in realtà è una disciplina che non stabilisce standard generali per le
indagini su dispositivi informatici, bensì raccoglie una mole di regole pratiche eterogenee,
43
(ad esempio identificare l’intestatario di una linea dati o di un sito Web), oppure quando l’informatica assume un ruolo di
mero strumento facilitatore dell’investigatore stesso (nei casi più semplici si tratta di ricercare informazioni sul Web tipo
una fotografia dell’indagato oppure identificare un latitante che usa imprudentemente Facebook, Twitter o altri social
network; in quelli più complessi nell’uso di sistemi di business intelligence finalizzati alle correlazioni non dirette tra
persone, telefonate, sospetti, informazioni).
44
Le linee guida per il trattamento delle prove digitali sono state riassunte dal Progetto Falcone della Commissione
Europea in sei principi: a) mai compiere azioni che possano modifcare i dat nel computer se questi devono essere
utilizzati in un processo penale; b) l'accesso ai dat originali è consentito solo in circostanze eccezionali e comunque il
soggetto incaricato deve essere adeguatamente formato secondo gli standard UE; c) la storia delle registrazioni deve essere
conservata, affinché un terzo indipendente possa esaminare tali attività investigative e giungere ai medesimi risultati. È
questo il principio della trasparenza nei metodi d'indagine; d) applicare alle prove digitali i principi generali della
Convenzione Cybercrime e tutte le regole probatorie con esse compatibili. Principio della legalità nelle indagini virtuali; e)
incoraggiare il più possibile la collaborazione tra agenzie di nazionalità diverse, al fine dello scambio di best practices; f)
l'ufficiale di polizia incaricato ha la responsabilità del rispetto di tali principi e delle regole procedurali vigenti. Fonte:
Guide to best practice in the area of Internet crime investigation. EU Commission - Falcone Programme Training on
Cyber Crime Investigation, Project No. JAI/2001/Falcone/127;
31
progressivamente migliorate dall'esperienza e dall'evoluzione tecnologica degli strumenti
investigativi.45
Visto l’argomento vasto e dettagliato, in questa sede possiamo pertanto fornirne in un
quadro sintetico, solo alcuni tratti.
Le scansioni procedimentali sono tre: il primo passo è l'individuazione del computer
presumibilmente utilizzato per la commissione di un reato; il secondo consiste nella
acquisizione dei dati ivi registrati; il terzo e ultimo momento è quello dell'analisi forense
delle informazioni copiate dal disco originale.
Nella prima fase sono essenziali i dati di traffico conservati dagli Internet provider, ossia le
società che gestiscono l'accesso alla rete; dai loro registri, infatti, si può ricavare quale utente
si sia connesso al Web a una certa ora e la durata di ogni collegamento al Web. Nell'art. 132
d.lgs. 196/2003 (Codice della Privacy), la registrazione dei dati relativi al traffico
telematico,46 tecnicamente definita “data retention”, presenta tempi e modalità diverse, a
seconda delle finalità perseguite con la conservazione dei registri.
Se i dati di traffico telematico sono registrati ai fini della fatturazione per l'abbonato, il
tempo massimo di conservazione è sei mesi; i termini sono invece aumentati qualora vi
siano esigenze di accertamento e repressione dei reati. In quest'ultimo caso il d.lgs.
109/2008, che ha modificato l'art. 132 Codice della Privacy, instaura una sorta di “doppio
binario”: su un versante abbiamo le richieste rivolte all'Internet provider dal pubblico
ministero, sull'altro quelle provenienti dal Ministero dell'Interno e dalle forze di polizia.Il
Pubblico Ministero, anche su istanza del difensore dell'imputato, della persona sottoposta
alle indagini, della persona offesa e delle altre parti private, può richiedere con decreto
motivato la conservazione dei dati di traffico telematico per un anno; gli ufficiali di polizia,
anche in relazione a domande di assistenza giudiziaria provenienti da autorità straniere,
possono invece ordinare la registrazione per 90 giorni, prorogabili fino a sei mesi, allo scopo
45
Si consiglia per una lettura di approfondimento della materia i seguenti testi:Computer Forencis- e Indagini DigitaliManuale Tecnico-Giuridico e casi pratici, Autori: Stefano Aterno, Francesco Cajani, Gerardo Costabile, marco
Mattiucci, Giuseppe Mazzaraco Ed Experta. 2011 – Aterno S. “La computer forensic tra teoria e prassi: elaborazioni
dottrinali e strategie” rivista “Ciberspazio e diritto – Cyberspace and Law” – 2007, Mucchi (Bologna); - Il libro “La
perizia e la consulenza tecnica” (Aterno- Mazzotta) – Manuale teorico – pratico Collana “Le ragioni del Diritto”, per
le edizioni Cedam, 2006
46
Dati di traffico telematico sono i cd. file di log: indirizzo IP, data, ora e durata del collegamento a Internet, mittenti e
destinatari dei messaggi di posta elettronica, interlocutori delle telefonate con il protocollo VOIP (voice over internet
protocol). Al contrario, sono sempre assolutamente esclusi da qualsiasi tipo di registrazione i contenuti delle navigazioni
sul Web, ossia i cd. Content data.
32
di svolgere intercettazioni preventive o indagini su specifici reati (mafia, terrorismo, traffico
di droga, pedofilia virtuale gli ambiti più importanti).
Le richieste avanzate dalle forze di polizia devono comunque essere comunicate entro 48 ore
al pubblico ministero del luogo di esecuzione del data retention, il quale le convalida se ne
ricorrono i presupposti di legge. Se manca la convalida del p.m., i provvedimenti degli
ufficiali di polizia perdono efficacia.
Questa attività di registrazione è paragonabile al “congelamento” dei dati (freezing), in
quanto essi vengono custoditi dal provider senza che questi possa in alcun modo intervenire
per modificarli o comunicarli a terzi: i registri sul traffico telematico sono difatti segreti e la
loro rivelazione è punita ai sensi dell'art. 326 c.p. (rivelazione di segreti d'ufficio).
Dopo l'individuazione del dispositivo informatico impiegato nella commissione del reato,
nella maggior parte dei casi grazie ai dati di traffico provenienti dagli Internet
provider,subentra la seconda fase dell'indagine, vale a dire la ricerca del materiale
utilizzabile in giudizio. Le strade percorribili sono varie: ispezione, perquisizione, sequestro
del computer oppure del server per la connessione alla rete.
Nelle indagini informatiche di solito si procede alla perquisizione e al conseguente sequestro
dei computer, mentre l'ispezione47 è un provvedimento di rarissima applicazione, a causa
della sua scarsa utilità.
Sorvolando sui moduli procedurali introdotti dalla legge 48/2008 48le attività di ispezione,
perquisizione e sequestro di mezzi tecnologici hanno tutte e tre il fine ultimo di acquisire
“prove digitali”, ossia quei dati informatici “in grado di stabilire se un crimine è stato
commesso e idonei ad individuare un fatto o una circostanza utile all'accertamento della
verità processuale”.
47
Aterno individua le differenze tra ispezione e perquisizione di un software: la prima attività potrebbe consistere nel
vedere semplicemente “da fuori” la struttura hardware con le eventuali periferiche e le connessioni alla rete, nonché
visualizzare il contenuto della memoria elettronica con programmi di preview (anteprima), che elencano i file e le cartelle
archiviati senza dover accendere la macchina. La perquisizione, invece, comporta un intervento diretto sui dati, per
esplorare le risorse del computer o anche solo per estrarre una copia del disco rigido. ATERNO S., Ispezioni e
perquisizioni, in CORASANITI G., CORRIAS LUCENTE G. (a cura di), Cybercrime, responsabilità degli enti, prova
digitale. Commento alla Legge 18 marzo 2008, n. 48, Padova, 2009, p. 211;
48
Si vedano gli articoli 244, 247, 248, 254 bis, 259, 260, 352, 353 e 354 c.p.p., come modificati dalla legge di ratifica della
Convenzione Cybercrime. La legge 48/2008 non ha rivoluzionato le regole sulla fase dinamica di ispezioni, perquisizioni e
sequestri informatici, bensì ha il pregio di esplicitare nelle relative disposizioni processuali il riferimento alle migliori
misure tecniche di indagine, cioè introduce “ufficialmente” la computer forensic nel nostro ordinamento;
33
Per raggiungere questo scopo occorre soddisfare due condizioni essenziali: la genuinità e
l'integrità dei dati informatici utilizzabili nel processo.49
L'acquisizione di un archivio elettronico a fini probatori è un'operazione delicata: sarebbe
del tutto sbagliato secondo le prescrizioni della computer forensic accendere il computer in
questione e aprirne tutte le cartelle, magari stampandone il contenuto. Come avevamo
accennato poc'anzi, il mero avvio della macchina ne modifica irreversibilmente i file di
registro e potrebbero sfuggire documenti importanti, salvati in cartelle nascoste o criptate.
Non basta quindi esplorare il software in qualità di utenti autorizzati.
Del resto, non è proponibile neppure il sequestro di macchine usate per amministrare
imprese o per erogare servizi di pubblica utilità, poiché i danni economici arrecati al titolare
sarebbero devastanti.
Si tratta, in sostanza, di una certificazione di conformità della copia all'originale, ovvero, per
dirla con le parole del legislatore del 2008, il metodo hash rappresenta “una procedura che
assicura la conformità della copia all’originale e la sua immodificabilità”.
La terza e ultima fase, quella di analisi del supporto informatico, richiede l'intervento di
esperti,50 in conformità alle previsioni degli articoli 359 e 360 c.p.p., rispettivamente sulla
consulenza tecnica e sull'accertamento tecnico non ripetibile.
I metodi prescritti dalla computer forensic sono molteplici e variano in funzione del
contenuto da analizzare: in certi casi può bastare l'apertura delle cartelle visibili, in altri è
necessario decifrare elementi nascosti.
Se oggetto del provvedimento sono invece i computer server, il sequestro delle
comunicazioni telematiche rientra nel regime ordinario del sequestro di corrispondenza sub
art. 254 c.p.p.; allo stesso tempo, però, il nuovo art. 254 bis c.p.p. pone in una posizione
delicata il gestore del server di posta elettronica, obbligandolo alla collaborazione con
l'autorità inquirente, nonostante il provider rischi un'imputazione per concorso nel reato
commesso dall'abbonato.
49
BRAGHÒ C., L'ispezione e la perquisizione di dati, informazioni e programmi informatici, in LUPARIA L. (a cura di),
Sistema penale e criminalità informatica. Profili sostanziali e processuali nella Legge attuativa della Convenzione di
Budapest sul cybercrime (l. 18 marzo 2008, n. 48), Milano, 2009, p. 195;
50
In merito all’esigenza di consulenti informatici, IISFA - International Information Systems Forensics Association di cui
Gerardo Costabile è il Presidente,(www.iisfa.it - www.iisfa.org) – sorge come l'organizzazione internazionale dei tecnici e
giuristi impegnati nella promozione scientifica dell’informatica forense attraverso la divulgazione, l'apprendimento e la
certificazione riconosciuta in ambito internazionale. Le attività ruotano intorno a un codice etico e alla partecipazione a un
network mondiale di professionisti. IISFA realizza un programma formativo di eccellenza basato su seminari periodici con
specifiche sessioni di laboratorio, corsi di alta formazione in Computer Forensics, forum, newsGroup,
pubblicazioni/Quaderni, laboratori scientifici;
34
Per garantire l'integrità e la genuinità dei dati informatici il metodo migliore in assoluto è la
copia dell'intera memoria elettronica, compresi gli spazi vuoti51 attraverso la creazione di
una bit-stream image 52cioè di una fotografia istantanea di tutti i bit presenti sul disco rigido,
grazie a un programma specifico, di nome Encase.
Questa fotografia viene salvata su un supporto esterno, un “clone”, sul quale lavoreranno gli
esperti di informatica forense, con il vantaggio di lasciare il computer originale alla
disponibilità del titolare.
A seguito della novella del 2008 il c.p.p. prevede espressamente l'adozione di misure
tecniche per l'immediata duplicazione su adeguati supporti dei dati informatici, ratificando
per legge le best practices preesistenti.53
La copia è inoltre protetta da qualsiasi modifica per mezzo di un particolare tipo di
crittografia, chiamato hashing, nel quale la chiave di decodificazione è un algoritmo unico e
irripetibile. Possiamo pensare alle funzioni hash come alle “impronte digitali” dei dati
copiati; questi algoritmi consentono di verificare se vi siano stati interventi successivi sui file
di copia: qualora la chiave d'accesso non corrisponda più alla bit-stream image, è infatti
matematicamente certo che il suo contenuto sia stato in qualche modo modificato.
Fondamentale in questo momento è la partecipazione attiva della difesa, soprattutto
effettuando consulenze tecniche nell'ambito delle indagini difensive; ai sensi dell'art. 233
comma 1 bis c.p.p.,54 il consulente tecnico della difesa può essere autorizzato ad esaminare
le cose sequestrate nel luogo in cui esse si trovano, ad intervenire alle ispezioni, ovvero ad
esaminare l'oggetto delle ispezioni alle quali il consulente non è intervenuto. Non è tuttavia
51
Gli spazi vuoti nell'hard disk possono infatti rivelare, a seguito di analisi tecnica, la presenza di documenti sotto
steganografia oppure possono provare la cancellazione di file “compromettenti”, come codici d'accesso altrui, da parte
dell'imputato;
52
LUPARIA L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa (l. 18 marzo 2008, n. 48). Profili
processuali, in Dir. Pen. Proc., 2008, n. 6, p. 719;
53
Un esempio chiarissimo dell'introduzione, o per lo meno della legittimazione definitiva, delle tecniche di computer
forensic nella nostra procedura penale è la modifica del secondo comma dell'art. 354 c.p.p., concernente gli accertamenti
urgenti: “In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali
della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la
conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su
adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.”;
54
Per completezza circa i presupposti e i soggetti legittimati riportiamo il testo del comma 1 bis dell'art. 233 c.p.p.:“il
giudice, a richiesta del difensore, può autorizzare il consulente tecnico di una parte privata ad esaminare le cose
sequestrate nel luogo in cui esse si trovano, ad intervenire alle ispezioni, ovvero ad esaminare l'oggetto delle ispezioni alle
quali il consulente non è intervenuto. Prima dell'esercizio dell'azione penale l'autorizzazione è disposta dal pubblico
ministero a richiesta del difensore. Contro il decreto che respinge la richiesta il difensore può proporre opposizione al
giudice, che provvede nelle forme di cui all'articolo 127”.
35
semplice per il consulente di parte analizzare ed estrarre copia del software sotto sequestro,
poiché nella maggior parte dei casi egli può accedere solo alla bit stream image creata dalle
forze di polizia e quindi è impossibile verificare se la copia sia stata prodotta osservando le
prescrizioni della computer forensic.
Il consulente della difesa in situazioni simili è costretto a fare “una copia della copia” e
limitarsi all'analisi di dati informatici acquisiti da altri.55
Il sistema delle prove digitali, dunque, presenta profili critici per i diritti dell'indagato e dei
terzi coinvolti nelle indagini (si pensi all'Internet provider); questi problemi non sono stati
considerati dalla legge di riforma 48/2008 e probabilmente saranno risolti per via
giurisprudenziale nei prossimi anni, quando in Italia si formerà un sapere consolidato sulle
indagini informatiche.
Abbiamo lasciato alla fine il “problema dei problemi” in ambito procedurale: la
determinazione della giurisdizione nei frequenti episodi di reato informatico transnazionale.
I cybercrime sono fenomeni intrinsecamente svincolati da un determinato territorio e i criteri
tradizionali per fissare il luogo di commissione del reato rischiano di rivelarsi obsoleti ed
inadeguati.
In dottrina è stata confermata la validità del cd. criterio dell'ubiquità previsto dall'art. 6
secondo comma c.p.56, purché non si creino sovrapposizioni con procedimenti avviati in
altre giurisdizioni.
La giurisprudenza, però, applica il criterio dell'ubiquità in modo espansivo, al fine di attrarre
alla giurisdizione italiana anche parti dell'azione di minima rilevanza; è infatti orientamento
costante della Corte di Cassazione ritenere sufficiente un frammento della condotta che non
55
LUPARIA L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa (l. 18 marzo 2008, n. 48). Profili
processuali, in Dir. Pen. Proc., 2008, n. 6, p. 720-721; 124Pone delicatissime questioni di giurisdizione la recente
tecnologia del cloud computing (nuvola di computer), grazie alla quale la memoria elettronica o addirittura l'intero sofware
di un computer viene “delocalizzata” in archivi elettronici molto più potenti e capienti, collegati via Internet al cliente. Se
l'individuo scarica programmi illeciti nella propria “nuvola”, ha giurisdizione penale lo Stato in cui si trova il relativo
gestore? Per questi primi interrogativi di diritto penale, privi di risposta per la loro assoluta novità, cfr. BUONO L., The
global challenge of Cloud Computing and EU Law, in EU Crim, 2010, n. 3, p. 117 s.;
56
Così dispone il secondo comma dell'art. 6 c.p.: “il reato si considera commesso nel territorio dello Stato, quando
l'azione o l'omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è ivi verificato l'evento che è la
conseguenza dell'azione od omissione.” 126 Ad inaugurare questo orientamento interpretativo -messo in discussione solo
da una parte della dottrina- è stata la decisione della Corte di Cassazione del 20 marzo 1963, n. 667, ric. Vajani;
36
raggiunga la soglia del tentativo. Basta perciò la commissione nel territorio nazionale di
meri atti preparatori, inidonei a realizzare il reato consumato, affinché al fatto si applichi la
legge penale italiana.57
Analogamente, in caso di concorso di persone nel reato, la giurisprudenza di legittimità ha
stabilito che, ai fini dell'art. 6 secondo comma c.p., è da considerarsi “parte dell'azione o
dell'omissione” qualsiasi frazione del contributo concorsuale avvenuta in Italia.58Le sentenze
che interessano direttamente i reati informatici commessi su Internet sono ancora poche, ma
si segnala in tema di giurisdizione una decisione della Corte di Cassazione su un caso di
diffamazione online59. La Corte ha correttamente applicato il criterio dell'ubiquità, di cui
all'art. 6 secondo comma c.p., a un fatto di diffamazione su siti stranieri, perché l'evento
(percezione dell'espressione offensiva da parte della vittima) si era verificato in Italia.
Nessuna decisione sui reati informatici, finora, ha affrontato il tema della giurisdizione
quando la condotta è tenuta “in parte” nel territorio italiano. Recente è la sentenza della
Corte di Cassazione60 che nel 2013 in merito al reato di Accesso abusivo a sistema
informatico o telematici sanciva la Competenza del giudice del luogo ove è collocato il
server violato
57
Ad inaugurare questo orientamento interpretativo -messo in discussione solo da una parte della dottrina- è stata la
decisione della Corte di Cassazione del 20 marzo 1963, n. 667, ric. Vajani;
58
Cass. Pen. n. 1963 del 1999, ric. Barbati, su Giur. it., 2002, p. 2054;
Cass. Pen., sez. V, 27 dicembre 2000, n. 4741, pubblicata sul sito www.penale.it;
60
Corte di Cassazione, sezione I penale, sentenza 27 maggio 2013 (dep. 27 settembre 2013), n.27440303 su s Accesso
abusivo a sistema informatico o telematico. Competenza del giudice del luogo ove è collocato il server violato e 40303
Con sentenza in data 29.6.2011 il Tribunale di Firenze dichiarava la propria incompetenza per territorio avuto riguardo al
giudizio nei confronti degli imputati specificamente indicati in ordine ai reati agli stessi contestati e disponeva la
trasmissione
degli
atti
al
Procuratore
della
Repubblica
presso
il
Tribunale
di
Roma.
Premessa la sussistenza della connessione tra i reati contestati e ritenuto più grave quello di cui all'art. 615-ter, comma 2 e 3
cod.pen., affermava che – come sostenuto dalla difesa degli imputati – detta fattispecie deve ritenersi consumata in Roma,
luogo in cui ha sede la banca dati riservata del Sistema d'Informazione interforze del Ministero Dell'Interno (SDI) nel
quale, secondo la contestazione, è avvenuto l'accesso abusivo con l'acquisizione di dati segreti, successivamente comunicati
dagli imputati ai
committenti.Evidenziava che l'interrogazione della banca dati con sede presso gli uffici del Ministero
dell'Interno avviene attraverso terminali collegati, situati su tutto il territorio nazionale negli uffici abilitati, con la
digitazione di credenziali di accesso dell'utente e che la condotta rilevante ai fini della consumazione del reato in
contestazione è esclusivamente quella dell'introduzione nel sistema informatico, o della permanenza al suo interno.
Pertanto, non possono prendersi in considerazione, ai fini della determinazione del luogo di consumazione del reato, né le
eventuali condotte successive di acquisizione ed uso dei dati, né il luogo in cui l'accesso al sistema è iniziato attraverso i
terminali i quali costituiscono strumenti di accesso privi di qualsiasi dato proprio. La procedura di accesso deve ritenersi,
infatti, mero atto prodromico alla reale introduzione nel sistema informativo che avviene solo nel momento in cui si entra
effettivamente nello SDI, dopo aver lanciato l'accesso e completato la validazione delle credenziali dell'utente che viene
fatta dal sistema centrale che si trova a Roma.
59
37
Se dovesse affermarsi anche per i cybercrime transnazionali un'interpretazione estensiva del
criterio dell'ubiquità, la conseguenza pratica sarebbe la frequente apertura di una pluralità di
procedimenti a carico dello stesso soggetto in diversi Paesi e, nella peggiore delle ipotesi, la
produzione di giudicati penali contrastanti sul medesimo fatto, emessi da più giurisdizioni
nazionali.
Al fine di evitare un siffatto bis in idem internazionale, si potrebbe sfruttare il trasferimento
di procedimenti sub art. 7 legge 146/2006 (legge di ratifica della Convenzione contro la
criminalità organizzata transnazionale), ma si frappongono due grossi ostacoli: il primo è il
necessario coinvolgimento di un gruppo criminale organizzato, circostanza ardua da
dimostrare nei reati informatici; il secondo è la sussistenza di accordi bilaterali con le
autorità straniere, che, al momento, mancano del tutto per ciò che concerne l'Italia. La
strategia migliore dunque è quella prospettata dall'art. 22 quinto comma della Convenzione
Cybercrime: la collaborazione tra Paesi sin dalla fase delle indagini sui reati informatici
transnazionali, al fine di prevenire i confitti di giurisdizione.61
Tratteremo più diffusamente i profili di cooperazione internazionale contro il cybercrime nel
terzo e ultimo capitolo; adesso, concluso il discorso sugli aspetti generali dei reati
informatici, è giunto il momento di osservare da vicino come si presenta la normativa in
Italia dopo le due leggi di riforma del c.p., la legge 547/1993 e la legge 48/2008.
61
L'art. 22 comma 5 della Convenzione di Budapest del 2001 prevede: “Quando più di uno Stato parte rivendica la
propria giurisdizione per una presunta infrazione prevista dalla presente Convenzione, le Parti coinvolte si consultano,
laddove sia opportuno, al fine di stabilire la giurisdizione più appropriata per esercitare l'azione penale.” Sulla norma
infra il Terzo Capitolo. La Commissione Europea ha poi elencato alcuni parametri non vincolanti per la soluzione dei
confitti di giurisdizione: territorialità, criteri relativi all’indagato o all’imputato, agli interessi delle vittime, agli interessi
dello Stato, nonché relativi all’efficacia e alla celerità del procedimento. Fonte: Libro Verde sui confitti di giurisdizione e il
principio del ne bis in idem nei procedimenti penali della Commissione Europea, Bruxelles, 23.12.2005 COM (2005) 696.
38
CAPITOLO SECONDO
LA NORMATIVA ITALIANA SUI REATI INFORMATICI
SOMMARIO: 1. Il primo cybercrime in senso stretto: l'accesso abusivo a un sistema informatico o telematico (art. 615 ter
c.p.); 2. Il secondo cybercrime "vero e proprio": il danneggiamento informatico nella disciplina degli artt.
635 bis, ter, quater e quinquies c.p.;3. Altre norme penali relative ai cybercrime in senso stretto; Il reato
"satellite" dell'accesso abusivo: la diffusione di codici d'accesso, art. 615 quater c.p.;3.1 Due fattispecie
connesse al danneggiamento di sistemi informatici e telematici: l'art. 392 c.p. e l'art. 615 quinquies
c.p.;4.Nuovi spazi per il diritto penale: il furto d'identità digitale e il phishing;4.1 La qualificazione
penalistica dell'identity thef;;5..Origine ed evoluzione del concetto di privacy in Italia;6. La privacy
europea.
Nel capitolo precedente abbiamo tracciato un quadro generale dei reati informatici,
riunendoli in una categoria unitaria che, a causa delle peculiari caratteristiche
fenomenologiche, pone nuovi ed interessanti interrogativi per il diritto penale. È giunto il
momento di passare a una trattazione più specifica, volta ad analizzare le singole fattispecie
incriminatrici dei cybercrime. L'obiettivo è quello di comprendere se ed in quale misura il
sistema penale attuale soddisfi le esigenze di tutela nate con l'avvento delle tecnologie
informatiche e delle reti telematiche.
Seguiremo l'ordine di esposizione già adottato nel primo capitolo, ovvero cominceremo dai
reati informatici "in senso stretto", vale a dire l'accesso abusivo e il danneggiamento, per poi
allargare il discorso ai più significativi "cybercrime impropri", in particolare il furto di
identità digitale ed il phishing. Le fattispecie incriminatrici sono state quasi tutte introdotte
dalla fondamentale legge 23 dicembre 1993, n. 547, recante "modificazioni ed integrazioni
alle norme del codice penale e del codice di procedura penale in tema di criminalità
informatica".
Concentreremo la nostra attenzione sul provvedimento del 1993, sebbene in tema di reati
informatici sia da menzionare anche la successiva legge 18 marzo 2008, n. 48 62, la quale, in
occasione della ratifica della Convenzione Cybercrime del 2001, ha apportato modifiche
(spesso più formali che di contenuto) ad alcune disposizioni codicistiche.
62
54 "Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23
novembre 2001, e norme di adeguamento dell'ordinamento interno";
39
Tuttavia, poiché i profili principali della legge 48/2008 vanno letti alla luce della normativa
internazionale, daremo maggior conto di tale provvedimento nel terzo capitolo; in questo
capitolo tratteremo soltanto dei "ritocchi" apportati da questa alle singole previsioni
sostanziali.
Infine, non dobbiamo dimenticare che alcuni reati informatici "in senso lato" sono contenuti
in leggi complementari; si pensi alla d.lgs. 231/2007, il cui art. 55 incrimina lo skimming, e
al d.lgs. 196/2003 (Codice della Privacy), il cui art. 167 sarebbe idoneo, secondo parte della
dottrina, a punire il fenomeno del furto d'identità digitale.
1. Il primo cybercrime in senso stretto: l'accesso abusivo a un sistema informatico o
telematico (art. 615 ter c.p.)
Iniziamo l'analisi normativa con l'art. 615 ter c.p., che prevede il reato di accesso abusivo a
un sistema informatico ovvero, per dirla nel gergo degli esperti di computer, l'hacking. Il
primo comma stabilisce che "chiunque abusivamente si introduce in un sistema informatico
o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa
o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni".
Abbiamo osservato in apertura del presente capitolo come il lessico impiegato dal legislatore
per descrivere il fatto tipico sia stato più influenzato dalla lettera dell'art. 614 c.p. (violazione
di domicilio) che non dalla terminologia delle scienze informatiche. Sorvolando dunque su
questo deficit di accuratezza tecnica, andiamo a vedere esattamente quali comportamenti
siano interessati dal reato in discorso. Vi sono due condotte alternative: l'introduzione
abusiva in un sistema protetto, su un versante, e, sull'altro, il permanere in un sistema
protetto contro la volontà del titolare. Comune a entrambe le condotte previste dall'art. 615
ter c.p. è un requisito molto controverso in dottrina e in giurisprudenza: la circostanza che il
sistema informatico o telematico violato sia protetto da "misure di sicurezza". Dare un
significato preciso alle misure di sicurezza, infatti, incide direttamente sull'oggetto materiale
del reato e, quindi, sull'estensione della sfera di operatività della fattispecie incriminatrice. In
breve, quali computer sono tutelati e quali no?
40
La giurisprudenza immediatamente successiva alla novella del 1993 ha interpretato la
nozione di misure di sicurezza in un'accezione amplissima: addirittura alcuni giudici
avevano affermato che un computer era protetto ai sensi dell'art. 615 ter c.p. quando
l'hardware si trovava in un locale chiuso al pubblico (ad esempio dietro una porta blindata)63
oppure le barriere di sicurezza fossero di tipo materiale e non logico (caso dell'elaboratore
con chiave fisica di accensione). Parte della dottrina concorda con questo indirizzo
giurisprudenziale, sulla base della genericità dell'espressione "misure di sicurezza" prescelta
dal legislatore del 1993. Più adatto al contesto informatico sarebbe stato il sintagma
"barriere di sicurezza" o "misure di protezione".
Il ragionamento ci pare di tipo nominalistico, poiché le "misure di sicurezza"64 di cui parla
l'art. 615 ter c.p. sono in grado di indicare tutti quei software e codici d'accesso necessari a
trasformare un sistema informatico da "aperto", cioè liberamente accessibile, anche a
distanza, in "chiuso", nel senso che di esso può usufruire solo un numero determinato di
operatori autorizzati.
La natura fisica delle barriere di protezione, per giunta, porta a paradossi pratici non
indifferenti: perché dovremmo punire l'infrazione della porta di un laboratorio informatico
se poi i computer ivi contenuti sono sistemi aperti?
Qualora ne dovessero ricorrere i presupposti, potremmo al massimo qualificare tale
comportamento come violazione di domicilio sub art. 614 c.p., ma non possiamo
assolutamente considerarlo un cybercrime. La collocazione spaziale del computer o della
rete non ha alcuna rilevanza in ambito di reati informatici, proprio perché oggetto della
tutela penale è la componente immateriale, il software.
Inoltre, negli ultimi anni gli archivi elettronici di aziende ed enti pubblici tendono sempre
più a migrare dal singolo disco rigido verso enormi database online, grazie alla tecnologia
del cloud computing; ciò non ha fatto altro che accentuare la -già forte- separazione tra parte
fisica e parte logica dei dispositivi informatici.
63
Cass. Pen., sez. V, 6 dicembre 2000, n. 12732, pubblicata su Cass. Pen., 2002, c. 1025;
I documenti internazionali sui reati informatici, connotati da una peculiare attenzione al lessico tecnico-informatico,
impiegano la medesima espressione "misure di sicurezza". Primo fra tutti il testo della Raccomandazione R (9) del
Consiglio d'Europa del 1989, che parla espressamente di security measures.
64
41
Le misure di sicurezza, dunque, non possono che proteggere solo quest'ultima parte del
computer, quella che lo differenzia da una cosa mobile65
Non ci pare decisivo neppure l'argomento della "violenza alle cose" (circostanza aggravante
all'art. 615 ter secondo comma, n. 2 c.p.), addotto dai sostenitori della natura materiale delle
misure di sicurezza. Il ragionamento è il seguente: se il legislatore ha previsto un
aggravamento sanzionatorio per il danneggiamento di cose tangibili, finalizzato all'accesso
abusivo a un sistema informatico, vuol dire che tale violenza può rivolgersi alle barriere
fisiche all'accesso, ovvero consistere nell'infrazione di sigilli, nella forzatura di serrature e
così via.
Premesso che le aggravanti dell'art. 615 ter secondo e terzo comma c.p. formano un elenco
eterogeneo, in cui sono richiamate persino la violenza a persone e la minaccia a mano
armata, la circostanza della violenza alle cose non presuppone affatto il carattere "fisico"
dell'accesso abusivo, bensì contempla una caratteristica accidentale della dinamica
criminosa, per due motivi.
Il primo motivo risiede nella lettera della norma: le circostanze aggravanti dell'art. 615 ter
secondo comma n. 2 c.p. sono state ricopiate da quelle dell'art. 614 quarto comma c.p.
(violazione di domicilio), senza che il legislatore si sia preoccupato troppo della loro
compatibilità con la fattispecie base.
In secondo luogo, la circostanza della "violenza alle cose" non implica necessariamente
un'attività materiale contro beni mobili o immobili, proprio a seguito della legge 547/1993.
L'intervento riformatore del 1993, infatti, ha messo mano alla definizione legislativa di
"violenza sulle cose", prevista agli effetti del diritto penale dall'art. 392 c.p.: è stato
arricchito l'articolo sull'esercizio arbitrario delle proprie ragioni di un terzo comma, in forza
del quale "si ha altresì violenza sulle cose allorché un sistema informatico viene alterato,
modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento
di un sistema informatico o telematico".
La nuova aggravante della violenza sulle cose, di conseguenza, può essere integrata pure
durante gli accessi remoti, attraverso la manipolazione a distanza del programma di
riconoscimento dell'utente o la disattivazione temporanea delle misure logiche di protezione.
65
CUOMO L., Misure di sicurezza ed accesso abusivo ad un sistema informatico o telematico, in Cass. Pen., 2002, p.
1021;
42
Questa circostanza, dunque, non è in contrasto con la natura esclusivamente informatica
delle misure di sicurezza nell'art. 615 ter c.p.. Tornando alle condotte incriminate, il
comportamento principale è senza dubbio quello dell'introduzione non autorizzata in un
sistema protetto. Alla luce del bene giuridico tutelato, ossia la sicurezza informatica66, per
accesso abusivo non dobbiamo intendere l'avvio del computer, né il superamento delle
barriere iniziali o intermedie: rileva esclusivamente l'effettivo ingresso nel sistema
informatico, che si realizza a seguito della violazione di tutte le protezioni logiche esistenti.
La mera accensione di un dispositivo protetto sicuramente non ha nessun rilievo per l'art.
615 ter c.p., mentre l'aggiramento di alcuni livelli di protezione fra quelli esistenti potrebbe
integrare il tentativo, purché il superamento delle password sia volontario e consapevole.
Ciò non può dirsi nei casi frequenti di password preimpostate e salvate dal titolare, per non
doverle digitare ad ogni avvio del sistema: in tali situazioni il terzo che accenda il terminale
si trova automaticamente nel sistema senza aver "forzato" nessuna misura di sicurezza.
Diversamente si presenta la questione quando i codici d'accesso non siano memorizzati nel
computer dall'utente legittimo, bensì predisposti dalla casa produttrice del sistema operativo
o del programma informatico: sebbene la password sia standardizzata e talvolta "banale",
essa rappresenta comunque per l'autore del fatto una misura di sicurezza da superare. Come
ha infatti deciso la Corte di Cassazione67, il legislatore non richiede un giudizio di idoneità
circa le misure di sicurezza in dotazione al computer, ma solamente la loro sussistenza; la
sentenza è assai condivisibile68, anche perché se le barriere informatiche sono state bucate, è
ovvio che, a posteriori, il giudizio di idoneità su di esse sarebbe tendenzialmente negativo,
con l'esito assurdo di tutelare la vittima di hacking sol quando essa dimostrasse di aver
protetto il proprio computer secondo un elevatissimo standard di diligenza.
La condotta di "introduzione abusiva in un sistema protetto" penalizza, oltre ai noti
fenomeni di hacking (accesso remoto), i comportamenti non autorizzati nel luogo stesso in
cui si trova l'hardware (accesso diretto). L'ambiente usuale degli accessi abusivi diretti è il
posto di lavoro, dove più dipendenti si trovano a lavorare sulle medesime macchine ed
66
Si veda retro nel Capitolo Primo, paragrafo sui beni giuridici "informatici";
Cass. Pen., sez. V, 17 novembre – 6 dicembre 2000, n. 12732, Zara, su Cass. Pen., 2002, p. 1015 ss.;
68
Aterno S.“ Sull'accesso abusivo a sistema informatico o telematico”, in Cassazione penale, 2000, n. 1, Giuffrè
67
43
ognuno di essi ha particolari autorizzazioni o limitazioni all'accesso. Quando un impiegato
esce dai confini dei propri privilegi amministrativi, per introdursi in archivi elettronici a lui
interdetti o per entrare in reti aziendali da cui è escluso, commette il reato previsto dall'art.
615 ter c.p., con l'aggravante dell'"abuso della qualità di operatore del sistema" (art. 615 ter
secondo comma, n. 1).
Occorre a questo punto chiarire cosa intenda il legislatore per "operatore di sistema", dato
che le ricadute pratiche di tale qualifica soggettiva sono notevoli: la circostanza aggravante
ha effetto speciale, portando la cornice edittale alla reclusione da uno a cinque anni (mentre
la pena base è fino a tre anni) e il reato diventa procedibile d'ufficio.69
Spiegare tale espressione si rivela complicato, poiché in nessuna norma del diritto civile e
penale compare una figura del genere, né il sapere tecnico-informatico può aiutarci nella
ricerca di una definizione esplicita. La dottrina ha proposto due soluzioni, una restrittiva ed
una estensiva.
Partendo dalla tesi restrittiva, alcuni Autori70 hanno ritenuto che l'operatore del sistema sia
colui che ha un rapporto privilegiato con il computer, grazie alle proprie mansioni
professionali e alle superiori conoscenze informatiche: saremmo dunque di fronte a una
circostanza aggravante basata sulla violazione del rapporto di fiducia tra il titolare della
macchina e l'utente autorizzato, ma anche sull'abuso delle competenze tecniche per fini
illeciti. Il reato di accesso abusivo viene punito più severamente poiché la sua commissione
era concretamente "più facile" per l'agente, a causa della sua abilità e familiarità con
l'elaboratore aggredito.
Secondo un'altra parte della dottrina,71 viceversa, la teoria appena descritta ha lo svantaggio
di delimitare oltre misura la sfera di applicazione dell'aggravante speciale: l'art. 615 ter
secondo comma, n. 1 c.p., infatti, non accenna minimamente alle nozioni specialistiche
possedute dall'agente. L'operatore è qualunque soggetto che interagisca con la macchina non
da mero utente esterno, ma con qualche autorizzazione aggiuntiva, dalla funzione primaria
69
L'aggravante dell'abuso della qualità di operatore del sistema è prevista inoltre nei seguenti reati informatici: art. 617
quater ultimo comma n. 2 c.p. (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche); art.
635 bis secondo comma c.p. (Danneggiamento di sistemi informatici e telematici); art. 640 ter secondo comma c.p. (Frode
informatica);
70
MUCCIARELLI F., Commento all'art. 4 della l. 547/1993, cit., p. 101; LUSITANO D., In tema di accesso abusivo a
sistemi informatici o telematici, in Giur. It., 1998, p. 1924;
71
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 746; BORRUSO R., Profili penali
dell'informatica, Milano, 1994, p. 73;
44
di amministratore del sistema al ruolo marginale di compilatore. Basta insomma che il
soggetto sia titolare di privilegi amministrativi (ossia possa compiere particolari operazioni e
interventi sul software), affinché possa applicarsi l'aggravante dell'abuso di qualità di
operatore del sistema.
Quest'ultima teoria ci sembra più corretta ed è stata accolta dalla Cassazione72: è vero che in
tal modo si estende considerevolmente l'ambito soggettivo della circostanza aggravante, ma
è altrettanto vero che la ratio dell'inasprimento sanzionatorio si fonda sullo sfruttamento
illegittimo di una posizione di favore nei confronti del sistema informatico. Non sembra
opportuno collegare la qualifica di "operatore del sistema" a determinate capacità tecniche,
da stabilire caso per caso e con forti rischi di arbitrio giudiziale.
Al requisito delle "nozioni superiori alla media", a ben vedere, osta soprattutto una
considerazione di ordine empirico: negli accessi abusivi diretti è sufficiente ottenere poche
password per entrare nell'intero database elettronico; anzi, negli ambienti di lavoro i
dipendenti conoscono già molti dei codici necessari. Non serve dunque una speciale abilità
informatica per violare dei settori protetti se si è già operatori del sistema73
Certamente può darsi che l'operatore sia al contempo un esperto di computer (si pensi al
tecnico riparatore), ma questa è solo un'eventualità, non un carattere necessario della figura
di "system operator”.74
La seconda condotta prevista dall'art. 615 ter c.p. è il mantenersi in un sistema protetto
contro la volontà espressa o tacita del titolare; la formula impiegata dal legislatore è derivata
dall'art. 614 c.p., sebbene nel contesto informatico le medesime parole assumano una
valenza diversa.
Prima di tutto, dobbiamo leggere questa condotta in correlazione a quella di accesso
abusivo, al fine di distinguerle tra loro; entrambe hanno ad oggetto un dispositivo protetto,
tuttavia nel caso dell'accesso abusivo il soggetto attivo penetra nel sistema senza avere alcun
72
Cass. Pen., sez. V, 29 maggio 2008, n. 267; Cass. Pen., sez. V, 20 dicembre 2007, n. 2534, Migliazzo, in CED Cass. n.
239105; entrambe le decisioni guardano alla qualifica formale di operatore, legittimato all'accesso per contratto o per
autorizzazione espressa del titolare, mentre non hanno alcun rilievo le abilità informatiche del soggetto.;
73
Al contrario, negli accessi abusivi a distanza l'esperienza dell'hacker può fare la diferenza, ma, mancando nella norma in
commento qualsiasi circostanza aggravante riferibile alla complessità delle modalità commissive, se ne deduce a fortiori
che il livello di competenza informatica non rileva neppure nella definizione di "operatore del sistema" (che accede sul
posto). Tutt'al più, la "bravura" dell'agente sarà presa in considerazione dal giudice come circostanza impropria ex art. 133
c.p..
74
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., loc. ult. cit.;
45
titolo legittimante, mentre nel caso della permanenza non autorizzata esso può accedere al
computer entro certi limiti, limiti che vengono violati durante l'uso del terminale.
Perché equiparare sotto il profilo sanzionatorio due comportamenti apparentemente così
distanti? L'accesso abusivo risulta assai più lesivo dell'interesse alla sicurezza informatica,
dato che un terzo estraneo supera le barriere di protezione di un archivio elettronico; nella
permanenza abusiva, invece, l'autore è comunque autorizzato all'accesso e viene punito
soltanto perché contravviene alle direttive del titolare.
Il discorso è in realtà più articolato: le due condotte sono nettamente distinte sul piano
teorico, ciononostante in sede pratica si rischia di confonderle tra loro.
Per
evitare
fraintendimenti
dobbiamo
prendere
le
mosse
dalle
caratteristiche
dell'autorizzazione all'accesso: in molti casi un soggetto ha diritto a utilizzare un elaboratore
altrui unicamente per eseguire determinate operazioni o per esplorare le risorse di un settore
della memoria elettronica, pertanto il suo titolo legittimante è condizionato e parziale. In casi
simili l'individuo che accede a settori diversi del sistema o compie attività estranee alle
istruzioni ricevute commette il reato di permanenza abusiva. Fin qui tutto chiaro.
Bisogna però fare accertare che i file aperti non siano protetti da ulteriori barriere di
sicurezza. In quest'ultima evenienza, difatti, l'agente deve aver violato delle password per
visualizzare i contenuti archiviati e pertanto ha realizzato pienamente la diversa condotta di
accesso abusivo.75
A differenza dell'accesso abusivo, condotta esclusivamente attiva, la permanenza illecita può
essere anche realizzata in forma omissiva, per esempio quando l'autore non si sia
disconnesso dal sistema a seguito della revoca del consenso da parte del titolare. Comune
invece alle due condotte è l'irrilevanza dello scopo perseguito dal soggetto76: è indifferente
che l'autore si limiti a visualizzare i file, oppure che copi determinate informazioni o
programmi, o infine che svolga operazioni per fini personali; l'unico aspetto rilevante è che
l'agente acceda senza diritto oppure si mantenga nel sistema altrui in modo incompatibile
con il proprio titolo di legittimazione.77
75
76
77
Cass. Pen., sez. V, 13 febbraio 2009, su Mass. Pen., n. 243602;
Cass. Pen., sez. V, 7 novembre 2000, Zara, pubblicata su Giust. Pen., 2001, p. 548;
Cass. Pen., sez. II, 4 maggio 2006, pubblicata su Dir. Pen. Proc., 2007, fasc. 3, p. 373;
46
Tutto ciò è confermato dal tempus commissi delicti: il reato è istantaneo e si consuma nel
momento dell'accesso abusivo78 oppure, per quanto riguarda la permanenza abusiva, quando
è violata la voluntas excludendi del titolare del sistema informatico79. I comportamenti
successivi al superamento dei limiti all'ingresso o all'utilizzo del computer non interessano
affatto l'art. 615 ter c.p. e possono, semmai, integrare fattispecie penali differenti.80
Sotto il profilo dell'elemento soggettivo l'art. 615 ter c.p. richiede il dolo generico, cosa che
non provoca particolari problemi, fatta eccezione per il dolo dell'abusività della permanenza:
nel caso dell'accesso è semplice dimostrare la consapevolezza dell'agente circa l'illegittimità
del proprio comportamento, poiché egli volontariamente ha aggirato delle misure di
protezione; colui che si sia mantenuto nel computer altrui, al contrario, potrebbe non avere la
percezione dell'abuso che sta commettendo.
Vi è stato chi ha insinuato che il requisito delle misure di sicurezza abbia una finalità
squisitamente processuale, ossia semplificare la prova del dolo in caso di accesso abusivo;
ammettiamo pure che l'osservazione polemica abbia un fondo di verità: ciò non aiuta a
sciogliere il nodo della permanenza abusiva.
L'unica ricostruzione possibile è allora fare leva sulla volontà contraria del titolare, sia essa
espressa o tacita. Se il dissenso è espresso, nulla quaestio; quello tacito, all'opposto,
potrebbe essere desunto in vari modi. Sul punto la dottrina ha preso posizioni poco chiare: a
parere di qualcuno sono le stesse barriere all'accesso a segnalare il dissenso del titolare,
senza considerare il fatto che l'autore della permanenza abusiva è stato preventivamente
autorizzato a superare tali protezioni.
78
Cass. Pen., sez. V, 4 dicembre 2006, n. 6459/2007, su Dir. Pen. Proc., 2008, n. 1, p. 106 ss.; Trib. Rovereto, 2 dicembre
2003, n. 343, su Dir. Pen. Proc., 2005, p. 81;
79
Cass. Pen., sez. V, 6 febbraio 2007, su Mass. Pen., n. 236221; Trib. Bologna, 22 dicembre 2005, pubblicata su Corr.
Merito, 2006, p. 759;
80
FLOR R., Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico
protetto, in Dir. Pen. Proc., 2008, n. 1, p. 109-110; in giurisprudenza, Cass. Pen., sez. V, 25 giugno 2009, n. 40078; Cass.
Pen., sez. VI, 8 ottobre 2008, n. 39290, Peparaio; Cass. Pen., sez. V, 29 maggio 2008, n. 26797, Scimia.
47
Meglio allora seguire un'altra teoria81, più flessibile della precedente e ormai consolidata in
giurisprudenza, secondo la quale l'agente è consapevole del dissenso tacito quando sa di
accedere per finalità diverse da quelle consentite82 oppure di rimanere all'interno del sistema
informatico oltre i limiti temporali a lui concessi
Gli orientamenti giurisprudenziali sull'art. 615 ter c.p. tuttavia sono ancora in via di
definizione e la situazione è fluida: a tal proposito accenniamo, da ultimo, ad un quesito
recentemente sottoposto alle Sezioni Unite con ordinanza 11 febbraio 2011 dalla Sezione
Quinta penale della Corte di Cassazione83 "se costituisca il reato previsto dall'art. 615 ter
c.p. l'accesso di soggetto abilitato ad un sistema informatico protetto per scopi e finalità
estranee a quelle per le quali la chiave di accesso gli era stata attribuita".
In base a quanto abbiamo esposto finora, la questione non lascia spazio a dubbi: la seconda
condotta prevista dall'art. 615 ter c.p. punisce la "permanenza abusiva" di un soggetto
autorizzato in un sistema informatico protetto, perciò l'uso di una password per scopi diversi
da quelli leciti ricade perfettamente nell'orbita del reato di accesso abusivo.
Eppure alcune decisioni delle sezioni singole della Cassazione84 contestano l'interpretazione
letterale, poiché "ritengono illecito il solo accesso abusivo, e cioè quello effettuato da
soggetto non abilitato, mentre sempre e comunque lecito considerano l'accesso del soggetto
abilitato, ancorché effettuato per finalità estranee a quelle d'ufficio"85
Bisogna comunque ricordare che questo è un indirizzo interpretativo nettamente
minoritario: di regola la Corte di Cassazione in casi siffatti ritiene integrata la condotta di
permanenza non autorizzata in un sistema informatico di cui all'art. 615 ter c.p.86. Il quesito
81
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 745;
In senso conforme: Cass. Pen., sez. V, 10 dicembre 2009, n. 2987; Cass. Pen., sez. V, 25 giugno 2009, n. 40078; Cass.
Pen., sez. V, 8 luglio 2008, n. 37322; Cass. Pen., sez. II, 4 maggio 2006, cit.; Cass. Pen., sez. V, 17 novembre – 6 dicembre
2000, n. 12732, Zara, su Cass. Pen., 2002, p. 1015 ss.; nella giurisprudenza di merito inoltre Trib. Gorizia, 19 febbraio
2003, su Riv. Pen., 2003, p. 891; Trib. Viterbo-Montefiascone, 5 maggio 2005, su Dir. Pen. Proc., 2005, n. 46, p. 42;
83
Il testo dell'ordinanza di remissione alle Sezioni Unite è reperibile sul sito www.penale.it
82
84
Cass. Pen., sez. V, 20 dicembre 2007, n. 2534, Migliazzo, Rv 239105; Cass. Pen., sez. V, 29 maggio 2008, n. 26797,
Scimia, Rv 240497; Cass. Pen., sez. VI, 8 ottobre 2008, n. 3290, Peparaio, Rv 242684; Cass. Pen., sez. V, 25 giugno 2009,
n. 40078, Genchi, Rv 244749.
85
Ordinanza di rimessione alle Sezioni Unite, emessa dalla Sezione V, 11 febbraio 2011, n. 11714/2011.
86
Il principio di diritto era stato espresso per la prima volta dalla cd. "sentenza Zara", ossia Cass. Pen., sez. V, 17
novembre – 6 dicembre 2000, n. 12732, Zara, su Cass. Pen., 2002, p. 1015 ss.; poi l'orientamento era stato ripreso ed
ampliato senza sostanziali modifiche dalla Sezione V con le sentenze: n. 37322 dell'8 luglio 2008, Bassani, Rv 241202; n.
1727 del 30 settembre 2008, Romano, Rv 242939; n. 18006 del 13 febbraio 2009, Russo, Rv 243602; n. 2987 del 10
dicembre 2009, Matassich, Rv 245842; n. 19463 del 16 febbraio 2010, Jovanovic, Rv 247144; n. 39620 del 22 settembre
2010, Lesce, Rv 248653.
48
è ora sottoposto all'esame delle Sezioni Unite e non possiamo far altro che attendere la
risposta, che risolverà il primissimo contrasto giurisprudenziale sui reati informatici.
Concludiamo l'analisi dell'art. 615 ter c.p. dedicando alcune parole al concorso di reati; in
generale il reato di accesso abusivo può concorrere con gli altri reati informatici, come
possiamo notare da due decisioni della giurisprudenza di legittimità favorevoli al concorso
tra accesso abusivo e frode informatica87
La Corte di Cassazione, inoltre, in un'occasione88 ha ritenuto sussistente il concorso tra l'art.
615 ter c.p. e l'intercettazione illecita di comunicazioni telematiche (art. 617 quater c.p.).
L'unica eccezione è costituita dal danneggiamento informatico: l'art. 615 ter secondo comma
n. 3 c.p. prevede l'aumento della pena (nuova cornice da uno a cinque anni di reclusione) "se
dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o
parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in essi contenuti". Ci troviamo di fronte a un reato aggravato
dall'evento: qualora dall'accesso abusivo derivi causalmente un danneggiamento del sistema
informatico si dovrà appurare se l'evento cagionato sia stato voluto o meno dall'agente.
Se il danneggiamento non era voluto dall'agente, troverà ingresso il reato circostanziato
(sempre che la conseguenza fosse prevedibile, essendo l'imputazione delle aggravanti
almeno colposa in forza dell'art. 59 seconda comma c.p.); viceversa, qualora l'evento
dannoso risulti oggetto di dolo, si pensa che torni applicabile il reato di danneggiamento
informatico nell'art. 635 bis c.p., in concorso con il reato di accesso abusivo89
2. Il secondo cybercrime "vero e proprio": il danneggiamento informatico nella
disciplina degli artt. 635 bis, ter, quater e quinquies c.p.
Prima della legge 547/1993, la giurisprudenza aveva assunto atteggiamenti contrastanti90
sulla qualificazione giuridica delle aggressioni a software e dati digitali: mentre l'indirizzo
dominante, con l'avallo di quasi tutta la dottrina, escludeva recisamente la assumibilità sotto
87
Cass. Pen., sez. V, 19 dicembre 2003, Comità, in Foro it., 2005, p. 660 ss.; Cass. Pen., sez. VI, 4 ottobre 1999, Piersanti,
su Cass. Pen., 2000, c. 2990;
88
89
90
Cass. Pen., sez. V, 14 ottobre 2003, Muscica, su Cass. Pen., 2005, c. 1580;
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 747;
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, cit., p. 420.
49
l'art. 635 c.p., poiché esso punisce il danneggiamento di cose "tangibili", un orientamento
minoritario -ma in continua diffusione- applicava estensivamente la fattispecie codicistica, al
fine di includervi i casi di sabotaggio informatico.
L'argomento più frequente era basato sulla considerazione che la cancellazione totale di file
o il blocco di applicazioni comportava l'inservibilità del computer "contenitore", il quale, di
conseguenza, veniva danneggiato anche nella sua componente fisica, cioè l'hardware,
rientrante pacificamente nella nozione di "cosa" sub art. 635 c.p.; in un'occasione91 persino
le Sezioni Unite hanno abbracciato questa ricostruzione, sostenendo che la soppressione di
dati informatici, in modo tale da rendere necessaria la creazione di nuovi, era punibile come
danneggiamento di cose mobili, perché aveva reso l'elaboratore temporaneamente inadatto a
svolgere la peculiare funzione di archivio elettronico.
Software ed hardware venivano considerati inscindibili tra loro e ogni manipolazione del
primo provocava automaticamente il danneggiamento del secondo. Di conseguenza, questa
parte della giurisprudenza vedeva l'elaboratore elettronico come una cosa materiale, che
incorporava al proprio interno una parte logica. In realtà, l'idea dell'incorporazione del
sistema informatico nella "macchina" visibile all'esterno si risolveva in un escamotage
interpretativo, che oltrepassava i confini dell'interpretazione estensiva per entrare nell'area
dell'analogia in malam partem92
Le aggressioni a programmi e dati informatici sono innegabilmente rivolte a beni virtuali,
che non possono in alcun modo rientrare nella definizione giuridica di "cosa", neppure
indirettamente. Il fatto che l'impianto diventi "inservibile", inoltre, è tutto da dimostrare: la
parte fisica di un computer raramente subisce danni a seguito di un attacco al software e
quindi può continuare a eseguire i comandi e le istruzioni impartite dall'utente93
91
Cass. Pen., Sez. Un., 13 dicembre 1996, n. 1282, Carpanelli, in Giur. It., 1997, II, p. 647 ss.;
Si veda retro la dottrina citata all'inizio del paragrafo.
93
Si pensi al caso trattato dalle Sezioni Unite: era stato accertato nel processo di primo grado che la soppressione dei file
non aveva afatto compromesso la funzionalità dell'hardware, il quale, al contrario, era in grado di memorizzare nuovi dati
senza bisogno di alcuna riparazione.
92
50
La riforma del 1993 pose fine a questo contrasto giurisprudenziale dagli esiti incerti e
introdusse nel c.p. un nuovo articolo, immediatamente successivo a quello sul
danneggiamento comune: l'art. 635 bis c.p., rubricato "danneggiamento informatico"94
Parallelamente all'art. 635 bis c.p., a difesa dei sistemi ad uso privato, la legge 547/1993
modificò l'art. 420 c.p. (attentato ad impianti di pubblica utilità)95, per fornire una tutela
anticipata ai sistemi e ai programmi informatici di enti pubblici o di interesse per la
collettività96
A seguito della legge 48/2008, però, la disciplina del danneggiamento informatico ha
cambiato aspetto e analizzeremo pertanto la normativa in vigore dal 5 aprile 2008.97
Innanzitutto, è raddoppiato il numero di articoli in materia: siamo infatti passati da due a
quattro disposizioni sul "cyber-vandalismo".
94
Così si presentava l'art. 635 bis c.p. nella versione originaria ad opera della legge 547/1993: "Art. 635 bis
(Danneggiamento di sistemi informatici e telematici). Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili
sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca
più grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o più delle circostanze di cui al secondo comma
dell'art. 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da
uno a quattro anni".
95
Stesso limite delle aggressioni materiali era infatti rinvenibile nella fattispecie di attentato agli impianti di pubblica utilità
all'art. 420 c.p. nella versione precedente al 1993; si veda in proposito MUCCIARELLI F., voce Computer (disciplina
giuridica del) nel diritto penale, in Dige. Pen., vol. II, 1990, p. 288.
96
Questo era il testo dell'art. 420 c.p. a seguito dell'intervento modificativo da parte della legge 547/93: "Art. 420.
(Attentato a impianti di pubblica utilità). Chiunque commette un fatto diretto a danneggiare o distruggere impianti di
pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di
cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o
telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o a essi pertinenti. Se dal fatto deriva
la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero
l'interruzione anche parziale del funzionamento dell'impianto o del sistema, la pena è della reclusione da tre a otto anni".
97
AAVV - Sistema penale e criminalità informatica- a cura di Luca Luparia - Giuffrè – 2009 ( a cura di Stefano Aterno,
Danneggiamento informatico così come modificato e introdotto dalla legge n. 48 GIUFFRÈ 2009;
51
Il secondo e terzo comma dell'art. 420 c.p. sono stati abrogati e, a seguito di ciò, la
previsione non si occupa più di reati informatici: al suo posto il legislatore del 2008 ha
inserito i nuovi articoli 635 ter e 635 quinquies c.p.; il danneggiamento di software privati è
stato inoltre ripartito tra due disposizioni simmetriche, cioè l'art. 635 bis c.p. (modificato) e
il nuovo art. 635 quater c.p.98
Le innovazioni sono di ordine formale piuttosto che sostanziale: la Convenzione
Cybercrime, cui la legge 48/2008 dà attuazione, richiedeva agli Stati parte di differenziare il
danneggiamento di interi sistemi informatici da quello di semplici dati o programmi 99. Il
legislatore italiano ha seguito tale indicazione creando previsioni separate a seconda
dell'oggetto materiale della condotta e perciò ha raddoppiato il numero dei reati riguardanti
il danneggiamento di software.
Lascia perplessi la moltiplicazione di previsioni, nonché la nuova collocazione dei reati di
attentato a sistemi e dati di pubblica utilità tra i delitti contro il patrimonio e non tra quelli
contro l'ordine pubblico.
Altra novità discutibile è la procedibilità a querela della fattispecie base dell'art. 635 bis c.p.,
mentre nella versione del 1993 il danneggiamento informatico era sempre procedibile
d'ufficio, a prescindere dal fatto che fosse circostanziato o meno.
98
Per facilitare la lettura, riportiamo integralmente i quattro articoli sul danneggiamento informatico introdotti nel c.p.
dalla legge 48/2008: "Art. 635 bis. (Danneggiamento di informazioni, dati e programmi informatici). Salvo che il fatto
costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi
informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Art. 635 ter. (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico
o comunque di pubblica utilità). Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a
distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato
o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro
anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle
informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza
di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore
del sistema, la pena è aumentata.
Art. 635 quater. (Danneggiamento di sistemi informatici o telematici). Salvo che il fatto costituisca più grave reato,
chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati,
informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui
o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui
al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del
sistema, la pena è aumentata.
Art. 635 quinquies. (Danneggiamento di sistemi informatici o telematici di pubblica utilità). Se il fatto di cui all'articolo
635 quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di
pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal
fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è
reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero
1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la
pena è aumentata.";
99
CORRIAS LUCENTE G., in CORASANITI G., CORRIAS LUCENTE G. (a cura di), Cybercrime, responsabilità degli
enti, prova digitale. Commento alla Legge 18 marzo 2008, n. 48, Padova, 2009, p. 132;
52
Prima di occuparci delle singole disposizioni, dobbiamo dar conto di un dibattito analogo a
quello visto circa la natura fisica o virtuale dell'accesso abusivo nell'art. 615 ter c.p.: qui
esiste uno scontro, di minore intensità, tra la visione "onnicomprensiva" e quella
esclusivamente virtuale del danneggiamento informatico. Al fondo vi è il tema generale
dell'opzione tra interpretazione estensiva e riduttiva (cioè limitata al significato tecnico dei
termini) in materia di reati informatici.
Per la maggioranza della dottrina100 sono rilevanti solo i danni arrecati alla componente
logica del computer, poiché a tutela della parte fisica disponiamo già dell'art. 635 c.p., che
continua a incriminare i comportamenti aventi ad oggetto "cose", indipendentemente dalla
novella del 1993. Ad esempio, se un soggetto distrugge il disco rigido o il processore di un
dispositivo informatico, tale condotta integrava ed integra tuttora il reato di danneggiamento
di cose mobili.
Secondo qualche Autore101, invece, rientrerebbero nell'area di rilevanza del danneggiamento
informatico anche le aggressioni all'hardware, in un certo senso "aggiornando" la teoria
dell'incorporazione elaborata dalla giurisprudenza prima della legge 547/1993. Le fattispecie
di danneggiamento informatico non avrebbero allora funzione incriminatrice, ma di
disciplina, ossia sarebbero state introdotte nel 1993 per aggravare il trattamento
sanzionatorio di comportamenti già tipici ai sensi dell'art. 635 c.p.102
Tale ricostruzione è stata in parte ripresa dalle Sezioni Unite nella sentenza del 1996, al fine
di qualificare come successione di leggi penali il rapporto tra l'art. 635 c.p. e il nuovo art.
635 bis c.p.,limitatamente ai casi di cancellazione integrale dei file memorizzati in un
computer.103
100
Citiamo a titolo esemplificativo: ATERNO S., Le fattispecie di danneggiamento informatico, in LUPARIA L. (a cura
di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella Legge attuativa della Convenzione di
Budapest sul cybercrime (l. 18 marzo 2008, n. 48), Milano, 2009, p. 43; PICOTTI L., La ratifica della Convenzione
Cybercrime del Consiglio d’Europa (l. 18 marzo;
101
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, cit., p. 421;
PECORELLA C., Diritto penale dell’informatica, Padova, 2006, p. 178 s.;
102
E, all'epoca dell'introduzione, anche per modificare il regime di procedibilità: l'art. 635 bis era sempre procedibile
d'ufficio nel 1993, ora invece occorre la querela se non è aggravato. Cfr. PECORELLA C., Diritto penale dell’informatica,
cit., p. 188; 2008, n. 48). Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 711;
103
Cass. Pen., Sez. Un., 13 dicembre 1996, n. 1282, Carpanelli, in Giur. It., 1997, II, p. 6 7 ss.; la sentenza è stata criticata
dalla dottrina (fra cui si veda MUCCIARELLI F., Commento all'art. 9 della l. 547/1993, in Legisl. Pen., 1996, p. 83)
poichè la decisione era palesemente tesa a punire almeno con le pene dell'art. 635 c.p. comportamenti non ancora tipizzati
dal legislatore al tempo del
fatto (commesso infatti anteriormente al 1993).
53
La tesi tuttavia non è convincente, poiché ruota attorno all'assunto -a nostro avviso
inaccettabile- per cui gli atti di danneggiamento contro componenti fisiche di un computer
integrerebbero un reato informatico e, viceversa, la manipolazione del software è solo una
modalità particolare del danneggiamento di cose; in conclusione, ne deriva l'assurdo che i
due fenomeni sarebbero interscambiabili.
Premesso che i reati previsti in materia di danneggiamento informatico hanno ad oggetto
soltanto le aggressioni alle componenti immateriali dei dispositivi elettronici, cominciamo
l'esame delle singole fattispecie, seguendo un ordine diverso da quello del c.p., ma
logicamente più coerente. Inizieremo con i due reati di danno contro dati e sistemi
informatici "altrui", cioè privati (art. 635 bis e quater c.p.), per proseguire con i due delitti di
attentato relativi rispettivamente ai dati e ai sistemi di pubblico interesse (art. 635 ter e
quinquies c.p.).
Andiamo allora a vedere come si presenta l'art. 635 bis c.p. a seguito dell'intervento
modificativo della legge 48/2008; l'oggetto dei comportamenti incriminati era identificato
nel 1993 nei "sistemi informatici o telematici altrui", ovvero nei "programmi, informazioni o
dati altrui". Ora i sistemi ricevono una tutela distinta nell'art. 635 quater c.p. e nell'art. 635
bis c.p. sono rimasti soltanto i dati, le informazioni e i programmi altrui. La definizione di
questi vocaboli non è affatto agevole, poiché il legislatore si è servito impropriamente del
lessico informatico; l'interpretazione più diffusa in dottrina104 afferma che per "dati"
dobbiamo intendere i byte, vale a dire l'unità minima di memoria elettronica, per
"informazioni" gli aggregati di dati, tali da fornire contenuti conoscitivi all'utente, perciò
comprensibili a un essere umano, mentre i "programmi" sono tutte quelle stringhe di
comandi che impartiscono istruzioni al software.Per semplificare, i programmi sono le
applicazioni e i processi interni al computer, mentre le informazioni sono i documenti e i
contenuti multimediali fruibili dall'operatore.
In realtà, sarebbe stato sufficiente menzionare esclusivamente i dati, poiché ogni operazione
dannosa incide sempre sui byte memorizzati nel computer; vedremo che è un carattere
104
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 739;
54
comune a tutte e quattro le disposizioni sul danneggiamento informatico la presenza di
termini superfui o ridondanti, come se fossero state scritte in un eccesso di zelo105Ciò che
connota veramente l'oggetto delle condotte di danneggiamento informatico è il requisito
dell'"altruità", sebbene con riguardo a dati e programmi si devono compiere delle
precisazioni, dato che i file e le applicazioni non possono essere oggetto di possesso.
Generalmente su uno stesso software converge una pluralità di posizioni giuridiche in capo a
soggetti diversi, tra cui il proprietario, il concessionario in licenza, l'operatore di sistema e il
legittimo utilizzatore106. Inoltre, da una lettura sistematica dell'art. 635 bis c.p. in rapporto
alle altre tre fattispecie di danneggiamento informatico, si ricava che l'"altruità" indica che i
titolari dei dati, dei programmi e delle informazioni sono soggetti privati.
Il tema dell'individuazione delle persone offese dal reato, peraltro, è strettamente collegato
alla proponibilità della querela, che è condizione di procedibilità per l'ipotesi prevista dal
primo comma dell'art. 635 bis c.p.; per volontà espressa del legislatore del 2008, difatti,
spetta alla persona offesa selezionare le offese ai dati informatici meritevoli di tutela
penale107 purché non sia integrata nessuna delle aggravanti speciali contemplate nel secondo
comma dell'articolo in commento.
Per quanto riguarda le condotte, in origine esse erano tre (distruggere, deteriorare, rendere
inservibili), adesso sono ben cinque: distruggere, deteriorare, cancellare, alterare o
sopprimere. Al posto della clausola generale dell'inservibilità la legge 48/2008 ha quindi
inserito altre tre modalità realizzative, anche se forse non se ne sentiva la mancanza.
La "distruzione" e il "deterioramento" sono comportamenti tratti dal danneggiamento
tradizionale di cui all'art. 635 c.p.; il loro significato in rapporto a cose materiali è intuitivo,
al contrario con riferimento a dati informatici bisogna compiere qualche sforzo esegetico. I
commentatori della legge 547/1993 avevano descritto la "distruzione" come la cancellazione
definitiva e irreversibile dei file; sul "deterioramento" era stata abbracciata la nozione
105
Accusa la novella del 2008 di "ipertrofia normativa": CORRIAS LUCENTE G., in CORASANITI G., CORRIAS
LUCENTE G., (a cura di), Cybercrime, cit., p. 134;
106
PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 711;
107
Assai critici alcuni Autori, in quanto il disvalore del fatto rimane comunque elevato. Cfr. SARZANA DI S. IPPOLITO
C., Informatica, Internet e diritto penale, Milano, III ed., 2010, p. 543; PICOTTI L., Profili di diritto penale sostanziale, in
Dir. Pen. Proc., 2008, n. 6, p. 710;
55
consolidata in tema di danneggiamento fisico, per cui esso consisteva nella diminuzione in
misura apprezzabile del valore o dell'utilizzabilità del dato digitale108
Le due condotte così definite andavano a colpire le alterazioni strutturali del software
(peggioramento quantitativo o qualitativo delle caratteristiche intrinseche), mentre spettava
al "rendere inservibili" incriminare il danneggiamento "funzionale", cioè quello che
comporta una minore operatività del programma109 rappresentata da soventi interruzioni o
rallentamenti delle normali prestazioni.
Con l'eliminazione della condotta di "rendere inservibili" dal testo dell'art. 635 bis c.p110
occorre ripensare al significato di ogni condotta, sia essa previgente o di nuovo conio. La
dottrina si è affaticata nel cercare di distinguere tra loro i comportamenti di "distruzione",
"cancellazione" e "soppressione", ma senza risultati apprezzabili111: è infatti chiaro che le tre
espressioni sono sinonimiche e compaiono contemporaneamente nel medesimo articolo
perché il legislatore aveva il timore che eliminandone qualcuna potessero crearsi lacune di
tutela.
Non ci sembra però una preoccupazione fondata, poiché basta il solo verbo "cancellare" a
indicare qualsiasi operazione di eliminazione dei dati, sia essa temporanea o definitiva,
reversibile oppure no.
Sul "deterioramento" e sull'"alterazione" informatica possiamo svolgere considerazioni
simili: bastava prevedere il comportamento di chi "altera" dati digitali, perché il
deterioramento è un concetto innanzitutto inadeguato nel contesto virtuale (si deteriorano
cose tangibili, non software) e anche la sua interpretazione in chiave tecnologica non è altro
che una species del concetto generale di alterazione. Se infatti un programma del computer
perde valore economico, ad esempio perché infettato da un malware oppure perché il suo
108
Per concretizzare la definizione dottrinale di “deterioramento informatico”, si pensi al crollo del valore economico e
commerciale di un'applicazione dopo essere stata infettata da un programma dannoso ad attivazione condizionata.;
109
CORRIAS LUCENTE G., in CORASANITI G., CORRIAS LUCENTE G., (a cura di), Cybercrime, cit., p. 138; in
senso contrario PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 712;
110
PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, loc. ult. cit.;
111
Sono state proposti vari criteri distintivi, come la temporaneità della cancellazione e la definitività della soppressione;
un altro elemento potrebbe essere la recuperabilità o meno del dato alterato. In ogni caso, si tratta di forzature semantiche,
che attribuiscono ai verbi significati estranei da quelli propri delle discipline informatiche, dove i tre termini sono
assolutamente equivalenti.
56
aspetto grafico è stato modificato, è evidente che siamo davanti a un'alterazione del
programma.
Tirando le somme, la novella del 2008 ha aggiunto due condotte adatte a descrivere atti di
sabotaggio informatico, ossia la cancellazione e l'alterazione, ma, per un esagerato ossequio
al testo preesistente dell'art. 635 bis c.p., ha mantenuto due condotte meramente ricopiate dal
reato di danneggiamento fisico (distruzione e deterioramento), incompatibili con il loro
oggetto immateriale. La "soppressione" è stata aggiunta ad abundantiam alla fine del
dibattito parlamentare, sull'esempio della disposizione dell'art. 490 c.p. sul falso
documentale, nell'opinione -in verità molto discutibile- che fosse la condotta più adatta nei
confronti delle informazioni digitali.112
.A parte il fatto che l'art. 491 bis c.p. già incrimina il cd.falso informatico quando i dati
alterati formano un documento avente efficacia probatoria verbo "sopprimere" significa
distruggere materialmente e per questa ragione si dimostra un'aggiunta estranea alla
fattispecie di danneggiamento informatico.
Al pari del "gemello" art. 635 quater c.p., di cui parleremo tra poco, l'art. 635 bis c.p.
presenta la struttura del reato di danno: il momento consumativo è quello in cui si verificano
la cancellazione o l'alterazione dei dati, delle informazioni o dei programmi altrui;
nell'ambito dei reati informatici, d'altronde, la distinzione tra condotta ed evento non è netta,
trattandosi di processi automatizzati istantanei113.
Questo problema invero di ordine generale non comporta, tuttavia, che l'articolo in esame
descriva un reato di mera condotta, come invece sostengono i Relatori alla legge 48/2008114,
poiché gli atti di cancellazione e alterazione dei dati digitali devono causare effettivamente
delle conseguenze dannose, altrimenti sono qualificabili, tutt'al più, come tentativo.115
L'elemento soggettivo dell'art. 635 bis c.p. è il dolo generico e non presenta punti critici; il
trattamento sanzionatorio del danneggiamento semplice di dati informatici è la reclusione da
112
Si veda in proposito la Relazione alla Legge 48/2008, p. 6;
È stato correttamente sostenuto dalla dottrina che in simili fattispecie condotta ed evento sono indistinguibili tra loro,
nel senso che il comportamento umano (cioè il comando impartito dall'agente al sistema operativo) si identifica con gli
efetti di modificazione della realtà oggettiva. In tal senso PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen.
Proc., 2008, n. 6,p. 711;
113
114
115
Cfr. Relazione alla Legge 48/2008, p. 10;
PECORELLA C., Diritto penale dell’informatica, Padova, 2006, p. 78;
57
sei mesi a tre anni, al pari del danneggiamento fisico aggravato (art. 635 secondo comma
c.p.). La legge 48/2008 ha modificato il secondo comma dell'art. 635 bis c.p., riducendo
l'elenco delle circostanze aggravanti speciali a due ipotesi: 1) violenza alla persona o
minaccia, 2) abuso della qualità di operatore di sistema. La loro integrazione fa sì che la
cornice edittale diventi da uno a quattro anni di pena detentiva. Sotto questo profilo la
riforma del 2008 ha apportato un significativo miglioramento, essendo state espunte dalla
previsione circostanze assolutamente incompatibili con il danneggiamento informatico e
presenti nella versione originaria dell'art. 635 bis c.p. solo perché ricopiate frettolosamente
dal secondo comma dell'art. 635 c.p..
Concludiamo sull'art. 635 bis c.p. guardando ai rapporti con le altre fattispecie; il
danneggiamento di dati informatici è speciale nei confronti dell'art. 635 c.p. per l'oggetto
della condotta116 La giurisprudenza successiva alla legge 547/1993 non ha mai ravvisato il
concorso di norme117, optando per l'assorbimento del danneggiamento comune in quello
informatico, più gravemente sanzionato.
La clausola di riserva posta in apertura dell'art. 635 bis primo comma c.p., inoltre, risolve le
potenziali interferenze con reati più gravi a favore di questi ultimi.
È il caso, ad esempio, dell'art. 635 ter c.p. (dati informatici pubblici), oppure dell'art. 635
quater c.p. (sistemi informatici privati), ma anche di delitti non informatici, come la falsità
per "soppressione" o il trattamento illecito di dati personali.
Viste le caratteristiche peculiari dell'art. 635 bis c.p., si può affrontare la fattispecie
"gemella" dell'art. 635 quater c.p., attinente ai sistemi informatici o telematici altrui, cioè di
soggetti privati. Gli elementi differenziali non sono molti in verità e dipendono soprattutto
dallo specifico oggetto della condotta.
L'art. 635 quater c.p. è stato creato dalla legge 48/2008 per punire il danneggiamento di
sistemi con pene più severe di quello arrecato a dati e programmi, in ottemperanza all'art. 5
116
Sul punto è concorde tutta la dottrina: citiamo a mero titolo di esempio PECORELLA C., Diritto penale
dell’informatica, Padova, 2006, p. 75; PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e
telematiche, cit., p. 420.
117
Eccezion fatta per Aterno, il quale ritiene ipotizzabile almeno sul piano teorico il concorso. Il cumulo è comunque
evitabile per l'Autore con un particolare criterio dirimente: il maggior valore economico tra l'hardware (oggetto dell'art.
635 c.p.) e il sofware danneggiati (sotto l'art. 635 bis c.p.). Cfr. ATERNO S., Le fattispecie di danneggiamento informatico,
in LUPARIA L. (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella Legge attuativa
della Convenzione di Budapest sul cybercrime (l. 18 marzo 2008, n. 48), Milano, 2009, p. 42; la teoria ci pare da rigettare,
poiché poggia l'applicazione di una fattispecie o di un'altra sulla valutazione alquanto arbitraria e contingente della
componenti del danno economico.
58
della Convenzione Cybercrime118 Circa l'oggetto della tutela, ricordiamo
119
che il "sistema
telematico" altro non è che la connessione in rete aperta o chiusa tra sistemi informatici, e
che questi ultimi sono dispositivi di qualsiasi tipo o dimensione, capaci di trattare
informazioni in modo automatico (computer, palmari, smart-phone etc.).
Le condotte sono ancora più numerose di quelle elencate dall'art. 635 bis c.p.: assistiamo a
una vera e propria proliferazione di comportamenti tipici, poiché accanto a quelli già
esaminati nel danneggiamento di dati, compaiono anche "l'introduzione o la trasmissione di
dati, informazioni o programmi".
Il richiamo è al fenomeno dei programmi dannosi diffusi su Internet e trasmessi di computer
in computer. Il motivo di questa interpolazione è desumibile dal testo della Convenzione
Cybercrime, che prevede l'obbligo di penalizzazione per le ipotesi di immissione e
trasmissione di dati (dagli effetti dannosi); tuttavia già la previgente fattispecie di
danneggiamento informatico sub art. 635 bis c.p. comprendeva pacificamente i casi di
sabotaggio tramite malware.
Non era affatto necessario appesantire la descrizione del fatto nel nuovo art. 635 quater c.p.
con l'ennesima condotta, che poteva rientrare senza problemi nell'ambito dell'alterazione
informatica. Peraltro, l'ordinamento italiano sin dal 1993 incrimina il mero fatto della
diffusione o della produzione di programmi dannosi, in forza dell'art. 615 quinquies c.p.,
segnando quindi una soglia di punibilità molto più avanzata di quella imposta dalla
Convenzione Cybercrime del 2001.
Se nel reato di danneggiamento di dati abbiamo sottolineato la possibile confusione tra
condotta ed evento, nell'art. 635 quater c.p. evidenziamo il problema opposto: l'ipertrofica
caratterizzazione delle conseguenze dannose.
Ricapitoliamo: il danneggiamento di sistemi informatici è commesso tramite le condotte
dell'art. 635 bis c.p. oppure con l'immissione di programmi dannosi; da questi atti deve
derivare, secondo la lettera dell'art. 635 quater c.p., la distruzione, il danneggiamento,
l'inservibilità o un ostacolo grave al funzionamento del sistema informatico.
Una simile descrizione degli eventi consumativi del reato non può che ingenerare confusione
nell'interprete: in primo luogo, è interessante notare che il fatto di "rendere inservibili"
118
119
Su cui ci soffermeremo più avanti nel Capitolo Terzo.
Più diffusamente cfr. retro Capitolo Primo, parte iniziale.
59
figurava nel vecchio art. 635 bis c.p. e ora è riferito solo ai sistemi informatici, nonostante i
dati e i programmi possano diventare anch'essi inservibili dopo un attacco virtuale.
In secondo luogo, la "distruzione" è già una delle modalità realizzative del reato e compare
perciò due volte nell'articolo in discorso, prima come condotta, poi come evento. Infine, è
evidente che il verbo "danneggia" è molto generico e basterebbe da solo a tipizzare quasi
tutte le condotte (e gli eventi consumativi) del reato.
L'unico cambiamento sostanziale della fattispecie rispetto alla versione del 1993 allora
risiede nell'evento, alternativo al danneggiamento informatico, di "grave ostacolo al
funzionamento del sistema". La dizione legislativa fa subito venire in mente gli attacchi
DDoS120 finalizzati alla temporanea inutilizzabilità o al consistente rallentamento del
sistema bersaglio. Per un Autore121 la modifica supera una lacuna in materia di alterazione
"funzionale" dei sistemi informatici. L'osservazione esalta troppo i meriti della riforma; non
possiamo infatti dimenticare che prima della legge 48/2008 gli attacchi DoS e le altre
aggressioni "non distruttive" ai dispositivi informatici erano punibili ai sensi dell'art. 617
quater c.p. (interruzione delle comunicazioni telematiche) ogni volta che si verificavano
online, circostanza che rappresenta la regola nei sabotaggi virtuali.
Nei rari casi di attacchi offline poteva comunque supplire il previgente art. 635 bis c.p., il
quale era una "norma a maglie larghe", tanto che gli ostacoli al funzionamento del sistema
venivano fatti rientrare dalla dottrina
122
nell'inservibilità o nel deterioramento. Di certo la
modifica del 2008 chiarisce alcuni dubbi interpretativi e perciò è da apprezzare, ma non
sembra vi fossero particolari vuoti normativi da colmare.
L'art. 635 quater c.p. è punito con sanzioni più elevate del suo corrispondente in materia di
dati e programmi: per l'ipotesi base è stabilita la reclusione da uno a cinque anni (art. 635
quater primo comma c.p.), mentre le circostanze aggravanti nell'art. 635 quater secondo
comma c.p. (uguali a quelle del danneggiamento di dati) comportano l'aumento di un terzo
della pena. Infine, si segnala che la previsione sul danneggiamento di sistemi inizia con una
clausola di riserva, destinata ad essere applicata qualora lo stesso fatto integri il reato più
120
Si veda retro Capitolo Primo, Paragrafo 2.
PICOTTI L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa (l. 18 marzo 2008, n. 48). Profili di
diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 713;
121
122
PECORELLA C., Diritto penale dell’informatica, Padova, 2006, p. 92;
60
grave di danneggiamento a sistemi pubblici (punito con la reclusione da tre a otto anni
quando si verifica la conseguenza dannosa).
Esaurito il tema del danneggiamento a dati e a sistemi "altrui", cioè privati, è possibile
affrontare la seconda "coppia" di reati, relativi ai software di pubblica utilità (articoli 635 ter
e 635 quinquies c.p.); questi due articoli sono stati introdotti dalla legge 48/2008 al posto del
secondo e del terzo comma dell'art. 420 c.p., contestualmente abrogati123.
É opportuno svolgere alcune considerazioni preliminari sugli aspetti comuni alle due
disposizioni: a seguito della riforma del 2008 i due delitti di attentato a dati e a sistemi
pubblici trovano nuova collocazione nel codice. L'art. 420 c.p. è posto fra i reati contro
l'ordine pubblico, gli articoli 635 ter e quinquies c.p. invece sono stati inseriti nella stessa
sede dei reati di danneggiamento informatico e quindi fra i delitti contro il patrimonio. La
scelta legislativa, dovuta molto probabilmente all'omogeneità di materia, è assai criticabile,
poiché ha portato alla creazione di delitti di attentato contro il patrimonio, con un'eccessiva
anticipazione della risposta penale.
Nell'ambito dei reati contro l'ordine pubblico, infatti, può trovare giustificazione un reato di
attentato, data la preminenza degli interessi tutelati dalla norma; non si può assolutamente
dire lo stesso riguardo ai reati contro il patrimonio.
Per questa ragione la dottrina124 ha biasimato l'inserimento nel Titolo XIII dell'attentato a
software di pubblica utilità; i commentatori hanno ravvisato una contraddizione interna a
queste figure di "attentato contro il patrimonio": o si ritiene che simili aggressioni a dati e
sistemi informatici ledano l'ordine pubblico e allora è ragionevole configurarli come
fattispecie di attentato, ma all'interno del titolo dedicato all'ordine pubblico, come
giustamente è stato fatto nel 1993 modificando l'art. 420 c.p.; oppure gli stessi atti possono
essere considerati come forme qualificate di reati contro il patrimonio, in tal caso però
bisogna descriverli come delitti di evento o, meglio ancora, come circostanze aggravanti
speciali dei fatti di danneggiamento informatico, purché siano sottratte esplicitamente al
giudizio di bilanciamento dell'art. 69 c.p. 125
Questo ragionamento è assolutamente corretto a livello teorico e potrà essere utile in futuro
de jure condendo. Per ora dobbiamo fare i conti con l'assetto normativo esistente e con tutte
123
Parla di un caso di abrogatio sine abolitione, ossia di successione impropria di leggi penali PICOTTI L., Profili di
diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 714;
124
125
PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 715;
PICOTTI L., Profili di diritto penale sostanziale, ibidem;
61
le sue contraddizioni; la ricostruzione più persuasiva degli articoli 635 ter e quinquies c.p. li
descrive negli stessi termini del vecchio testo dell'art. 420 c.p.: i due reati di attentato
continuano a tutelare in via primaria l'ordine pubblico e solo per una "svista" della legge
48/2008 sono situati fra i reati contro il patrimonio126
A questo punto si può iniziare l'analisi dei singoli reati; entrambi fissano la soglia di tipicità
penale alla commissione di "fatti diretti" a integrare le condotte di danneggiamento
informatico viste in precedenza; la suddivisione interna tra i due delitti di attentato è di
nuovo fondata sul diverso oggetto delle condotte: da un lato i dati, le informazioni e i
programmi nell'art. 635 ter, dall'altro i sistemi informatici e telematici nell'art. 635
quinquies.
Dobbiamo però osservare come la rilevanza pubblicistica dell'oggetto venga qualificata con
espressioni diverse, per motivi a dire il vero incomprensibili: l'art. 635 ter c.p. delimita l'area
della tutela anticipata ai dati digitali "utilizzati dallo Stato o da altro ente pubblico o ad essi
pertinenti, o comunque di pubblica utilità"; l'art. 635 quinquies c.p. concerne più
sinteticamente i sistemi informatici e telematici "di pubblica utilità".
Non si capisce perché il legislatore non abbia impiegato unicamente l'espressione "pubblica
utilità", che peraltro compare in tutte e due le previsioni; siamo davanti all'ennesimo caso di
ridondanza legislativa.
Ciò non ci esime dal compito di interpretare altresì i requisiti dell' "utilizzo" da parte dello
Stato o di altro ente pubblico, nonché della "pertinenza" ai medesimi soggetti pubblici,
previsti dall'art. 635 ter c.p. in relazione a dati, informazioni e programmi.
Partendo dall' "utilizzo", esso è un concetto vago nel settore informatico, che potrebbe
adattarsi a un'infinità di situazioni: si va dal caso pacifico dell'applicazione concessa in
licenza dalla casa produttrice all'ente pubblico, a quello meno certo della memorizzazione
temporanea in archivi pubblici di dati elettronici provenienti da soggetti privati127
Interrogativi analoghi solleva la definizione di "pertinenza" in ambito virtuale, essendo
arduo immaginarne un significato diverso da quello di utilizzo concreto o di pubblica utilità,
già contemplati dalla disposizione in esame; a complicare ulteriormente il quadro è la
126
SARZANA DI S. IPPOLITO C., Informatica, Internet e diritto penale, Milano, III ed., 2010, p. 856;
127
ATERNO S., Le fattispecie di danneggiamento informatico, in LUPARIA L. (a cura di), Sistema penale e criminalità
informatica. Profili sostanziali e processuali nella Legge attuativa della Convenzione di Budapest sul cybercrime (l. 18
marzo 2008, n. 48), Milano, 2009, p. 45;
62
pluralità di posizioni giuridiche riferibili ai contenuti digitali, un tratto costante che
prescinde dal carattere pubblico o privato dei software128.
Perché è menzionato anche il rapporto di pertinenza nell'art. 635 ter c.p.? A nostro parere, la
locuzione "ad essi pertinenti" è un banale calco dell'abrogato secondo comma dell'art. 420
c.p., nel quale tuttavia i dati e i programmi erano pertinenti ai sistemi informatici di pubblica
utilità e non agli enti pubblici stessi129. Sono stati espunti dal testo del nuovo art. 635 ter c.p.
i sistemi informatici e il collegato sintagma "in essi contenuti", ma non si è provveduto ad
eliminare allo stesso tempo la frase conclusiva "ad essi pertinenti". A voler ragionare
diversamente, il concetto estremamente dilatabile di "pertinenza pubblica" potrebbe rivelarsi
un buco nero nella fattispecie, capace di attrarre all'ambito del delitto di attentato tutte le
informazioni digitali "venute in contatto" in qualsiasi modo, persino occasionalmente, con
un soggetto pubblico.
Le condotte incriminate dall'art. 635 ter c.p. sono cinque e sono le stesse del
danneggiamento a dati altrui (art. 635 bis c.p. riformato nel 2008), vale a dire la distruzione,
il deterioramento, la cancellazione, l'alterazione e la soppressione, per cui non ripeteremo le
considerazioni già svolte. La natura di delitto d'attentato dell'art. 635 ter c.p. rende però
evanescenti i comportamenti tipici130, essendo sufficiente ai fini penali la commissione di
semplici fatti preparatori. Secondo alcuni Autori131 il reato è comunque di pericolo concreto,
dovendosi accertare l'idoneità effettiva degli atti a cagionare l'evento di cancellazione o di
alterazione dei dati digitali di pubblica utilità.
Le sanzioni previste dall'art. 635 ter c.p. equivalgono a quelle dell'art. 635 quinquies c.p.,
ovvero per la mera condotta preparatoria è stabilita la reclusione da uno a quattro anni
(primo comma), mentre se dal fatto deriva la conseguenza dannosa, la pena è della
reclusione da tre a otto anni, seguendo lo schema del reato aggravato dall'evento (secondo
comma).
128
PICOTTI L., Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 715;
Il secondo comma dell'art. 420 c.p. prevedeva quanto segue: "La pena di cui al primo comma si applica anche a chi
commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati,
informazioni o programmi in essi contenuti o a essi pertinenti".
129
130
PICOTTI L., Profili di diritto penale sostanziale, cit., p. 714;
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 747; SARZANA DI S.
IPPOLITO C., Informatica, Internet e diritto penale, Milano, III ed., 2010, p. 858; CORASANITI G., CORRIAS
LUCENTE G. (a cura di), Cybercrime, responsabilità degli enti, prova digitale. Commento alla Legge 18 marzo 2008, n.
48, Padova, 2009, p. 126;
131
63
A tal proposito non si può evitare di notare che la parificazione sanzionatoria tra l'attentato
ai dati pubblici e quello ai sistemi di pubblica utilità viola espressamente il disposto della
Convenzione Cybercrime, la quale impone pene più gravi per le aggressioni contro sistemi
informatici, rispetto a quelle arrecate a dati e programmi. L'unica giustificazione adducibile
è che si tratta di reati a consumazione anticipata, per cui non vi è un'effettiva lesione
dell'oggetto della condotta; a questa motivazione si controbatte facilmente con il rilievo che
pure quando si verifica l'evento lesivo le pene sono uguali, a prescindere dal fatto che siano
danneggiati dati o sistemi di pubblica utilità. Per chiudere il discorso sull'art. 635 ter c.p., si
sottolinea la presenza di una clausola di riserva analoga a quella dell'art. 635 bis c.p.; in
questo caso essa è riferita ai casi di interferenza con il più grave reato di danneggiamento a
sistemi altrui (art. 635 quater c.p., che abbiamo visto essere punito con la pena base della
reclusione da uno a cinque anni).
Sull'ultimo dei reati introdotti dalla legge 48/2008 in tema di danneggiamento informatico,
ovvero l'art. 635 quinquies c.p., sono rimaste poche parole da spendere. Sappiamo che è un
delitto di attentato, al pari del "gemello" art. 635 ter c.p., dal quale si distingue per il diverso
oggetto, "i sistemi informatici e telematici di pubblica utilità". Sono puniti i fatti diretti a
cagionare gli eventi descritti nel danneggiamento di sistemi altrui (art. 635 quater c.p.), vale
a dire i comportamenti finalizzati "a distruggere, danneggiare, rendere, in tutto o in parte,
inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il
funzionamento".
Per il commento specifico di ciascuna condotta-evento rimandiamo a quanto detto sull'art.
635 quater c.p.; a proposito dell'attentato a sistemi pubblici registriamo un'ulteriore
indeterminatezza nelle condotte tipiche, poiché è praticamente indefinibile la nozione di
"fatti diretti a ostacolare il funzionamento del sistema", con la conseguenza pratica di
un'esasperata dilatazione dei confini della fattispecie: diviene punibile la condotta
preparatoria di un'operazione di disturbo, neppure di alterazione.
Se già non pare agevole l'individuazione degli atti preparatori al danneggiamento di sistemi,
determinare il contenuto dei fatti diretti alla semplice interruzione del sistema è operazione
praticamente arbitraria132
132
PICOTTI L., Profili di diritto penale sostanziale, cit., p. 714; conformi ATERNO S., Le fattispecie di danneggiamento
informatico, in LUPARIA L. (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella
Legge attuativa della Convenzione di Budapest sul cybercrime (l. 18 marzo 2008, n. 48), Milano, 2009, p. 32;
64
3. Altre norme penali relative ai cybercrime in senso stretto: Il reato "satellite"
dell'accesso abusivo: la diffusione di codici d'accesso, art. 615 quater c.p.
Allo scopo di anticipare ulteriormente la risposta punitiva ai cybercrime, nonché di
prevenire gli accessi abusivi a dispositivi informatici, la legge 547/1993 ha posto accanto
all'art. 615 ter c.p. una fattispecie per così dire "servente", l'art. 615 quater c.p., rubricato
"detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici". La
norma punisce con la reclusione sino a un anno e con la multa "chiunque, al fine di
procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si
procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi
idonei all'accesso a un sistema informatico o telematico, protetto da misure di sicurezza, o
comunque fornisce indicazioni o istruzioni idonee al predetto scopo."
Nel primo capitolo133 abbiamo definito la fattispecie dell'art. 615 quater c.p. un reato di
pericolo concreto, sottolineando il requisito dell'idoneità dei codici d'accesso a violare la
sicurezza dei dispositivi informatici.
Sicuramente il risultato perseguito -e raggiunto- dal legislatore è quello di fornire una tutela
anticipata rispetto ai fatti di accesso abusivo: le condotte incriminate dall'art. 615 quater c.p.
colpiscono atti preparatori all'accesso abusivo che potrebbero non essere qualificabili come
forma tentata dell'art. 615 ter c.p. 134
CORASANITI G., CORRIAS LUCENTE G. (a cura di), Cybercrime, responsabilità degli enti, prova digitale. Commento
alla Legge 18 marzo 2008, n. 48, Padova, 2009, p. 61;
133
134
Si veda retro nel Capitolo Primo, Paragrafo 4 sui beni giuridici "informatici".
Trib. Torino, 30 settembre 2002, Larnè, pubblicata su Dir. Informatica, 2003, p. 322;
65
Andiamo allora a vedere da vicino le condotte tipizzate dall'art. 615 quater c.p.; in via
preliminare dobbiamo tenere separate le ipotesi di circolazione e produzione di codici
d'accesso da quella di "fornire indicazioni o istruzioni idonee a tale scopo".135
Per quanto riguarda il primo gruppo di condotte, le forme di realizzazione meno
problematiche sono la diffusione, la comunicazione e la consegna.
Per "diffusione" si intende mettere i codici a disposizione di una cerchia indistinta di
soggetti e la modalità commissiva più frequente è la condivisione su Internet, per esempio
pubblicando link in pagine di blog o altri siti aperti alla libera consultazione.
La "comunicazione", invece, indica una trasmissione del software a uno o più destinatari
predeterminati, pertanto in ambito informatico può svolgersi tramite chat o email. Infine, la
"consegna" è un comportamento materiale e perciò si serve di un supporto fisico (si pensi
alla consegna di un cd-rom o di una penna usb su cui sono stati memorizzati password o altri
codici d'accesso di terzi).
Diffusione, comunicazione e consegna sono tutte condotte connotate da una valenza esterna;
l'agente, infatti, fa circolare i codici d'accesso altrui e in tal modo rende più probabile la
commissione di ingressi abusivi nel sistema bersaglio.
Nel caso della "riproduzione" e dell'"acquisizione", al contrario, l'agente ottiene in modo
illecito i codici di accesso, ma non li trasmette all'esterno; tali condotte sono quindi punite
perché ritenute preparatorie ed agevolatrici di un accesso abusivo futuro da parte del
medesimo soggetto. Il senso del termine "riproduzione" è ritenuto generalmente identico a
quello di copia, sebbene un Autore136 interpreti il verbo "riprodurre" come creare in proprio,
per mezzo di programmi appositi, codici di accesso a dispositivi altrui. Ci pare preferibile la
definizione consolidata di copia, perché l'attività di produzione autonoma di password
appartiene già al campo semantico della condotta di "procurarsi".
Per il "procurarsi" sono stati suggeriti diversi significati, più o meno ampi. Secondo la parte
maggioritaria della dottrina137 la fattispecie non intende punire la mera detenzione abusiva di
135
Per un approfondimento sul tema si veda:Aterno S. “Aspetti problematici dell'art. 615 quater c.p.”, in
Cassazionepenale, 2000, n. 4, Giuffrè;
136
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 747;
MAIORANO N., Commento all'art. 615 quater, in PADOVANI T. (a cura di) Codice Penale, 2007, p. 3780;
MUCCIARELLI F., Commento all'art. 4 della l. 547/1993, cit., p. 100; PARODI C., Detenzione abusiva di codici
d’accesso a sistemi e illecito impedimento di comunicazioni informatiche, in Dir. Pen. Proc., 1998, p. 1149; PICA G., La
disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, cit., p. 418;
137
66
codici, presente solo nel titolo dell'art. 615 quater c.p.: la rubrica infatti non ha valore
precettivo, né è vincolante per l'interprete. La parola "detenzione", allora, comparirebbe
nella rubrica a causa di una svista del legislatore138.
Un'opinione isolata139 critica tale assunto e sostiene che la detenzione dei codici non può
essere considerata penalmente lecita, poiché essa è il presupposto comune di tutte le
condotte e compare nella rubrica come espressione di sintesi.
Rifiutiamo in modo netto questa interpretazione "eterodossa", essendo in palese contrasto
con il principio di legalità e tassatività penale; è pacifico che la detenzione delle password
sia condizione necessaria per commettere il reato di cui all'art. 615 quater c.p., ma non è
condizione sufficiente, dato che la norma richiede sempre un'attività ulteriore rispetto al
mero possesso dei codici d'accesso.
È dunque tipica l'attività di chi acquisisce chiavi d'accesso, sia ricevendole da altri, sia
ricercandole da solo. Molti programmi spyware consentono infatti a un'unica persona di
registrare ed ottenere i codici di innumerevoli dispositivi informatici, per non parlare di kit
completi, scaricabili da Internet, i quali generano automaticamente migliaia di password
capaci di superare le barriere di protezione in uso a computer e reti telematiche.
Non basta però colpire l'atto di procurare e diffondere chiavi informatiche altrui, occorre
altresì frenare il fenomeno dei programmi e dei forum online che forniscono tutti gli
strumenti necessari a chi intenda compiere atti di hacking: per questa ragione il legislatore
del 1993 ha incriminato un'ulteriore ipotesi, che rappresenta il momento di anticipazione
massima della soglia di tipicità nell'art. 615 ter c.p.: fornire indicazioni o istruzioni idonee
alla produzione e alla circolazione di codici di accesso a sistemi informatici.La condotta di
fornire indicazioni è lontanamente prodromica all'accesso abusivo, con il rischio di una
risposta punitiva sproporzionata rispetto all'offesa; l'unico argine a questa sta nell'idoneità
concreta delle istruzioni a creare o a diffondere codici di accesso altrui.Mosso dall'intento di
contenere in qualche modo l'attitudine espansiva dell'art. 615 quater c.p., il legislatore ha
previsto per tutte le condotte il requisito dell'abusività, il quale tuttavia presenta un
138
139
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 748;
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, Padova, 2008, p. 524;
67
contenuto oscuro: potrebbe trattarsi di un semplice richiamo all'assenza di scriminanti140,
oppure di una clausola di antigiuridicità speciale, con il conseguente problema di
determinarne l'oggetto141, o ancora indicare "un contrasto con il normale esercizio di diritti o
di facoltà da parte dell'agente"142
A fronte dell'indeterminatezza delle condotte abusive, funge da vero filtro della rilevanza
penale un ulteriore elemento del fatto: il dolo specifico di profitto o di altrui danno, analogo
a quello della truffa comune e della frode informatica (articoli 640 c.p. e 640 ter c.p.)143. La
funzione selettiva del dolo specifico è particolarmente apprezzabile144 poiché l'avverbio
"abusivamente" da solo sarebbe stato insufficiente, anzi esso è un termine vago, quasi un
Pleonasmo145
Grazie al dolo specifico alternativo di profitto o di danno sono puniti dall'art. 615 quater c.p.
soltanto quei comportamenti finalizzati a un'utilità in un'accezione estesa (cioè anche non
patrimoniale, come prendere visione dei file), oppure ad atti di "vandalismo informatico"146
La ratio della norma, in effetti, non è di impedire lo scambio di conoscenze sui codici
d'accesso in misura assoluta, ma quella di proibire la circolazione delle chiavi informatiche a
fini illeciti: pertanto le attività di progettazione e di sperimentazione per scopi scientifici
devono rimanere fuori dall'ambito della fattispecie, come pure le operazioni svolte dai
tecnici riparatori e dagli sviluppatori di software per il mercato.
Il reato è istantaneo e il momento della consumazione muta a seconda delle modalità
realizzative della condotta: in quelle di divulgazione (diffusione, comunicazione, consegna)
il reato è integrato con il primo trasferimento del codice d'accesso; nella riproduzione invece
è perfetto quando è completata la copia, mentre il soggetto "si procura" la password nel
momento in cui ne entra in possesso o ne ha concluso la creazione. Infine, nel caso della
140
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, loc. ult. cit.; PARODI C., Detenzione
abusiva di codici d’accesso a sistemi e illecito impedimento di comunicazioni informatiche, in Dir. Pen. Proc., 1998, p.
1149;
141
Per dare un senso a questo requisito di illiceità speciale si deve ricercare un'area di operatività ulteriore rispetto a quello
delle cause di giustificazione. Si veda in proposito quanto afermato da MUCCIARELLI F., Commento all'art. 4 della l.
547/1993, cit., p. 106;
142
PARODI C., Detenzione abusiva di codici d’accesso a sistemi e illecito impedimento di comunicazioni informatiche, in
Dir. Pen. Proc., 1998, p. 1150;
143
144
ATERNO S., Aspetti problematici dell'art. 615 quater, in Cass. Pen., 2000, p. 872;
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, cit., p. 417;
145
MUCCIARELLI F., Commento all'art. 4 della l. 547/1993, loc. ult. cit.;
PARODI C., Detenzione abusiva di codici d’accesso a sistemi e illecito impedimento di comunicazioni informatiche,
cit., p. 1151;
146
68
trasmissione delle istruzioni idonee il reato si realizza all'atto del passaggio delle
informazioni147
Per completare l'analisi normativa, ricordiamo che nel secondo comma dell'art. 615 quater
c.p. sono previste alcune circostanze aggravanti, inerenti alle caratteristiche dell'oggetto
materiale (sistemi informatici di enti pubblici o di pubblica utilità) ovvero del soggetto attivo
(pubblico ufficiale, incaricato di pubblico servizio od operatore del sistema).
È curioso notare quanto spesso nella prassi giurisprudenziale la fattispecie abbia interessato
fenomeni difficilmente riconducibili alla criminalità informatica: a seguito della riforma del
1993 la giurisprudenza di merito ha infatti usato l'art. 615 quater c.p. per punire casi di
clonazione e indebito utilizzo di smart card e pic-card, cioè quelle tessere, contenenti un
codice di riconoscimento, che abilitano ai servizi di tv a pagamento (dette pay tv o
trasmissioni ad accesso condizionato)148
Qualche anno più tardi la Cassazione,149 anche a Sezioni Unite
150
, ha cambiato
completamente indirizzo, escludendo la configurabilità del reato informatico per simili
comportamenti, poiché le carte contraffatte non sono idonee all'accesso a sistemi
computerizzati, bensì a canali televisivi criptati; la fattispecie rilevante è divenuta allora l'art.
6 d.lgs. 373/2000151
Il reato previsto dall'art. 615 quater c.p. trova frequente applicazione, inoltre, negli illeciti
aventi ad oggetto i telefoni cellulari: la giurisprudenza di legittimità152 ha affermato che
147
MUCCIARELLI F., Commento all'art. 4 della l. 547/1993, cit., p. 105;
148
Cass. Pen., sez. V, 2 luglio 1998, Nebbia, su Cass. Pen., 2000, p. 870; Cass. Pen., sez. V, 29 maggio 2002, su Cass.
Pen., 2003, p. 1899;
149
Cass. Pen., sez. V, 16 aprile 2003, Amuso, su Giust. Pen., 2004, p. 85; Cass. Pen., sez. III, 9 – 28 novembre 2001, n.
42561; conformi nella giurisprudenza di merito: Trib. Trapani, 22 dicembre 2005, su Riv. Pen., 2006, p. 555; Trib. Torino,
Sez. V Pen., 17 febbraio - 30 marzo 2001 su www.penale.it
150
Cass. Pen., Sez. Un., 18 dicembre 2002, Scuncia, su Riv. Pen., 2003, p. 384;
151
Decreto Legislativo 15 novembre 2000, n. 373: "Attuazione della direttiva 98/84/CE sulla tutela dei servizi ad accesso
condizionato e dei servizi di accesso condizionato", che prevede per la clonazione delle smart card e delle pic-card
sanzioni amministrative. Articolo 4. (Attività illecite). "Sono vietate le seguenti attività: a) la fabbricazione, l'importazione,
la distribuzione, la vendita, il noleggio ovvero il possesso a fini commerciali di dispositivi; b) l'installazione, la
manutenzione o la sostituzione a fini commerciali di dispositivi; c) la diffusione con ogni mezzo di comunicazioni
commerciali per promuovere la distribuzione e l'uso di dispositivi." Articolo 6. (Sanzioni). "Chiunque pone in essere una
delle attività illecite di cui all'art. 4 e' assoggettato alla sanzione amministrativa del pagamento di una somma da lire dieci
milioni a lire cinquanta milioni oltre al pagamento di una somma da lire centomila a lire cinquecentomila per ciascun
dispositivo illecito. In ogni caso la sanzione amministrativa non puo' superare la somma complessiva di lire duecento
milioni."
152
Cass. Pen., sez. II, 17 dicembre 2004, Mbaye, su Cass. Pen., 2006, p. 1430; Cass. Pen., sez. II, 17 gennaio - 22
settembre 2003, n. 36288, De Alfieri, rv 226699; Cass. Pen., sez. II, 17 dicembre 2004 - 14 febbraio 2005, n. 5688, rv
230693.
69
integra il reato de quo colui che si procura illegittimamente il numero seriale153 di un
telefono cellulare altrui, poiché la cd. clonazione di tale codice alfanumerico consente di
accedere abusivamente alla rete di telefonia mobile, che è un sistema telematico protetto.154
Per converso, non commette il reato di diffusione abusiva di codici d'accesso chi clona il
codice PIN delle carte ricaricabili (sim card) dei telefoni cellulari: le schede contenenti il
credito telefonico sono state equiparate dalla Cassazione155 alle carte di debito, quindi la loro
contraffazione realizza la fattispecie prevista dall'art. 55 comma 9 del d.lgs. 231/2007, che
punisce la falsificazione e l'indebito utilizzo di ogni mezzo di pagamento diverso dal
contante156 mentre non implica l'accesso ad alcun sistema informatico.
3.1 Due fattispecie connesse al danneggiamento di sistemi informatici e telematici: l'art.
392 c.p. e l'art. 615 quinquies c.p.
a) Art. 392 c.p.
Nel nostro ordinamento, oltre agli artt. 635 bis, 635 ter, 635 quater e 635 quinquies c.p.157vi
sono altre due disposizioni gravitanti nell'orbita del danneggiamento informatico: l'esercizio
arbitrario delle proprie ragioni per mezzo di violenza informatica (art. 392 terzo comma c.p.)
e la diffusione di programmi informatici con finalità dannose (art. 615 quinquies c.p.). Tutte
e due le previsioni sono opera della legge 547/1993; la legge 48/2008 è poi intervenuta sul
testo dell'art. 615 quinquies c.p., modificando in parte la descrizione del fatto tipico.
L'art. 392 c.p. prevede in generale il reato di "esercizio arbitrario delle proprie ragioni con
violenza sulle cose", ossia il comportamento di chi, al fine di esercitare un preteso diritto,
potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante
violenza sulle cose. La legge 547/1993 è intervenuta sulla disposizione, aggiungendovi un
153
Il codice seriale di un telefono cellulare si può visualizzare digitando i tasti *#06# e si compone di quindici o sedici
caratteri alfanumerici. Nel lessico tecnico questo codice si chiama con l'acronimo IMEI (International Mobile Equipment
Identity) e serve a identificare in modo univoco ogni telefono cellulare. Il codice IMEI viene usato per intercettare le
telefonate da e verso un determinato cellulare, nonché per rintracciarlo e bloccarne le chiamate in caso di furto.
154
La rete di telefonia mobile – in particolare le banche dati sul traffico - è interamente gestita da computer.
155
Cass. Pen., sez. II, 10 luglio 2003, Larnè, su Giust. Pen., 2004, c. 354; Cass. Pen., sez. II, 23 settembre 2003, Moccia,
su Riv. Pen., 2004, p. 422; in senso conforme si veda per la giurisprudenza di merito: Trib. Torino, 30 settembre 2002, su
Dir. Informatica, 2003, p. 322.
156
Di cui ci occuperemo di questo Capitolo.
157
Vedi retro Paragrafo 3 reati impropri;
70
terzo comma, che ha la funzione di ampliare la nozione di "violenza sulle cose" ai casi di
danneggiamento informatico158
Capovolgendo la prospettiva, il terzo comma dell'art. 392 c.p. sanziona una forma peculiare
di danneggiamento informatico, caratterizzata dallo scopo di esercitare un preteso diritto
facendosi "arbitrariamente ragione da sé”159
La riforma dell'art. 392 c.p. non era richiesta dalla Raccomandazione n. 8 del 1989 del
Consiglio d'Europa; la Commissione Callà ha scelto di intervenire su una disposizione
marginalmente collegata al fenomeno dei cybercrime per risolvere un problema
interpretativo tutto interno all'ordinamento italiano.
A partire dalla metà degli anni Ottanta, andava affermandosi una prassi commerciale, come
minimo assai scorretta, tra i produttori e i distributori di software protetti da diritti di
proprietà intellettuale ed industriale: venivano inserite surrettiziamente delle logic bomb160
nei programmi, che sarebbero entrate in attività se il cliente o il licenziatario non avesse
rinnovato il contratto o non avesse pagato il canone alla scadenza prefissata dalle parti. Si
erano presentate notevoli difficoltà nell'applicare l'art. 392 c.p. a tali fatti, in quanto incidenti
sui programmi informatici; eppure, in un caso161, i giudici di merito hanno optato per la
soluzione estensiva, affermando che la "violenza sulle cose" era adatta ad includere altresì le
condotte di danneggiamento dei sistemi operativi, senza considerare la natura immateriale
dei beni lesi.
Per evitare incertezze (e interpretazioni più analogiche che estensive della norma) la legge
547/1993 ha esplicitamente ampliato la definizione di violenza sulle cose, che ha rilevanza
generale, in quanto è stabilita "agli effetti della legge penale" (secondo comma dell'art. 392
c.p.). Questo implica che la nozione allargata di violenza sulle cose è suscettibile di
applicazione in qualsiasi disposizione la preveda: si pensi alla circostanza aggravante del
furto (art. 625 n. 2 c.p.), oppure all'identica aggravante della violazione di domicilio (art.
158
Il terzo comma dell'art. 392 c.p. stabilisce letteralmente che "si ha, altresì, violenza sulle cose allorché un programma
informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di
un sistema informatico o telematico."
159
Secondo Destito si tratterebbe in effetti di una forma speciale di danneggiamento, qualificata dalla volontà di esercitare
un diritto in contestazione. Cfr. DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 753;
160
Sulle logic bomb come tipo particolare di virus si rimanda retro al Capitolo Primo, Paragrafo 2.
161
Trib. Torino, 12 dicembre 1983, Basile ed altro, su Giur. It., 1984, II, p. 352;
71
614 quarto comma c.p.); la possibilità che si realizzi tale ipotesi non è così remota, basta ad
esempio che l'autore manometta il sistema informatico anti-furto per commettere il fatto.
Più facile è che la "violenza informatica" trovi spazio come aggravante speciale del reato di
accesso abusivo a un sistema, in forza dell'art. 615 ter secondo comma n. 2
c.p.162Analizziamo dunque i contenuti della definizione di "violenza informatica" nel terzo
comma dell'art. 392 c.p.: l'oggetto della condotta deve essere alternativamente un
programma o un sistema, manca il riferimento ai dati digitali perché nella casistica
precedente alla riforma si erano verificate manomissioni di applicazioni e mai di singoli dati
163
I comportamenti tipici sono opportunamente diversificati a seconda del loro oggetto: per i
programmi informatici sono previste l'alterazione, la modifica e la cancellazione totale o
parziale, per i sistemi l'impedimento e il turbamento del funzionamento.
I termini sono comprensibili sin da una prima lettura e non richiedono precisazioni ulteriori;
è dubbia solo la separazione concettuale tra la "modifica" (forse una variazione strutturale
del software) e l'"alterazione" (in senso probabilmente funzionale). In altre parole, chi
"modifica" il programma lo manipola dall'interno, operando sulle istruzioni informatiche che
lo compongono, a differenza di chi lo "altera", ovvero ne rallenta le prestazioni o le rende
incontrollabili. Le due parole sembrano in pratica dei sinonimi, dato che le logic bomb sono,
per definizione, comandi che si inseriscono all'interno dei programmi -cioè li "modificano",
per peggiorarne la funzionalità, ossia per “alterarli”; modifica e alterazione, insomma, sono
due facce della stessa medaglia e figurano insieme nell'art. 392 c.p. per l'horror vacui del
legislatore italiano sui reati informatici.
La cancellazione totale o parziale del programma (recte dei dati da esso memorizzati
nell'archivio elettronico) è una conseguenza frequente dei malware ad attivazione
condizionata ed è perciò assai opportuna la sua previsione espressa nell'art. 392 c.p.;
"l'impedimento e il turbamento del funzionamento dei sistema", infine, riescono a coprire in
maniera esaustiva tutte le situazioni di blocco e di rallentamento dei dispositivi informatici.
162
Si veda retro nel presente Capitolo, Paragrafo 2.
Parte della dottrina critica tale assunto: sarebbe stato meglio includere nella disposizione anche i dati informatici, per
evitare future lacune applicative della riforma. In tal senso si può leggere PARODI C. - CALICE A., Responsabilità penali
e Internet. Le ipotesi di responsabilità penale nell'uso dell'informatica e della telematica, Milano, 2001, p. 38;
163
72
Viene da domandarsi perché il legislatore del 1993 sia stato così chiaro e lineare soltanto nel
descrivere il reato di esercizio arbitrario e non per i reati informatici in senso stretto, quali il
danneggiamento e l'accesso abusivo.
Ad avviso di chi scrive il motivo è il seguente: nella modifica dell'art. 392 c.p. non è stato
seguito nessun modello codicistico e, pertanto, la terminologia è innovativa e tecnicamente
corretta; la qualità redazionale degli articoli 615 ter e 635 bis e seguenti c.p. è minore a
causa di formulazioni pedisseque della violazione di domicilio e del danneggiamento di cose
(articoli 614 e 635 c.p.).
b) Art. 615 quinquies c.p.
Ancora più strettamente collegato al fenomeno dei sabotaggi virtuali è il secondo
"reatosatellite", di cui all'art. 615 quinquies c.p., introdotto con la legge 547/1993164 e in
parte modificato dalla legge 48/2008165 La disposizione è rubricata "diffusione di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un
sistema informatico o telematico".
Nel testo originario l'articolo non comprendeva le apparecchiature e i dispositivi, bensì si
limitava a penalizzare la diffusione di malware aventi effetti distruttivi o interruttivi sul
computer attaccato.
L'estensione dell'oggetto delle condotte è avvenuta grazie alla legge di ratifica della
Convenzione Cybercrime, in attuazione dell'art. 6 lett. I del trattato, ove si obbligano gli
164
Riportiamo il testo originario dell'art. 615 quinquies c.p., in quanto sarà spesso richiamato nel corso dell'esposizione:
"Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico. Chiunque diffonde, comunica o
consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un
sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione,
totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire
20 milioni".
165
Questo è l'articolo in vigore dal 5 aprile 2008: "Diffusione di apparecchiature, dispositivi o programmi informatici
diretti a danneggiare o interrompere un sistema informatico o telematico. Chiunque, allo scopo di danneggiare
illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso
pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o
programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329."
73
Stati parte a incriminare "the production, sale, procurement for use, import, distribution or
otherwise making available of: i) a device, including a computer program, designed or
adapted primarily for the purpose of committing any of the offences established [by the
present Convention]".
La Convenzione utilizza la parola "device", traducibile in italiano con "dispositivo"; il nostro
legislatore ha ritenuto necessario scindere il senso di device nei due termini
"apparecchiature" e "dispositivi", sebbene sia oscuro il significato specifico delle
apparecchiature rispetto ai dispositivi.La legge 48/2008 ha poi cambiato profondamente la
struttura della fattispecie, che diventa a dolo specifico, il fine di danneggiare illecitamente
un sistema ovvero di favorirne il malfunzionamento, mentre nel testo in vigore dal 1993 la
portata dannosa era riferita alle caratteristiche oggettive dei programmi informatici e non
agli scopi perseguiti dal soggetto agente.
Secondo la totalità della dottrina166, la novella del 2008 è stata un'occasione perduta da parte
del legislatore, poiché è intervenuto su aspetti della fattispecie che avevano poco bisogno di
un cambiamento e, allo stesso tempo, i dubbi interpretativi sull'art. 615 quinquies c.p. sono
rimasti irrisolti o, addirittura, si sono moltiplicati proprio a causa della modifica.
Il reato di diffusione abusiva di dispositivi dannosi punta in primo luogo a punire la
produzione e la messa in circolazione di malware, quindi anticipa la soglia di tipicità ad atti
meramente preparatori del danneggiamento informatico. Sorprende per tale motivo la
collocazione dell'articolo nel Titolo XII, tra i delitti contro l'inviolabilità del domicilio,
quando è evidente che esso tutela in forma avanzata l'interesse patrimoniale all'integrità dei
sistemi informatici e dovrebbe perciò trovarsi accanto all'art. 635 bis e seguenti c.p., fra i
delitti contro il patrimonio167
La legge 48/2008 ha mantenuto la collocazione preesistente, nonostante sia pacifico che
l'art. 615 quinquies c.p. descriva un fatto prodromico al danneggiamento informatico e non
all'accesso abusivo nell'art. 615 ter c.p., la cui punibilità è già anticipata dall'art. 615 quater
166
Cfr. ex multis PICOTTI L., Profili di diritto penale sostanziale, cit., p. 719;
CORASANITI G., CORRIAS LUCENTE G. (a cura di), Cybercrime, responsabilità degli enti, prova digitale.
Commento alla Legge 18 marzo 2008, n. 48, Padova, 2009, p. 135;
167
74
c.p.168. In punto di descrizione del fatto tipico, abbiamo osservato sopra che l'ambito
oggettivo, originariamente circoscritto ai programmi informatici, è stato ampliato dalla legge
48/2008 ai dispositivi e alle apparecchiature.
Bisogna fare cenno alla particolare caratterizzazione dei programmi informatici nel testo
originario dell'art. 615 quinquies c.p., poiché essa è alla base della successiva riforma del
2008. Il requisito della pericolosità era riferito ai programmi medesimi, che dovevano avere
"per scopo o per effetto il danneggiamento di un sistema informatico o telematico" o, in
alternativa, "l'interruzione, totale o parziale, o l'alterazione del suo funzionamento". Sulle
finalità distruttive o interruttive dei programmi nulla quaestio; l'interrogativo sorto in
dottrina subito dopo la legge 547/1993 atteneva a un altro profilo, ossia alla scelta di
qualificare soltanto in termini oggettivi il disvalore del fatto.
Ragionando in modo rigoroso, rientravano nella sfera di rilevanza penale tutte le condotte
aventi ad oggetto programmi dannosi, senza considerare le finalità perseguite dall'autore,
che possono benissimo essere del tutto lecite: pare che il legislatore del 1993 non abbia
tenuto in considerazione la prassi di combattere i virus informatici con programmi che
aggrediscono il sistema dell'hacker, né l'esigenza di conoscere gli effetti negativi dei
malware ripetendone in scala ridotta le modalità di attacco.
Le ricadute applicative potevano essere nefaste e paradossali: i programmatori di software
antivirus erano sottoponibili alle medesime pene degli sviluppatori di malware, poiché
entrambi operano su applicazioni aventi per scopo o per effetto il danneggiamento
informatico. Alcuni Autori169 proposero una soluzione de lege ferenda che poi è stata accolta
dal legislatore del 2008: dotare la fattispecie di un dolo specifico di danno, affinché l'uso del
malware per scopi di ricerca scientifica o per la creazione di "antidoti" virtuali non fosse
punibile.
Tuttavia, l'introduzione del dolo specifico è avvenuta eliminando il requisito oggettivo di
pericolosità dei programmi (rimasto solo nella rubrica dell'art. 615 quinquies c.p.), con la
168
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, Padova, 2008, p. 506; PECORELLA C.,
Diritto penale dell’informatica, Padova, 2006, p. 235;
169
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, in Riv. Pen. Eco.,
1995, p. 422;
75
conseguenza che i fatti tipici adesso sono selezionati esclusivamente a seconda dello scopo
perseguito dell'agente, cioè un parametro soggettivo difficile da dimostrare in concreto 170
Di fatto, l'obiettivo della riforma non è stato centrato, perché il nuovo testo è capace di
incriminare comportamenti obiettivamente leciti e inoffensivi, come quelli aventi ad oggetto
programmi informatici innocui171, soltanto in forza della volontà contra legem dell'agente.
Per giunta, la versione attuale dell'art. 615 quinquies c.p. contrasta con i principi penalistici
di determinatezza e tassatività, nonché, chiaramente, con quello di offensività, poiché l'an
dell'incriminazione, in definitiva, dipende da un dato psicologico e non da una circostanza
verificatasi nella realtà esterna.
La stessa Convenzione Cybercrime, cui dà attuazione la legge 48/2008, prevede nell'art. 6 la
penalizzazione di vari comportamenti relativi a programmi e dispositivi "designed or
adapted primarily for the purpose of committing any of the offences established [...]",
ovvero sceglie una posizione analoga a quella della vecchio testo dell'art. 615 quinquies c.p.,
qualificando come pericolosi i software e non le finalità dell'autore.
Sotto il profilo delle condotte, la disposizione prevede un'ampia (e forse eccessiva) gamma
di comportamenti, molti dei quali sono stati aggiunti dall'intervento del 2008: è punito infatti
chi "si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque,
mette a disposizione" dispositivi informatici.
La norma previgente contemplava solo la diffusione, la comunicazione e la consegna, nel
significato visto per il reato di diffusione abusiva di codici d'accesso, alla cui trattazione
rimandiamo172.
Adesso l'art. 615 quinquies c.p. si è arricchito di ulteriori modalità realizzative, come il
"procurarsi" e il "riprodurre", ripresi direttamente dall'art. 615 quater c.p.; in questo caso la
legge 48/2008 estende notevolmente la punibilità, poiché comprende condotte anteriori non
solo all'aggressione dei sistemi informatici, ma anche alla circolazione stessa dei malware.
170
Tra i molti Autori critici sulla scelta di aggiungere il dolo specifico suggeriamo: PICOTTI L., Profili di diritto penale
sostanziale, cit., p. 710;
171
Si veda retro sul problema dell'offensività dell'art. 615 quinquies c.p. riformato nel Capitolo Primo, Paragrafo 4.1,
riguardante la tutela dei beni giuridici informatici.
172
Retro nel presente Capitolo, Paragrafo 3.
76
Non si può dire altrettanto circa la "produzione", l'"importazione" e la "messa a
disposizione", anch'esse inserite nel 2008, dato che a nostro parere la prima è già inclusa nel
concetto di "procurarsi" e la seconda in quello di diffusione; la terza ipotesi, pur essendo
oltremodo generica, non sembra indicare comportamenti ulteriori rispetto alla diffusione,
alla comunicazione o alla consegna.
La presenza di queste tre espressioni è dovuta, in effetti, non a un vuoto normativo nel
vecchio art. 615 quinquies c.p., bensì a un calco sbrigativo dell'art. 6 della Convenzione
Cybercrime. Le sanzioni dell'art. 615 quinquies c.p. non sono mutate dal 1993: è prevista la
reclusione fino a due anni, congiunta alla multa.
I rapporti della fattispecie di diffusione i malware con gli altri reati informatici sono
piuttosto complessi; è stato ammesso il concorso tra l'art. 615 quinquies c.p. e l'accesso
abusivo a un sistema informatico in una sentenza di merito173, poiché nel caso di specie il
virus aveva neutralizzato le misure logiche di protezione e aveva consentito all'autore di
entrare illecitamente nell'archivio elettronico infetto. La stessa tesi è condivisa dalla dottrina,
altresì, in tema di diffusione di virus e frode elettronica174
Rispetto al danneggiamento di sistemi, previsto dagli articoli 635 quater e quinquies c.p., la
fattispecie di diffusione di malware si pone in rapporto teleologico175, anche se in alcune
circostanze è difficile stabilire quale dei due reati sia stato realizzato176.
Quando, ad esempio, un sistema viene contagiato da un programma dannoso e quest'ultimo
non è ancora entrato in funzione, si può configurare la diffusione di programmi dannosi (art.
615 quinquies c.p.), oppure il danneggiamento di sistemi altrui "attraverso l'introduzione o la
trasmissione di dati, informazioni o programmi" (art. 635 quater c.p.), o addirittura
l'attentato a sistemi informatici di pubblica utilità, se l'elaboratore infetto possiede tale
caratteristica (art. 635 quinquies c.p.). Il quadro dei reati in materia di danneggiamento
173
Trib. Bologna, 21 luglio 2005, su Giur. It., 2006, n. 5, p. 1224;
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, cit., p. 423; FROSINI
V., La criminalità informatica, in Dir. Informatica, 1997, p. 495; DESTITO V., v. Reati informatici, in Dige. Disc. Pen.
Eco., Aggiornam. V, 2010, p. 753;
175
MAIORANO N., Commento all'articolo 615 quinquies, in PADOVANI T. (a cura di) Codice Penale, 2007, Milano, p.
3779;
176
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 750;
174
77
informatico è dunque connotato da interferenze tra fattispecie contigue, sulle quali deciderà
la giurisprudenza dei prossimi anni; allo stato attuale, condividiamo il pensiero di chi vi
ravvede una "disciplina caotica"177, a causa di formulazioni ipertrofiche del fatto,
appesantite ancor di più dalla legge 48/2008.
4 Nuovi spazi per il diritto penale: il furto d'identità digitale e il phishing
Chiudiamo il capitolo con due illeciti di recente comparsa, ma sempre più diffusi nel settore
informatico e telematico: il furto di identità digitale (detto anche identity thef) e il phishing.
Questi comportamenti non sono ancora previsti da fattispecie incriminatrici ad hoc e si è
aperto un ricco dibattito dottrinale (e, poco a poco, anche giurisprudenziale) sull'estensione
delle disposizioni esistenti ai due fenomeni: gli articoli che paiono più adatti allo scopo
sembrano essere l'art. 494 c.p. (sostituzione di persona) ovvero l'art. 167 del d.lgs. 196/2003
(trattamento illecito di dati personali), e ancora di più l'art. 640 c.p., relativo alla truffa.
4.1 La qualificazione penalistica dell'identity thef
Cominciamo dal primo dei due fenomeni; in via preliminare dobbiamo chiarire cosa si
intende per identity thef. Il furto di identità digitale è un atto paragonabile alla fattispecie di
furto nell'art. 624 c.p., salvo per l'oggetto della sottrazione, che riguarda non una cosa
mobile, ma dati elettronici personali, non necessariamente riservati o sensibili, ma quasi
sempre di alto valore economico.
177
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, Padova, 2008, p. 508; MUCCIARELLI F.,
Commento all'art. 4 della l. 547/1993, cit., p. 104; PICOTTI L., Profili di diritto penale sostanziale, cit., p. 717;
78
Oggetto del cd. furto di identità digitale possono essere il numero di carta d'identità, il
codice fiscale e quello della tessera sanitaria, il numero di patente o di passaporto, la serie
numerica delle carte di credito - codice di sicurezza incluso, il numero di conto corrente
online, il profilo sui siti di commercio elettronico o di telefonia VOIP, e così via. Tutte
queste informazioni sono solitamente registrate dai navigatori su Internet per usufruire di
servizi aggiuntivi a pagamento, oppure per iscriversi a mailing list o siti di social network
(Facebook primo fra tutti) o, infine, per dialogare con portali istituzionali di enti pubblici e
istituti bancari sulla rete. Dati elettronici di questo tipo, se combinati tra loro, sono in grado
di tracciare con precisione l'identità di un individuo, le sue condizioni patrimoniali e di
salute, ma soprattutto possono essere sfruttate dall'"identity thief" per sostituirsi al legittimo
titolare delle informazioni e sfruttarle a proprio vantaggio.
Lo scopo del furto di identità digitale, invero, non è tanto conoscitivo, salvi i casi di
violazione del segreto industriale, che esulano dall'area del fenomeno in questione, quanto
fraudolento: con il numero di un conto bancario "virtuale" e con il profilo clonato del cliente
ignaro si può ad esempio compiere trasferimenti elettronici di denaro su conti intestati a
complici o a società fittizie.
La norma sul furto è evidentemente inapplicabile a casi del genere, poiché la copiatura di
dati informatici non può essere in alcun modo ricondotta all'apprensione materiale di cose,
né, tanto meno, può esserlo l'asportazione del supporto su cui sono registrati i file, quali CD
Rom o penne USB178.
In alcuni casi179 la duplicazione non autorizzata di file riguardanti una persona è stata punita
ai sensi dell'art. 615 ter c.p., sotto il profilo della permanenza abusiva in un sistema protetto,
oppure dell'art. 615 quater c.p., qualificando le informazioni su un account telematico alla
stregua di "codici d'accesso180.
Molto spesso, in effetti, vengono commessi diversi reati informatici al fine di realizzare un
furto d'identità digitale; anzi, in giurisprudenza vi è la tendenza a punire i soli fatti
strumentali181 evitando così di affrontare la questione della qualifica penale dell'identity
thef.Se poi il soggetto agente carpisce i file inerenti terzi e se ne serve a scopo di profitto (o
178
Cass. Pen., Sez. IV, 13 novembre 2003 - 29 gennaio 2004, n. 3449, consultabile integralmente sulla pagina web:
http://www.ictlex.net/?p=418
179
Cass. Pen., Sez. IV, 26 ottobre - 21 dicembre 2010, n. 44840, su http://www.penale.it
180
Cass. Pen., Sez. II, 14 febbraio - 17 dicembre 2005, n. 5688 ;
181
Vedi infra le sentenze citate commentando gli articoli 615 ter, 615 quinquies c.p. ed art. 167 d.lgs. 196/2003; in senso
contrario CAJANI F., Profili penali del phishing, in Cass. pen., 2007, fasc. 6, p. 2295, sostenitore di una “progressione
criminosa” dall'accesso o dalla difusione del malware alla trufa consumata di cui all'art. 640 c.p.;
79
per un qualunque altro vantaggio), sostituendosi al loro legittimo titolare, la fattispecie
applicabile è il reato di sostituzione di persona, previsto dall'art. 494 c.p.182, come ha
affermato di recente la Corte di Cassazione decidendo un caso di appropriazione abusiva di
un indirizzo email altrui183
La qualificazione penale della fattispecie concreta nei termini dell'art. 494 c.p. è
ineccepibile, sebbene le sanzioni esigue previste per tale reato (fino a un anno di reclusione)
non ci sembrano proporzionate alla gravità e alla pericolosità dell'identity thef.184Quando
all'apprensione illecita di dati personali non segue un profitto ingiusto a danno del titolare, ci
troviamo in una zona grigia del sistema penale italiano, dovuta all'assenza di norme che
incriminino il furto di identità digitale "in quanto tale", a prescindere dalle violazioni
successivamente commesse grazie ai file sottratti. Tuttavia, si può colmare in parte questo
vuoto di tutela interpretando in modo estensivo una norma incriminatrice nel Codice della
Privacy (d.lgs. 196/2003), risultante dal combinato disposto degli articoli 23 e 167.
L'art. 23 del d.lgs. 196/2003 prevede che i soggetti privati possono servirsi di dati personali
altrui solo con il consenso libero e informato dei titolari e degli interessati, mentre l'art. 167,
rubricato "trattamento illecito dei dati", correda di sanzione penale la violazione dell'art. 23,
stabilendo che "salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per
sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali
in violazione di quanto disposto dall'art. 23 [...] è punito, se dal fatto deriva nocumento, con
la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi." Che il furto di identità digitale configuri
un'ipotesi di trattamento illecito di dati personali è certo, poiché esso si realizza con la
sottrazione non consensuale di informazioni riguardanti terzi; anche il dolo specifico di
profitto non pone problemi di compatibilità con la prassi esistente185
182
Art. 494 c.p.: Sostituzione di persona. "Chiunque al fine di procurare a sé o ad altri un vantaggio o di recare ad altri
un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri
un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici è punito se il fatto non
costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno."
183
Cass. Pen., sez. V, 14 dicembre 2007, n. 46674, pubblicata sul sito Internet della Corte di Cassazione all'indirizzo
http://www.cortedicassazione.it/Documenti/Italgiure%20Web.htm
184
Si pensi che negli Stati Uniti ogni anno questo fenomeno criminale produce un miliardo di dollari di profitto (fonte:
UNODC, United Nation Office on Drugs and Crime); è vero che nel computo rientrano anche i ricavi dell'uso indebito di
mezzi di pagamento virtuali, tuttavia le dimensioni globali degli identity crime restano preoccupanti.
185
CAJANI F., Profili penali del phishing, in Cass. pen., 2007, fasc. 6, p. 2295; FRATTALLONE S.,
Phishing,fenomenologia e profili penali: dalla frode telematica al cyber-riciclaggio, su www.globaltrust.it
80
Il vero ostacolo all'estensione del reato di trattamento illecito di dati sic et simpliciter ai casi
di furto di identità digitale va ricercato altrove: esso è rappresentato dalla struttura di
fattispecie di evento dell'art. 167 del Codice della Privacy, in quanto il reato si consuma al
verificarsi di un "nocumento", causalmente derivato dal trattamento abusivo.
La Cassazione, in una vicenda relativa all'applicabilità dell'art. 167 d.lgs. 196/2003 alla
criminalità informatica, nel "nocumento della persona offesa" ha ravvisato una condizione
obiettiva di punibilità186 e non l'evento del reato, ma per quanto ci riguarda il risultato non
cambia: l'assenza del nocumento impedisce la configurabilità del reato, mancando un
elemento strutturale187, perciò senza la prova di un vulnus significativo alla persona offesa
non sussiste l'illecito dell'art. 167 del Codice della Privacy.
In una circostanza similare, la Suprema Corte ha ritenuto configurabile il reato previsto
dall'art. 167 d.lgs. 196/2003 per un trattamento illecito di dati elettronici, in quanto
l'acquisizione abusiva di file dal database di uno studio di professionisti aveva consentito
agli autori lo storno della clientela, arrecando alle persone offese dei danni risarcibili in sede
civile188
È necessario allora che il furto d'identità produca un danno, con la conseguenza che la
risposta punitiva interviene troppo tardi, quando la lesione patrimoniale si è già verificata,
analogamente all'evento di danno della truffa all'art. 640 c.p. e della frode informatica all'art.
640 ter c.p.189
186
Cass. Pen., sez. V, 25 giugno 2009, n. 40078; orientamento già espresso a livello generale sull'art. 167 da Cass. Pen.,
sez. III, 1° luglio 2004, n. 26680, Modena, in Cass. Pen., 2006, p. 1067;
187
Cass. Pen., sez. V, 25 giugno 2009, n. 40078;
188
Cass. Pen., sez. V, 8 luglio 2008;
È possibile nella prassi che il furto di identità digitale sia funzionale alla commissione di una trufa o di una frode
informatica, ma occorre il verificarsi del doppio evento consumativo di "ingiusto profitto con altrui danno"; la frode
informatica, inoltre, pone il requisito modale dell'alterazione del sistema, che è solo eventuale nella dinamica degli identity
crime. Nulla impedisce che l'art. 640 c.p. e l'art. 640 ter c.p. possano essere applicati in casi di furto di dati digitali, in
quanto l'identity thef è immaginabile altresì come una forma speciale di "artifizi e raggiri", ovvero di "intervento senza
diritto sui dati". Registriamo in proposito una decisione del Tribunale di Palermo, che ha applicato il reato di frode
informatica per una vicenda di furto d'identità sulla rete telematica, trumentale a un'asta online fraudolenta: il fatto
principale rimane quest'ultimo, che ha "attratto" la previa sottrazione delle informazioni digitali alla fattispecie dell'art.
640 ter c.p.. Cfr. Trib. Palermo, ord. 2 febbraio 2007; PERRI P., Analisi informatico-giuridica delle più recenti
interpretazioni giurisprudenziali in tema di phishing, in Ciber. Dir., 2008, fasc. 1, p. 97;
189
81
La casistica riguardante l'identity thef, insomma, si presenta mutevole e difficile da
racchiudere entro i confini di una definizione giuridico-formale, in particolare all'interno di
una disposizione penale specifica; possiamo indicare come comune denominatore
l'acquisizione di informazioni digitali contro la volontà del soggetto legittimato a fornire il
consenso, al pari di quanto avviene per la sottrazione della cosa mobile necessaria a
integrare il furto sub art. 624 c.p.190
In merito al reato di “Frode informatica commessa con sostituzione d'identità digitale”
L’art. 9, co. I, lett. a), della legge, 15 ottobre 2013, n. 119 (in Gazz. Uff., 15 ottobre 2013, n.
242) che ha convertito in legge, con modificazioni, del decreto-legge 14 agosto 2013, n. 93,
(“recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di
genere, nonche' in tema di protezione civile e di commissariamento delle province”) ha
previsto, all’interno dell’art. 640 ter c.p. (“frode informatica”), una nuova statuizione
normativa rubricata “Frode informatica commessa con sostituzione d'identità digitale”.191
Un primo elemento di novità, che connota questa disciplina legislativa, consiste nel fatto
che le condotte, con cui avviene la sostituzione d’identità digitale, sono stimate come
autonome circostanze aggravanti. Difatti, proprio alla luce di quanto previsto dall’ultimo
comma dell’art. 640 ter c.p. secondo il quale il “delitto è punibile a querela della persona
offesa salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un'altra
190
CLOUGH J., Principles of cybercrime. Part I-II-III, Cambridge, 2010, p. 45;
]Per quanto attiene il delitto di frode informatica originariamente previsto, prima che venisse modificato dalla legge n.
119 del 2013: Picotti, “La falsificazione dei dati informatici”, in Dir. inf., 1985, p. 939 e ss.; S. Logroscino, “Analisi e
considerazioni sul delitto di Frode informatica quale autonoma figura di reato rispetto al delitto di Truffa”, in
http://www.penale.it/page.asp?mode=1&IDPag=983; Pecorella, “Il diritto penale dell’informatica”, Milano, 1994, p. 47 e
ss.
191
82
circostanza aggravante”, è evidente che la norma giuridica in esame non prevede
un’apposita previsione incriminatrice ma stabilisce unicamente come “la sostituzione di tale
identità possa rappresentare un’aggravante del delitto di frode informatica”.
5 Origine ed evoluzione del concetto di privacy in Italia
In Italia la normativa sulla privacy arriva sulla spinta della Unione Europea, grazie a due
normative:il Trattato di Schengen che elimina i controlli alle frontiere ed assicura la libera
circolazione delle persone, unitamente alle informazioni che le riguardano. Poiché uno dei
principi chiave presenti in tutte le legislazioni europee in materia di tutela dei dati sancisce
che il loro trasferimento da un paese all’altro presuppone che lo Stato ricevente abbia
adottato misure di protezione adeguate e, comunque, paragonabili a quelle garantite nello
Stato di origine, la mancanza in Italia di una legge sulla tutela dei dati personali le avrebbe
impedito di fare parte del gruppo dei Paesi di Schengen.
La Direttiva n. 95/46, sulla tutela dei dati personali, che imponeva agli Stati membri il
recepimento della stessa entro tre anni dalla sua entrata in vigore.
Questi due fatti hanno dato la spinta alla promulgazione della Legge 675/96, ora abrogata,
che creava una normativa organica in materia di protezione della privacy, volta
esplicitamente alla tutela della dignità, dei diritti e delle libertà fondamentali delle persone,
riferendosi quindi a quelli che vengono definiti come “diritti inviolabili” delle persone
umane, in particolare ai diritti alla riservatezza e all’identità personale. Entrambe le
posizioni giuridiche sono state ribadite dal D.Lgs.vo n. 196/2003 che vedremo più nel
dettaglio nel paragrafo successivo, il quale, ha elevato la protezione dei dati personali a
posizione giuridica autonoma e l’ha riconosciuta in capo a “chiunque”. La protezione dei
dati assurge essa stessa a diritto fondamentale della persona, sia fisica sia giuridica e si
affianca alla riservatezza e all’identità personale.
La normativa in questione ha come scopo la protezione dei dati personali, definiti dalla
stessa come informazioni relative ad una persona ( fisica o giuridica), allo scopo di tutelare
dette posizioni giuridiche che si qualificano, quali diritti fondamentali della persona umana.
La posizione di indipendenza degli individui è stata tutelata attraverso il riconoscimento di
“diritti della personalità”, cioè di posizioni giuridiche attive che sono connaturate
all’esistenza stessa delle persone.
83
Si tratta di posizioni giuridiche attive consistenti nella pretesa a salvaguardare la propria
esistenza da intromissioni non necessarie dell’Autorità statale, e sono riconosciute ad ogni
persona per il solo fatto di venire ad esistenza. La persona umana, in tutte le sue
manifestazioni, deve essere protetta sia nei confronti della P.A. sia nei confronti di privati in
virtù della esistenza di diritti fondamentali costituzionalizzati dall’art. 2 della Costituzione,
che li “riconosce” e li “garantisce”. I diritti fondamentali della persona sono legati
all’esistenza stessa delle persone e preesistono allo stesso ordinamento e sono
imprescrittibili. Essi non sono suscettibili di rinuncia, né gratuito né verso corrispettivo, se
non nei limiti previsti dall’art. 5 c.c., con riferimento agli atti di disposizione del proprio
corpo.
Il primo diritto fondamentale della persona umana è quello alla vita ed all’integrità fisica, da
questo si è potuto evincere l’esistenza di un più generale diritto alla salute e al benessere
psicofisico. Dal diritto alla propria immagine, normata dalla legge sul diritto di autore, si è
ricavata l’esistenza di un generale diritto alla riservatezza, ad essere lasciati in pace, a tutela
dalle intromissioni non gradite da parte di terzi.
Dal diritto al nome, previsto dal c.c., l’interprete ha ricavato l’esistenza di un generale diritto
all’identità personale, identificabile nel diritto ad essere riconosciuti nella vita sociale per sé
stessi.
La protezione dei dati personali è tesa ad evitare intromissioni indesiderate nella propria vita
privata, da un lato, e a garantire, dall’altro, che le operazioni di trattamento dei dati
avvengano nel rispetto della veridicità delle informazioni relative a soggetti determinati.
Nella vita sociale ed economica tale protezione non può essere assoluta poiché nessun
individuo vive totalmente isolato. Occorre individuare strumenti che contemperino, da un
lato, l’esigenza di tutela delle informazioni personali; dall’altro, la necessità che tali
informazioni circolino per potere garantire lo sviluppo dei contatti e delle relazioni
economiche e sociali necessarie per l’esistenza stessa della società. Poiché il dato personale,
cioè
l’informazione
su
qualunque
circostanza
riguardi
la
persona,
è
tutelato
dall’ordinamento come un diritto fondamentale, per potere acquisire il dato personale di
terzi, comunicarlo o collocarlo in un archivio, è necessario il consenso dell’interessato.
84
La legge 3 febbraio 2003, n. 14, recante “Disposizioni per l’adempimento di obblighi
derivanti dall’appartenenza dell’Italia alle comunità europee. Legge comunitaria 2002”
delega al Governo- tra le altre cose - l’attuazione della direttiva comunitaria 2002/58/Ce del
Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati
personali, entro 18 mesi, cioè entro il 30 giugno 2003. La direttiva, sopra richiamata,
disciplina le comunicazioni elettroniche e lo fa assoggettando ad un unico quadro normativo
i settori delle telecomunicazioni, dei media e delle tecnologie dell’informazione;
prescindendo dal fatto che i dati personali siano utilizzati sulle reti telefoniche o sul web.
I principi generali
La struttura 192 Il codice, si compone di centottantasei articoli, più una serie di allegati, tra cui
tre codici deontologici e un disciplinare sulle misure di sicurezza. Esso è diviso in tre parti.
La prima contiene le norme di carattere generale ( art. 1 a 45 ), utili per qualsiasi trattamento
di dati. Diritti e tutele sono collocati con evidenza all’inizio del Codice, facendo risaltare la
disciplina di garanzia (art. 6). Al suo interno detta inoltre le regole “ulteriori“ applicabili, da
un lato, ai soli soggetti pubblici ( artt. 18/46) e, dall’altro quelle applicabili ai privati, inclusi
i Concessionari di pubblici servizi e degli enti pubblici economici.
Nella seconda parte, ( artt. 46/140 )si introducono i distinguo, in particolare quelli relativi
all’utilizzo di dati personali nell’ambito della pubblica amministrazione, in quello
giudiziario e in campo sanitario.
La terza parte ( artt. 141/186 ) contiene la tutela dei diritti e le sanzioni e spiega come
tutelare la privacy quando il diritto d’accesso non ha dato i frutti sperati. In quei casi è
192
Lo schema seguito dal Codice per definire le regole applicabili nelle diverse circostanze si presenta articolato su tre
livelli. Il primo è dato dalle “disposizioni generali” applicabili a qualunque trattamento, da chiunque effettuato sul territorio
italiano. Il secondo è dato dalle “regole ulteriori” previste per diversificare il regime del trattamento dei dati che deve essere
seguito distintamente dai soggetti pubblici e dai soggetti privati. Le “regole ulteriori” per i soggetti pubblici sono riportate
negli articoli 18-22. il terzo livello è dato dalle “disposizioni specifiche” dettate per disciplinare l’attività di trattamento dei
dati effettuato, nell’ambito di particolari settori di attività, sia pubblici che privati, che in funzione delle finalità perseguite,
della delicatezza dei dati trattati ( ad es. il servizio sanitario ), presentano peculiarità tali da richiedere e giustificare norme
ad hoc. Le disposizioni specifiche si aggiungono sia alle “disposizioni generali” applicabili a tutti i trattamenti, si alle
“regole ulteriori” che differenziano la disciplina valida in ambito pubblico da quella valida in ambito privato, per integrarle
o, solo ove espressamente previsto, per sostituirle o renderle inapplicabili nello specifico caso contemplato.
85
possibile attivare il Garante o il giudice ordinario. Nella stessa parte del codice sono elencate
anche le misure sanzionatorie da applicare nei confronti di chi utilizza i dati personali in
maniera impropria.
Tutte le norme riunite sono di rango legislativo e ciò ha permesso di semplificare del 30%
circa le norme vigenti.
I tre allegati che completano le disposizioni del Codice si compongono di:
Allegato A – Codici Deontologici;
Allegato B – Misure Minime di sicurezza;
Allegato C – Trattamenti in ambito giudiziario e di polizia.
Le Disposizioni Generali: principi
Il Codice della Privacy si apre, all’art. 1, con un chiaro principio “Chiunque ha diritto alla
protezione dei dati personali che lo Riguardano”. Il significato di questa enunciazione è
chiarissimo: i dati personali vanno tutelati sempre, qualunque sia il trattamento al quale sono
sottoposti. I dati personali, infatti, sono informazioni relative alle persone (fisiche,
giuridiche, enti od associazioni), la cui massima espressione di tutela è riconducibile all’art.
2 della Costituzione, ove è statuito che “la Repubblica riconosce e garantisce i diritti
inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua
personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica,
economica e sociale”.
Qualsiasi attività, pertanto, che abbia per oggetto i dati personali, posta in essere nel
territorio dello Stato con o senza l’ausilio di mezzi elettronici o automatizzati deve essere
svolta necessariamente in conformità alle regole contenute nel Codice della Privacy.
In tal senso, il Codice della Privacy fissa alcuni principi generali che governano la sua intera
struttura e, quindi, disciplinano il trattamento di dati personali; in particolare:
• Principio di finalità (articolo 11, comma 1, lett. b), in base al quale il trattamento è lecito
soltanto se alla sua base sussiste una ragione che lo giustifica, appunto la finalità (ad es. un
rapporto contrattuale). In base al suddetto principio le finalità devono essere determinate,
esplicite e legittime e di pertinenza del Titolare del trattamento.
86
• Principio di necessità (articolo 3): i sistemi informativi e i programmi informatici devono
essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni
relative a clienti identificabili. Il trattamento di dati personali non è, pertanto, lecito se le
finalità del trattamento (ad es. profilazione del cliente) possono essere perseguite con dati
anonimi o solo indirettamente identificativi;
• Principio di proporzionalità (articolo 11, comma 1, lett. d): tutti i dati personali e le
modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità
perseguite (è sproporzionato, per esempio, il trattamento di dati che per la finalità dichiarata
non è necessario trattare).
Le Disposizioni Generali: definizioni
Per l’art. 5 del D.lgs.196/03, l’oggetto della tutela è il trattamento dei dati. Da ciò si ricava
un primo dato essenziale, e cioè che l’attenzione del legislatore è rivolta alle modalità di
utilizzo dei dati da parte del Titolare. Ma chi è il Titolare del trattamento?
È doveroso, a questo punto, chiarire alcune espressioni lessicali che, nel linguaggio comune
(o anche giuridico), potrebbero essere intese con una valenza diversa da quella utilizzata nel
Codice della Privacy. Il riferimento è all’articolo 4 del CdP, rubricato, appunto,
“definizioni”. Di seguito si analizzeranno alcune delle definizioni contenute nella norma,
ritenute, tra tutte, di fondamentale importanza per la comprensione del presente testo.
Cominciamo dal “trattamento”, definito alla lettera a) dell’art. 4 CdP: “qualunque
operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati”.
Va, innanzitutto, sottolineato che si rientra nel concetto di trattamento anche con il
compimento di una sola delle operazioni elencate. La definizione è ampia e comprende ogni
attività compiuta sul dato personale, anche senza ausilio di strumenti informatici.
La genericità del concetto di dato ha spinto il legislatore verso la specificazione dei singoli
tipi rientranti nella categoria. La previgente normativa contemplava i dati personali, i dati
sensibili ed i dati anonimi; il Codice della Privacy offre una tipologia più ricca. Tra le novità
87
compare la definizione di “dato giudiziario”, ossia quelle informazioni in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato.
Colui che esegue il trattamento dei dati personali altrui è denominato “titolare”.
Il soggetto al quale si riferiscono le informazioni è ,invece, l’”interessato”. Quest’ultimo è il
protagonista principale del Codice della Privacy; esso è il dominus del dato personale, è
colui che può autorizzare un altro soggetto (il titolare) al trattamento delle informazioni che
lo riguardano. Ciascun interessato ha il diritto di accedere ai dati personali a sé riferiti e di
esercitare gli altri diritti previsti dall’art. 7 del Codice. In particolare, se l’interessato esercita
il proprio diritto d’accesso ai dati che lo riguardano o uno degli altri diritti che gli sono
riconosciuti, il titolare del trattamento (o il responsabile) è obbligato a fornire riscontro entro
quindici giorni dal ricevimento dell’istanza (art. 146 CdP).
Qualora alla richiesta di accesso, seguisse un omesso o incompleto riscontro, i predetti diritti
possono essere fatti valere dinanzi all’autorità giudiziaria o, alternativamente, con ricorso
all’autorità Garante (art. 145 del CdP).
Veniamo ora ad un’altra figura contemplata nel CdP, poc’anzi menzionata, è cioè il
Responsabile (del trattamento). La persona fisica, giuridica o l’ente, che decide sulla finalità,
la modalità del trattamento e sugli strumenti utilizzati per esso” (cioè il titolare del
trattamento), può nominare uno o più soggetti “responsabili del trattamento dei dati” con
poteri determinati dallo stesso titolare attraverso l’atto di nomina. Tutti coloro, invece, che
effettivamente prenderanno cognizione diretta dei dati (per esempio gli impiegati) sono
denominati “incaricati”. A questi ultimi dovranno essere impartite precise istruzioni
esecutive, da parte del titolare o del responsabile, riguardanti le modalità di trattamento dei
dati. Questa, in maniera assai semplificata, è la suddivisone dei compiti “privacy” all’interno
della struttura aziendale.
88
Per semplificare l’esposizione non sono state considerate ulteriori definizioni193 per le quali
si rimanda alla consultazione diretta del d.lgs. n. 196/03.)
. Gli adempimenti: introduzione
Una possibile classificazione sugli obblighi gravanti in capo al titolare del trattamento
potrebbe essere la seguente: adempimenti verso l’Autorità Garante, adempimenti verso gli
interessati, adempimenti interni (o organizzativi).
193
Di seguito alcune fondamentali definizioni.
- TITOLARE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
- INTERESSATO: la persona fisica, giuridica o l’ente cui si riferiscono i dati personali;
- RESPONSABILE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di dati personali;
- INCARICATI: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
- GARANTE: l’autorità di cui all’articolo 153, istituita dalla legge 31 dicembre 1996, n. 675;
- TRATTAMENTO: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
- DATO PERSONALE: qualunque informazione relativa a persona fisica, persona giuridica,ente od associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale;
- DATI SENSIBILI: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
- DATI GIUDIZIARI: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da
r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale;
- MISURE MINIME: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza
che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
- CREDENZIALI DI AUTENTICAZIONE: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad
essa univocamente correlati, utilizzati per l'autenticazione informatica.
89
Gli adempimenti verso il Garante
Il CdP prevede due tipi di adempimenti da effettuarsi verso il Garante per la Protezione dei
dati Personali: la “notificazione” e la richiesta di “autorizzazione” per i trattamenti effettuati.
La “notificazione” è una dichiarazione attraverso la quale il Titolare comunica al Garante
l’esistenza di un’attività di trattamento di dati personali. Sotto la vigenza della Legge 675/96
si prevedeva un obbligo di notificazione quasi generalizzato; nella gran parte dei casi i
titolari dovevano comunicare l’attività di trattamento all’autorità Garante.
Per quanto riguarda la “Richiesta di Autorizzazione al Garante”, si tratta di un adempimento
revisto, all’art. 26 del CdP, per tutti i titolari che trattano dati sensibili, salvi i casi di
deroga7. La disposizione in oggetto prevede che “i dati sensibili possono essere oggetto di
trattamento solo […] previa autorizzazione del Garante”.
In seguito alla richiesta di autorizzazione presentata dal titolare del trattamento, il Garante
comunica la decisione adottata entro quarantacinque giorni, decorsi i quali la mancata
pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero
successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e
accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
Altro adempimento, da espletare nei confronti dell’interessato, è costituito dalla preventiva
richiesta di “consenso”194 al trattamento dei dati. L’articolo 23 del Codice Privacy impone al
titolare di richiedere il consenso scritto nell’ipotesi di trattamento di dati sensibili. Per la
restante categoria di dati, quelli definiti genericamente “comuni”, si richiede il consenso
espresso. Ciò significa che potrebbe essere fornito anche oralmente. Va rilevato, tal
proposito, il disposto del comma 3, laddove, il consenso “è validamente prestato solo se è
espresso liberamente e specificamente in riferimento ad un trattamento chiaramente
194
Si noti la distinzione tra “consenso” (adempimento verso l’interessato) ed “autorizzazione” (adempimento verso
l’Autorità Garante). Seppure dal punto di vista semantico i due termini hanno una valenza intercambiabile, nell’ambito
degli adempimenti privacy il loro significato è assai differente.
90
individuato, se è documentato per iscritto, e se sono state rese all’interessato le
informazioni di cui all’articolo 13”.
Si evidenza, in tal modo, la necessità di un formalismo specifico, relativamente all’aspetto
sostanziale dell’adempimento. Va, peraltro, precisato che l’essere “documentato per iscritto”
non è da intendere quale “consenso scritto” richiesto per il trattamento di dati sensibili.
Quest’ultimo consiste nella sottoscrizione da parte dell’interessato, che non è, al contrario
necessaria, laddove la norma richiede semplicemente di documentare “per iscritto” la
manifestazione di consenso. Documentare per iscritto significa anche semplicemente che il
titolare del trattamento annota, per iscritto, che l’interessato ha manifestato il consenso per
uno specifico trattamento dei dati che lo riguardano.
Gli adempimenti interni (o organizzativi)
L’Allegato B al D.lgs. 196/03 è il “disciplinare tecnico in materia di misure minime di
sicurezza”. Si tratta di quel complesso di misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livello minimo di protezione
normativamente richiesto rispetto ai rischi i rischi di distruzione o perdita dei dati, di accesso
non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
È doveroso, prima di analizzare alcune delle singole misure di sicurezza, illustrare la
differenza tra misure minime e misure idonee.
Le prime sono dettagliatamente previste nel disciplinare tecnico di cui sopra è rappresentano
i parametri di sicurezza basilari (il minimo indispensabile) individuati nel CdP agli articoli
33, 34, 35 e 36; se questa tipologia di misura non viene rispettata, si concretizza la
fattispecie di responsabilità penale di omissione delle misure minime, cui consegue la
sanzione detentiva dell’arresto sino a due anni (art. 169 CdP)195. La medesima disposizione,
al comma 2, prevede il cosiddetto ravvedimento operoso che consiste in una prescrizione
dell’Autorità Garante, nei confronti dell’autore del reato, mediante la quale si fissa un
termine, per la regolarizzazione delle non conformità rilevate, non superiore al periodo di
tempo tecnicamente necessario e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla
prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto
195
L’art. 169 è stato, da ultimo, modificato con legge 27 febbraio 2009, n. 41 di conversione, con modificazioni, del
decreto-legge n. 207 del 30 dicembre 2008.
91
del massimo della sanzione stabilita per la violazione amministrativa196. L’adempimento e il
pagamento estinguono il reato.
Le misure minime, però, non sono concretamente in grado di garantire la sicurezza dei
sistemi utilizzati per il trattamento dei dati personali e, di conseguenza, il loro preciso
rispetto non è sufficiente a liberare da ogni responsabilità il titolare (o chi per lui) del
trattamento. Le misure devono, pertanto, essere idonee ad evitare il danno che, dal
trattamento, potrebbe derivare all’interessato. Spetta al titolare del trattamento, di volta in
volta, individuare le misure più idonee a garantire un trattamento “sicuro” che non sia fonte
di danno per l’interessato. Le misure idonee sono il risultato di una scelta accurata del
titolare, il quale deciderà sulla base del bilanciamento di tutte le variabili in gioco:
“conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,
dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta”197
Il titolare che non garantisce misure idonee al trattamento, può essere colpito da
responsabilità civile e, di conseguenza, essere obbligato a risarcire il danno in base al
disposto dell’art. 15 del CdP, il quale rimanda all’art. 2050 del Codice Civile (responsabilità
per l’esercizio di attività pericolose). La disposizione richiamata si riferisce alle fattispecie
in cui taluno provochi dei danni a terzi nello svolgimento di un’attività ritenuta pericolosa
“per sua natura o per natura dei mezzi adoperati”; colui che esercita tale tipo di attività
deve risarcire il danno, ed ha facoltà di “scagionarsi” solamente dimostrando di aver adottato
tutte le misure idonee ad evitare l’evento dannoso. Si tratta di una presunzione speciale di
colpa a carico del titolare del trattamento.
Grava, infatti, su quest’ultimo (che esegue l’attività ritenuta pericolosa) l’onere di provare16
di aver adottato tutte le misure necessarie (ossia idonee) per evitare il danno, facendo
riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il
danneggiato deve solo dimostrare l’esistenza del danno.
196
La sanzione stabilita per la violazione amministrativa è da diecimila euro a centoventimila euro (art. 162, comma 2-bis,
CdP).
197
Art. 31 Codice della Privacy.
92
segue:allegato b)
Venendo, ora, all’esame più dettagliato delle misure minime di sicurezza, il punto di
riferimento è necessariamente l’Allegato B, il quale ne contiene l’elenco preciso.
Il primo passo consiste nella predisposizione di un sistema di autenticazione informatica.
Ciò significa che il trattamento dei dati personali deve essere consentito solo agli incaricati
muniti di “credenziali di autenticazione”. Queste ultime sono costituite da un codice, per
l’identificazione dell’incaricato, associato ad una parola chiave segreta e conosciuta
esclusivamente dall’incaricato stesso, il quale è, altresì, obbligato ad adottare tutte le cautele
necessarie per assicurarne la segretezza.
In tema di gestione delle credenziali, l’allegato b) prevede, inoltre, che in caso di non
utilizzo delle stesse per almeno sei mesi, si debba disattivarle; fanno eccezione a tale regola
le ipotesi di utilizzo esclusivamente finalizzato alla gestione tecnica per le quali non è
prevista tale scadenza di modifica.
È prevista l’adozione di un sistema di autorizzazione per gli incaricati, ai quali siano stati
attribuiti differenti profili di accesso ai dati. In tal caso, l’allegato b), impone di limitare
l’accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di
trattamenti cui sono preposti gli incaricati.
Per raggiungere tale obbiettivo si configurano (prima che il trattamento abbia inizio) i profili
di autorizzazione per ciascun incaricato o per classi omogenee di incaricati. Ciò fatto, con
cadenza annuale si dovrà verificare la sussistenza delle condizioni per la conservazione dei
suddetti profili di autorizzazione.
Atro aspetto, assai delicato, riguarda la protezione dei dati personali contro il rischio di
intrusione e dell’azione di programmi diretti a danneggiare o interrompere un sistema
93
informatico198, mediante l’attivazione di idonei strumenti elettronici da aggiornare con
cadenza almeno semestrale.
Lo strumento più idoneo ad evitare l’azione dei programmi pericolosi è un valido e
aggiornato antivirus. L’allegato b), al punto 16, ne prescrive un aggiornamento semestrale
ma, com’è noto, un’adeguata protezione impone l’aggiornamento quotidiano, soprattutto se
l’elaboratore è, spesso, connesso alla rete Internet. L’antivirus è u programma che si occupa
di monitorare il sistema informatico, tenendo sotto controllo tutti i files che vengono caricati
in memoria e procedendo ad una scansione degli stessi al fine di individuare
eventuali
programmi che possano arrecare danni al sistema informatico.
La connessione in Rete, sia pubblica che privata, sottopone l’elaboratore ad elevati rischi di
intrusione indesiderata (il cosiddetto “vandalismo informatico”); un pericolo che può essere
scongiurato mediante il cd. Firewall (o “porta tagliafuoco”). L’uso appropriato di tale
strumento permette di filtrare tutti i dati che passano attraverso la rete locale ovvero quelli
che transitano da, e verso, Internet.
Tradizionalmente si considera attacco quello fatto da una persona fisica, particolarmente
abile con i sistemi informatici e telematici; a tal proposito è opportuno precisare che sussiste
la possibilità di attacco per mezzo di software dannosi che utilizzano accessi particolari per
recare danno ai computer della rete. Questi programmi, generalmente, eseguono una
scansione “a tappeto” alla ricerca di accessi. Il risultato di questa ricerca, poi, consente,
all’utilizzatore del software dannoso, di ottenere una lista di indirizzi informatici vulnerabili
e, quindi, accessibili. Ebbene, i firewall sono in grado di proteggere le macchine da tali
pericoli. Ne esistono, sia in versione hardware, che di tipo software (questi ultimi sono
generalmente inclusi in alcuni sistemi operativi come Windows e Linux), e sono utilizzabili
contemporaneamente da più computer in rete tra loro. Non va certamente confusa la
funzione del firewall (diretta a limitare accessi indesiderati) da quella dell’antivirus, che,
invece, protegge dai software “cattivi”.
Entrambi gli strumenti sono necessari per garantire elevati standard di protezione ed oggi il
mercato offre soluzioni combinate di firewall che contengono antivirus molto efficaci,in
grado di aggiornarsi automaticamente e quotidianamente.
198
Si veda, in tal senso, l’art. 615-quinquies del codice penale (“diffusione di programmi diretti a danneggiare o
interrompere un sistema informatico”), espressamente menzionato al punto 16 dell’allegato b) d.lgs. 196/03
94
A proposito di protezione, o meglio di prevenzione, dalle vulnerabilità risulta fondamentale
anche la misura prevista al punto 17 del CdP. Si tratta di una misura che riguarda i
programmi (applicativi come office, openoffice ecc) e i sistemi operativi (software di base
come windows o linux) installati nel computer, che necessitano di aggiornamenti
migliorativi (le cd. patch). I produttori di software, in tal modo, garantiscono l’eliminazione
di errori ( e di falle), in modo da limitarne la vulnerabilità. Va, peraltro, rilevato che
l’aggiornamento mediante patch in alcuni casi comporta il rischio di creare nuove
vulnerabilità.
Il successivo punto 18 è dedicato al back-up dei dati, ossia al salvataggio delle informazioni
personali trattate dal titolare. La disposizione impone l’adempimento in argomento con
frequenza “almeno settimanale” su supporti rimovibili (punto 21) che vanno
opportunamente custoditi.
Il salvataggio va eseguito con modalità che soddisfano le concrete esigenze del titolare:
memorizzazione in cd-rom, DVD ovvero su supporti esterni di altra natura (schede di
memoria, dischi rigidi esterni). Si consiglia di conservare tali supporti in un luogo diverso da
quello dove si trovano i computer che contengono i dati originali; ciò per evitare che siano
sottoposti ai medesimi rischi (ad esempio incendio, allagamento ecc.) e, conseguentemente,
distrutti entrambi.
L’obbligo di back-up è complementare alla predisposizione di un efficace piano di disaster
recovery, così come previsto al punto 23 dell’allegato b). Il legislatore, infatti, ha imposto al
titolare l’adozione di “idonee misure per garantire il ripristino dell’accesso ai dati in caso
di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni”.
Dal combinato disposto dei punti 18 e 23 del testo in esame si ricava l’ulteriore obbligo
(implicito), per il titolare del trattamento, di procede periodicamente allo svolgimento di test
diretti alla simulazione di avaria del sistema, cui consegue la necessità di ripristino mediante
i dati salvati mediante la procedura di back-up.
L’adozione di tutte elle misure sopra descritte (antivirus, firewall, aggiornamenti dei sistemi)
richiede competenze tecniche per le quali il soggetto più idoneo ad implementarle dovrà
essere l’amministratore di sistema; una figura di recente introduzione che deve essere
nominato dal titolare, previa valutazione dell’esperienza, della capacità e dell’affidabilità.
95
Qualora la struttura interessata (azienda privata o Ente Pubblico) non fosse dotata di codeste
professionalità al suo interno, il titolare potrà nominare anche un soggetto esterno.
La misura di sicurezza più conosciuta dell’allegato b) è il Documento Programmatico per la
Sicurezza (cosiddetto D.P.S.). La sua presenza, nel Codice della Privacy, è stata accolta, dai
più, come una novità; in realtà, l’obbligo di redigere tale documento compariva già nel
D.P.R. 318/99199 seppur con prescrizioni parzialmente differenti.
Il DPS deve essere adottato entro il 31 marzo di ciascun anno da coloro che trattano dati
sensibili e/o dati giudiziari con strumenti elettronici200 Secondo altra opinione, l’obbligo
incombe su tutti coloro che svolgono un trattamento su supporto informatico, qualunque sia
la tipologia di dati201
Sembra, peraltro, preferibile una terza soluzione in base alla quale è consigliabile per tutti i
titolari di trattamento la redazione del DPS, a prescindere dalla tipologia di dati trattati e
dalla modalità di trattamento202
Nel DPS si devono descrivere sinteticamente tutti gli accorgimenti e le misure di sicurezza
adottate e che si adotteranno per evitare o (per lo meno) ridurre i rischi derivanti dal
trattamento dei dati personali. Il suo contenuto è indicato dall’art. 34 del Codice e nel punto
19 dell’allegato b).
In particolare, le informazioni essenziali che devono comparire nel D.P.S. riguardano:
l’elenco dei trattamenti; i compiti e le responsabilità dei soggetti incaricati al trattamento;
199
Decreto del Presidente della Repubblica 28 luglio 1999, n. 318, Regolamento recante norme per l’individuazione delle
misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31
dicembre 1996, n. 675, in G. U. 14 settembre 1999, serie generale, n. 216.
200
Questa interpretazione è basata sulla lettura armonica e combinata dell’art. 34 lett. g) CdP e del punto n. 19.1 allegato
b).
201
Questa tesi è sostenibile in base all’applicazione del criterio gerarchico per la soluzione delle antinomie tra le fonti
dell’ordinamento giuridico, laddove il Codice, che ha valore di legge, all’art. 34 lett. g) impone il DPS quale misura
minima di sicurezza nel caso di trattamento di dati con strumenti elettronici, ed è solo il Disciplinare Tecnico (che non ha
valore di legge, ma di regolamento), a specificare che il DPS va redatto dai titolari “di un trattamento di dati sensibili o di
dati giudiziari” (cfr. punto n. 19.1 del D.T.).
202
A questa ulteriore soluzione, peraltro preferibile, si arriva ragionando sull’aspetto sostanziale, piuttosto che formale,
del DPS. Infatti, la vera sostanza del DPS è quella di essere un documento riepilogativo dello stato di adeguamento
aziendale a tutti gli adempimenti imposti nel CdP e nell’allegato b). Essendo, il DPS, un prospetto riepilogativo di quanto è
stato fatto, e di quanto di programma di eseguire nella futura vita aziendale, è impensabile che un titolare del trattamento
non rediga tale documento. Se egli, infatti, lavora secondo processi ordinati e standardizzati terrà, certamente, traccia di
tutti gli adempimenti eseguiti per onorare le prescrizioni del Codice della Privacy. Ebbene, l’annotazione di tutti gli
adempimenti, comprese le motivazioni (valutazione dei rischi) che hanno condotto a preferire una soluzione a scapito di
tutte le altre possibili, è nella sostanza un Documento rogrammatico per la Sicurezza. Ciò detto, il problema di
comprendere chi sia obbligato a redigere il DPS è un falso problema.
96
l’analisi dei rischi con l’indicazione delle misure che sono adottate al fine di garantire
l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali in relazione
alla loro custodia ed accessibilità; l’individuazione delle modalità che possono essere poste a
favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o
danneggiamento; gli interventi formativi in tema di analisi dei rischi che incombono sui dati;
i criteri per l’adozione delle misure minime di sicurezza in caso di trattamenti di dati
personali affidati all’esterno della struttura (outsourcing) ed, infine, i criteri adottati per la
separazione dei dati sensibili da quelli comuni.La mancata predisposizione del DPS
costituisce contravvenzione ed è punita dall’art. 169 con l’arresto sino a due anni22. Il DPS
va conservato presso la sede del titolare, e, seppure non vi è una prescrizione di legge che ne
impone l’obbligo, sarebbe preferibile avesse una data certa, in modo da poter dimostrare che
è stato predisposto (o aggiornato) entro la scadenza prevista dal CdP.
Per far acquisire data certa al DPS, si possono suggerire le seguenti modalità: 1)
“autoprestazione” presso gli uffici postali ai sensi dell’art. 8 D.Lgs n. 261/99, con
apposizione del timbro datario della Posta direttamente sul documento, anziché sulla busta,
previa apposizione di francobollo di posta prioritaria e la dicitura “autoprestazione”;
2) registrazione del documento presso un ufficio pubblico (Ufficio del Registro o Agenzia
delle Entrate);
3) autenticazione mediante Pubblico Ufficiale (notaio);
4) menzione dell’avvenuta adozione (o aggiornamento) del DPS in un verbale di assemblea
o di Consiglio Direttivo (o nella relazione accompagnatoria del . bilancio); in tal caso, però,
al fine di conferire certezza temporale si dovrebbero registrare/autenticare i documenti
suddetti, nei quali si fa menzione del DPS.
5.1 La privacy in Europa
Il testo unico ha recepito parte dei contenuti della direttiva n. 2002/58/Ce, in particolare per
quanto riguarda il c.d. meccanismo dell’opt-in: chi spedisce a un indirizzo di posta
elettronica, fax, telefono o telefonino ( con gli Mms) messaggi commerciali, deve
preoccuparsi di acquisire il consenso del destinatario di quei messaggi
.Nel nuovo codice si assiste ad un ampliamento dell’ambito di applicazione rispetto al
quadro comunitario: secondo la direttiva n. 95/46 i dati personali oggetto di applicazione
97
della direttiva riguardano esclusivamente le persone fisiche, al contrario del nuovo codice
italiano che all’art. 1 dispone che “chiunque ha diritto alla protezione dei dati personali che
lo riguardano”, specificando che per dato personale s’intende qualunque informazione
relativa a persona fisica, persona giuridica, ente o associazione.
Il codice sulla privacy non stabilisce un rinvio generale- riconoscendone la prevalenza- al
diritto comunitario, ma lo afferma limitatamente a talune disposizioni come ad es. all’art. 13,
comma 5, nel quale, in materia di informativa all’interessato, è stabilita l’inapplicabilità di
alcuni obblighi per i dati “trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria”.In conclusione malgrado l’affermazione di un
vero e proprio diritto alla privacy che tutela il valore della dignità della persona e la vita
personale e familiare di un individuo e che quindi costituisce un diritto della personalità, si
profila un’attenuazione della protezione dei dati a livello internazionale non solo a causa
delle nuove tecnologie, ma soprattutto per esigenze connesse alla sicurezza nazionale e a
motivi di ordine pubblico, con un rafforzamento e un ampliamento della conservazione dei
dati senza limiti di tempo, prescindendo da ogni forma di consenso.
In legame tra privacy e sicurezza è stato affrontato con il decreto del Governo (D.L. n. 144
del 27 luglio 2005, convertito nella legge n. 155 del 31 luglio 2005, cd "pacchetto
antiterrorismo. Le norme della legge n.155/2005, in particolari situazioni, affievoliscono203 il
diritto alla privacy.a ragion di ciò l L’autore Aterno suggerisce un’opportuno equilibrio tra
sicurezza e privacy .
Oggi, una scelta di campo netta a favore di una riservatezza assoluta dei dati personali a
scapito della sicurezza, non è concretamente proponibile, continua l’Autore e rischia di
203
Aterno- "La Securacy definisce il futuro (Misure antiterrorismo - cd. Decreto Pisanu del luglio 2005)", in http://puntoinformatico.it/p.aspx?i=1330641 ; Aterno S. “Profili penali dell'anonimato in Rete”, in Sicurezza e anonimato in Rete,
2005, Nyberg http://www.nybergedizioni.it/edizioni/product.asp?intProdID=47
98
veder prima
o
poi
soccombere
la
privacy
in
modo
definitivo.
.
CAPITOLO TERZO
IL CONTRASTO INTERNAZIONALE ALLA CRIMINALITA' INFORMATICA:
VERSO UNA POLITICA DI CYBER SECURITY
SOMMARIO:.1. Le innovazioni sulla cooperazione contro i reati informatici transnazionali. 2. L'azione dell'Unione
Europea: la Decisione Quadro sugli attacchi informatici 2005/222/GAI; 3. Le iniziative UE successive alla
Decisione Quadro del 2005; 4.Verso una politica di Cyber Security;4.1 Italian Report on Cyber Security:
Critical Infrastructure and Other Sensitive Sectors Readiness 2013;5.I principi strategici della politica di
Cibersecurity;5.1 La situazione in Italia.
I reati informatici sono l'esempio migliore della odierna criminalità transnazionale: le
condote infatti riguardano beni virtuali, spesso privi di un collegamento con un qualsiasi
99
luogo fisico; gli autori possono benissimo trovarsi in Stati diversi, come pure i dispositivi
attaccati.
Abbiamo parlato dei problemi di giurisdizione e competenza sorti con i reati informatici nel
Primo Capitolo; in questo capitolo ci occuperemo delle soluzioni elaborate a livello
internazionale per contrastare in modo coordinato ed efficiente la minaccia globale
rappresentata dai cybercrime.
La fonte primaria in materia è costituita dalla Convenzione Cybercrime, conclusa a
Budapest il 23 novembre 2001, in seno al Consiglio d'Europa, e ratificata dall'Italia con la
legge 48/2008.
La Convenzione di Budapest segna il punto d'arrivo di un percorso lungo più di un decennio,
diretto ad armonizzare -o almeno a riavvicinare gradualmente- le risposte punitive nazionali
in materia di reati informatici, allo scopo di favorire e semplificare la cooperazione
giudiziaria e di polizia, che, salve rare eccezioni, si muove ancora entro i limiti angusti della
doppia incriminazione.
I criteri proposti perché un Paese possa ritenere perseguibile un reato informatico secondo la
propria legge penale sono tuttavia quelli tradizionali: o si considera il territorio nazionale
(inclusi aerei e navi registrate), oppure la cittadinanza del soggetto attivo se il reato è
commesso fuori dai confini dello Stato. In realtà è proprio dall'applicazione di questi
parametri che sorgono numerosi confitti positivi di giurisdizione, per non parlare della
difficoltà a monte di collegare a un luogo i fatti perpetrati sulle reti telematiche204.
Sul punto la Convenzione è assai prudente: l'art. 22 non menziona alcun metodo per
risolvere i contrasti giurisdizionali, neppure a mero titolo orientativo; esso si limita piuttosto
a sensibilizzare le autorità procedenti circa la possibilità di consultazioni reciproche205
Se però gli Stati non intendono dialogare o non sono neppure a conoscenza dell'avvio di
indagini o di procedimenti all'estero sulla medesima vicenda, la Convenzione Cybercrime è
un'arma spuntata, con buona pace delle istanze di ne bis in idem internazionale206
204
Vedi retro Capitolo Primo, Paragrafo su problemi processuali dei reati informatici.
205
Il quinto comma dell'art. 22 della Convenzione di Budapest recita: "When more than one Party claims jurisdiction over
an alleged offence established in accordance with this Convention, the Parties involved shall, where appropriate, consult
with a view to determining the most appropriate jurisdiction for prosecution."
206
Il principio non è vincolante a livello internazionale, ma è oggetto di numerosi riferimenti più o meno diretti in atti
europei e in sentenze della Corte di Giustizia CE: fra gli atti normativi menzioniamo la Convenzione di Bruxelles 25
maggio 1987 sull’applicazione del principio del ne bis in idem in ambito europeo, la Convenzione applicativa dell’Accordo
100
L'unico modo per evitare l'insorgere di confitti di giurisdizione tra Paesi è allora il
rafforzamento della cooperazione il prima possibile nella fase delle indagini; a tale aspetto
nevralgico nel contrasto al cybercrime la Convenzione di Budapest dedica molta attenzione,
come vedremo adesso commentando la terza e ultima parte del trattato del 2001.
1. Le innovazioni sulla cooperazione contro i reati informatici transnazionali
La necessità di un'azione coordinata tra le agenzie di law enforcement di Paesi differenti
vale in generale per tutti i reati a dimensione transnazionale e ancora di più per i reati
informatici, che di regola coinvolgono molti Stati contemporaneamente e risultano
inafferrabili per le autorità di una sola giurisdizione. Gli articoli a riguardo sono ben tredici
(artt. 23-35), ma la ratifica italiana è purtroppo assai deficitaria nell'esecuzione di questa
parte della Convenzione Cybercrime.
Basta guardare al Report sul profilo dell'Italia per quanto concerne lo stato della legislazione
sulla criminalità informatica207, pubblicato dal Consiglio d'Europa il 26 aprile 2008, quindi
pochi giorni dopo l'entrata in vigore della legge 48/2008 (avvenuta il 5 aprile).
La tabella che confronta gli articoli del trattato con le previsioni interne ha un significato
limpido: le sezioni relative al diritto penale sostanziale e processuale sono state attuate tutte,
in modo più o meno soddisfacente208; il riscontro sulla cooperazione internazionale, al
contrario, svela la mancata esecuzione degli articoli 26, 28, 30, 31, 32, 33 e 34209
Partiremo dalle norme pattizie rese operative dalla legge 48/2008, per affrontare in un
secondo momento le carenze nel nostro sistema di cooperazione giudiziaria contro i
cybercrime.
Gli articoli 23, 24 e 25 hanno ricevuto piena esecuzione nell'ordinamento italiano; gli art. 23
e 25 fissano alcuni principi -tutto sommato consolidati- sulla cooperazione fra autorità
di Schengen del 1990 (artt. 54 ss), infine nell’art. II-110 del Trattato che istituisce una Costituzione per l’Europa e, ancor
prima, nell’art. 50 della Carta dei diritti fondamentali dell’UE del 2000 (tuttavia non entrata in vigore). Per le sentenze
sull'afermazione del cd. ne bis in idem comunitario, si ricordano: Corte giust. CE, 11 febbraio 2003, C-187/01 e C-385/01,
Gozutok e Brugge, in Guida dir., n. 9, p.100; Corte giust. CE, 10 marzo 2005, C-469/03, Miraglia; Corte giust. CE, 28
settembre 2006, C- 467/05, Gasparini, in Dir. Pen. Proc., 2006, p. 1444.
207
Il Report è consultabile e scaricabile dal sito ufficiale del Treaty Office del Consiglio d'Europa
http://www.coe.int/t/dg1/legalcooperation/economiccrime/cybercrime/Documents/CountryPro
files/567-LEGcountry%20Italy%20_26%20%20April%202008_pub.pdf
208
Sulle critiche articolo per articolo ci siamo difusi retro nei sotto-paragrafi precedenti 2.1 e 2.1;
209
Il fatto che l'art. 2 della legge di ratifica 48/2008 dia "piena e intera esecuzione alla Convenzione" non ci sembra
sufficiente, poiché le regole di cooperazione nel trattato hanno un contenuto programmatico e necessitano perciò di uno
svolgimento puntuale da parte del legislatore nazionale per divenire regole operative delle autorità inquirenti.
101
investigative di giurisdizioni differenti: la prima disposizione invita gli Stati parte a
estendere nella misura più ampia possibile la cooperazione nelle indagini e nei procedimenti
riguardanti i reati informatici o la raccolta di prove digitali.
Le vie percorribili sono gli strumenti internazionali in vigore, in primis la Convenzione
europea sulla mutua assistenza giudiziaria in materia penale (2000) 210 e la Convenzione
ONU di Palermo sulla criminalità organizzata transnazionale (2000), ma anche gli accordi
bilaterali e l'uniformità ovvero la reciprocità delle previsioni interne.
L'art. 25 della Convenzione guarda a un settore particolare della cooperazione giudiziaria, la
mutua assistenza fra Paesi per la raccolta di prove digitali e per lo scambio di informazioni:
anche questo tipo di coordinamento investigativo deve essere incentivato al massimo livello
e, nei casi urgenti, consentito con mezzi e procedure informali, tra cui l'invio di fax ed email.
Il rifiuto di assistenza deve essere sempre motivato dallo Stato richiesto, ma vi sono alcune
motivazioni inammissibili in tema di cybercrime: se è necessaria la "doppia incriminazione",
ossia che il fatto sia previsto come reato sia nel Paese richiedente sia in quello destinatario
della domanda di assistenza, non si può negare la collaborazione perché il reato ricade in una
diversa categoria di violazioni (ad esempio di natura contravvenzionale o fiscale), oppure è
formalmente definito con una terminologia difforme.
Il c.p.p. italiano appare in linea con i canoni generali degli art. 23 e 25 del trattato di
Budapest, grazie alle disposizioni del Libro Undicesimo, dal titolo "rapporti giurisdizionali
con le autorità straniere", ove l'art. 696 sancisce: "i rapporti con le autorità straniere,
relativi all'amministrazione della giustizia in materia penale, sono disciplinati dalle norme
della Convenzione europea di assistenza giudiziaria in materia firmata a Strasburgo il 20
aprile 1959 e dalle altre norme delle convenzioni internazionali in vigore per lo Stato e
dalle norme di diritto internazionale generale".
210
Il nome ufficiale della Convenzione UE è "Convention established by the Council in accordante with Article 34 of the
Treaty on European Union, on Mutual Assistance in Criminal Matters between the Member States of the European Union",
datata 29 maggio 2000. La Convenzione UE del 2000 è entrata in vigore soltanto il 23 agosto 2005 ed ancora non è stata
ratificata dall'Italia, che continua perciò a essere vincolata dalla Convenzione Europea sull'assistenza giudiziaria in materia
penale del 1959, conclusa in seno al Consiglio d'Europa, e dal relativo Protocollo Addizionale del 1978.
102
Fra le "altre norme delle convenzioni internazionali" rientrano senza dubbio quelle ratificate
dalla legge 48/2008.
Aggiungiamo che il Titolo Terzo del Libro Undicesimo del c.p.p. (artt. 723 e
seguenti),disciplina le rogatorie internazionali in modo compatibile con i principi dell'art.
25.
Anche il Titolo Secondo, in tema di estradizione (artt. 697 ss. c.p.p.), contiene una
normativa rispondente alle indicazioni del trattato, più precisamente dell'art. 24, che
tratteggia i caratteri essenziali dell'estradizione per reati informatici, affermandone la
tendenziale obbligatorietà, secondo il brocardo aut dedere aut judicare211
L'estradizione è il paradigma tradizionale della cooperazione giudiziaria tra Stati e la
Convenzione Cybercrime lascia notevoli spazi di libertà ai legislatori interni, i quali in efetti
possono qualificare come estradabili soltanto alcuni fra i reati informatici descritti nella
parte sostanziale del trattato212
Inoltre, l'art. 24 della Convenzione condiziona l'esecuzione della richiesta di estradizione al
superamento di una soglia di gravità in entrambi gli ordinamenti interessati: la pena massima
per il fatto deve essere almeno un anno di reclusione o di altra misura limitativa della libertà
personale. I Paesi parte hanno comunque la facoltà di decidere in accordi bilaterali una
diversa soglia ai fini dell'estradizione, che prevarrà in ogni caso sul limite di un anno nell'art.
24.
Le ultime due disposizioni sulla cooperazione giudiziaria attuate dall'Italia sono quelle degli
articoli 27 e 29 della Convenzione Cybercrime; l'art. 27 regola la mutua assistenza in
mancanza di accordi internazionali applicabili, l'art. 29 invece predispone una procedura
tecnica ad hoc per richiedere la raccolta e la conservazione dei dati informatici all'estero.
L'art. 27 prevede una disciplina residuale per l'assistenza giudiziaria nelle indagini sui
cybercrime, residuale perché entra in gioco solo se non vige fra gli Stati coinvolti un
precedente accordo sulla cooperazione applicabile alla materia penale-informatica. La norma
convenzionale stabilisce una serie di adempimenti pratici obbligatori, tra cui l'istituzione di
una o più "autorità centrali" responsabili per la ricezione e l'invio rapido delle istanze
211
COLOMBO E., La cooperazione internazionale nella prevenzione e lotta alla criminalità informatica: dalla
Convenzione di Budapest alle disposizioni nazionali, in Ciber. Dir., fasc. 3-4, p. 290;
212
Si veda l'Explanatory Report della Convenzione Cybercrime, cit., Paragrafo §245;
103
relative a informazioni digitali di valore investigativo. Nei commi finali, poi, l'art. 27
menziona la possibilità di mantenere segrete le operazioni, come pure ammette iter
accelerati nei casi di urgenza, grazie a dialoghi diretti tra uffici giudiziari, "scavalcando" le
autorità centrali (per l'Italia il Ministero di Giustizia213), che in questi casi eccezionali
ratificano a posteriori.
Le domande di assistenza devono essere soddisfatte, in linea di principio, secondo le
modalità indicate dallo Stato richiedente, salvo quando ciò sia incompatibile con la legge
dello Stato di esecuzione. In quest'ultima evenienza si danno due ipotesi: o l'assistenza viene
prestata secondo la legislazione in vigore nello Stato richiesto, oppure essa viene rifiutata,
qualora ricorra uno dei due motivi contemplati dall'art. 27. Lo Stato destinatario della
domanda di assistenza giudiziaria può legittimamente respingerla se allega che il reato de
quo ha natura politica oppure che l'esecuzione della richiesta potrebbe pregiudicare la
sovranità, la sicurezza, l'ordine pubblico o altri interessi nazionali essenziali.
Se invece la richiesta proveniente dalle autorità straniere rischia di intralciare un'indagine o
un procedimento penale in corso, la strada imposta dalla Convenzione non è quella del
rifiuto sic et simpliciter, bensì quella della sospensione temporanea.
Sia che lo Stato intenda negare sia che voglia solo rimandare l'assistenza giudiziaria, esso
dovrebbe prima consultarsi con le autorità richiedenti, allo scopo di raggiungere un'intesa
reciproca su modalità alternative di esecuzione ovvero su un'attuazione parziale. La
Convenzione di Budapest, perciò, indica la strada del compromesso tra agenzie di Paesi
diversi, per evitare il più possibile l'arenarsi delle indagini transfrontaliere o, ancora peggio,
l'ostruzionismo di alcuni Stati.
L'art. 29 tocca un settore specifico della mutua assistenza, vale a dire l'istanza di
conservazione rapida di dati informatici; l'attività di indagine in oggetto è chiaramente
quella già analizzata commentando l'art. 16 della Convenzione Cybercrime (Expedited
preservation of stored computer data), cui facciamo rinvio214.
213
L'autorità centrale per le richieste di assistenza giudiziaria in materia di criminalità informatica è individuata
tassativamente dall'art. 13 della legge di ratifica 48/2008, che dispone quanto segue: "Norma di adeguamento. L’autorità
centrale ai sensi degli articoli 24, paragrafo 7, e 27, paragrafo 2, della Convenzione è il Ministro della giustizia."
214
Vedi retro in questo Capitolo, su la Convenzione di cyber crime del Consiglio d’Europa;
104
Sul piano della cooperazione internazionale, le richieste di conservazione rapida dei dati
seguono le scansioni procedurali previste in funzione residuale dall'art. 27; anche il rifiuto di
eseguire l'istanza può essere fondato soltanto su uno dei due motivi contemplati dall'art. 27
(reato politico, interessi nazionali di importanza essenziale).
A contrario si deduce che la "doppia incriminazione" non è una condizione necessaria per
l'accoglimento dell'istanza, a meno che lo Stato abbia apposto una riserva in tal senso al
momento della sottoscrizione della Convenzione, ma non è il caso dell'Italia215
Gli aspetti peculiari della expedited preservation transfrontaliera sono descritti negli ultimi
due commi dell'art. 29, dove si determina a carico dello Stato destinatario l'obbligo di
informare quanto prima le autorità richiedenti qualora la conservazione dei dati digitali non
riesca a garantire la futura disponibilità o la riservatezza delle informazioni raccolte. Dopo
aver ricevuto tale avvertimento, il Paese richiedente può decidere se persistere nella
domanda di assistenza o lasciar perdere.
L'ultimo comma dell'art. 29, infine, stabilisce che i dati informatici possono essere registrati
e conservati per un periodo non inferiore a sessanta giorni, per consentire l'emissione di una
successiva domanda di accesso, sequestro o acquisizione dei contenuti virtuali così raccolti.
Anche dopo questa seconda richiesta di assistenza i dati continuano ovviamente a essere
conservati, fino a che le autorità riceventi decidono se accoglierla o rifiutarli.216
Secondo gli esperti del Consiglio d'Europa l'ordinamento italiano si presenta conforme alle
regole di cooperazione giudiziaria e di mutua assistenza in materia penale sancite negli
articoli 27 e 29 della Convenzione Cybercrime.
In particolare, il Titolo Terzo del Libro Undicesimo del c.p.p. non ha bisogno di modifiche,
essendo il meccanismo delle rogatorie internazionali (artt. 723 e seguenti c.p.p.) idoneo a
ricomprendere al proprio interno le regole generali dell'art. 27 relative ai reati informatici e
alle prove digitali; l'art. 29 del trattato, d'altronde, risulta perfettamente eseguito con il nuovo
comma 4 ter dell'art. 132 d.lgs. 196/2003 (Codice della Privacy)217, che regola gli ordini di
conservazione di dati digitali sul territorio italiano "anche in relazione alle eventuali
215
Si veda l'Explanatory Report della Convenzione Cybercrime, cit., Paragrafo § 286;
216
COLOMBO E., La cooperazione internazionale nella prevenzione e lotta alla criminalità informatica: dalla
Convenzione di Budapest alle disposizioni nazionali, in Ciber. Dir., fasc. 3-4, p. 291;
217
Per il testo dell'art. 132 comma 4 ter del Codice della Privacy si veda retro la nota n. 430.
105
richieste avanzate da autorità investigative straniere".218 Sulle istanze di "expedited data
preservation" dall'Italia verso l'estero, invece, provvedono le disposizioni generali sui
rapporti con le autorità di altri Paesi, raccolte nel Libro Undicesimo del codice di rito.
Concludiamo l'analisi della Convenzione di Budapest dando qualche cenno agli strumenti di
cooperazione internazionale non introdotti nell'ordinamento italiano dalla legge di ratifica
del 2008 e quindi rimasti "lettera morta" nel trattato sul cybercrime.
Il Report del Consiglio d'Europa sull'Italia ha evidenziato l'inadempimento degli obblighi
pattizi derivanti dagli articoli 26, 28, 30, 31, 32, 33 e 34, tutti in tema di mutua assistenza
giudiziaria219
L'art. 26 concerne la possibilità di scambi spontanei di informazioni tra autorità inquirenti,
nel senso che uno Stato potrebbe comunicare a un altro dati informatici raccolti durante
un'indagine, purché non si tratti di dati sensibili o segreti, senza che vi sia una previa
richiesta in tal senso, ma solo perché si ritiene opportuno estendere l'ambito delle ricerche
oltre i confini nazionali.
L'art. 28, viceversa, si occupa dei dati elettronici sensibili e confidenziali, esclusi dall'ambito
dello scambio spontaneo, ponendo diversi vincoli al loro utilizzo probatorio e alla loro
circolazione tra agenzie investigative di vari Paesi.
Le cinque disposizioni conclusive degli articoli da 30 a 34 della Convenzione Cybercrime
sono focalizzate su aspetti settoriali della mutua assistenza, rispettivamente: l'acquisizione
rapida di dati di traffico (art. 30), l'accesso ad informazioni archiviate in forma elettronica
(art. 31), l'accesso transfrontaliero a sistemi informatici aperti al pubblico oppure con il
consenso dello Stato territoriale (art. 32), la raccolta in tempo reale di dati di traffico (art.
33) e l'intercettazione di dati di contenuto (art. 34)220
218
Dati esterni (data retention), esigenze investigative e tutela dei dati personali", relazione al convegno di Otranto, 8-9
ottobre
2004,
reperibile
su
http://www.giuristitelematici.it/modules/gas/article.php?storyid=3
,
http://www.giuristitelematici.it/modules/gas/documenti/puglia/aterno.pdf
219
Cfr. il "Country profile on cybercrime legislation" dell'Italia, pubblicato sul sito del Consiglio d'Europa:
http://www.coe.int/t/dg1/legalcooperation/economiccrime/cybercrime/Documents/CountryPro
files/567-LEGcountry%20Italy%20_26%20%20April%202008_pub.pdf
220
Non riteniamo opportuno procedere a un commento, dato che la Convenzione Cybercrime, soprattutto nella parte
inerente la cooperazione giudiziaria, necessita di riscontri chiari nella legislazione nazionale, affinchè le linee guida
europee possano ritenersi operative.
106
In conclusione, la legge di ratifica italiana 48/2008 è ottemperante (sovente addirittura in
maniera esasperata) alle indicazioni del trattato di Budapest quando interviene sulle
previsioni penali sostanziali e processuali, fra le quali, però, molte anticipavano le novità
della Convenzione Cybercrime grazie alla legge 547/1993221
Dove occorreva essere più incisivi era proprio la disciplina sulla cooperazione giudiziaria e
di polizia, che costituisce l'obiettivo ultimo del trattato stesso 222. La legge 48/2008 non ha
colto le nuove opportunità offerte dall'accordo internazionale, quelle di semplificare e
ottimizzare finalmente le procedure di mutua assistenza, magari sperimentando soluzioni
originali nel campo ristretto delle indagini sui cybercrime223
L'approccio della ratifica è stato esattamente l'opposto: lasciare inalterata il più possibile la
normativa sui rapporti con le autorità straniere, che invero ha ricevuto giusto qualche tocco
di cesello dal legislatore del 2008; come evidenzia il profilo dell'Italia, tracciato dal
Consiglio d'Europa poco dopo l'entrata in vigore della legge di attuazione, il nostro
ordinamento è conforme a poche norme pattizie in materia di cooperazione, cioè solo a
quelle di principio o dalla portata generica, in quanto sono compatibili con le previgenti
disposizioni del Libro Undicesimo del c.p.p.224
Ciò di cui i soggetti coinvolti nel contrasto internazionale al cybercrime hanno bisogno non
sono tanto i principi generali, tutto sommato ricavabili dall'assetto normativo esistente,
quanto lo snellimento delle pratiche, per velocizzare i tempi necessari all'individuazione e
all'acquisizione delle informazioni più volatili e alterabili in assoluto, quelle virtuali225. Nella
Convenzione di Budapest del 2001 figurano perciò varie regole inedite sulla cooperazione,
pensate per rendere efficienti le indagini informatiche transfrontaliere, ma all'atto della
ratifica l'ordinamento italiano non ha avuto il "coraggio" di recepirle. Un vero peccato.
221
COLOMBO E., La cooperazione internazionale nella prevenzione e lotta alla criminalità informatica: dalla
Convenzione di Budapest alle disposizioni nazionali, in Ciber. Dir., fasc. 3-4, p. 293;
222
Si può leggere a conferma la parte introduttiva dell'Explanatory Report alla Convenzione Cybercrime.
Ad avviso di chi scrive, un'ipotesi potrebbe essere abolire la previa autorizzazione del Ministero di Giustizia
all'esecuzione delle rogatorie dirette all'Italia, di cui all'art. 723 c.p.p., e contestualmente abolire il simmetrico inoltro delle
richieste di rogatorie all'estero sempre a mezzo del Ministero, previsto dall'art. 727 c.p.p.;
224
COLOMBO E., La cooperazione internazionale nella prevenzione e lotta alla criminalità informatica: dalla
Convenzione di Budapest alle disposizioni nazionali, in Ciber. Dir., fasc. 3-4, ibidem;
225
Tali sono le conclusioni raggiunte nel Convegno “Cybercrime: developing the legal framework in Europe. National
experiences with regard to the implementation of cybercrime instruments”, Londra, organizzato dall’Accademia di Diritto
Europeo (ERA), 11-12 Novembre 2010.
223
107
2. La Decisione Quadro UE sugli attacchi informatici 2005/222/GAI
Il contrasto ai reati informatici è sotto l'attenzione di vari organismi internazionali, non solo
del Consiglio d'Europa; chi ha sicuramente profuso più sforzi nell'ultimo decennio è stata
l'Unione Europea, la quale, dopo una serie di documenti programmatici e risoluzioni non
vincolanti226, è giunta il 24 febbraio 2005 ad emanare la Decisione Quadro "relativa agli
attacchi contro i sistemi di informazione", numero 2005/222/GAI del Consiglio dell'Unione
Europea. Lo scopo dichiarato227 della decisione del 2005 è di incentivare la cooperazione fra
Stati membri nella lotta alla criminalità informatica, proseguendo il cammino segnato dalla
fondamentale Convenzione di Budapest del Consiglio d'Europa e, in particolare,
armonizzando le legislazioni penali sugli attacchi ai sistemi informatici (Considerando n. 8).
Per tale ragione la Decisione Quadro riprende alcuni degli obblighi contenuti nella
Convenzione Cybercrime, tuttavia l'atto del 2005 si caratterizza per un ambito più limitato,
come testimonia il numero di articoli nella 2005/222/GAI (13 articoli contro i ben 48 del
trattato di Budapest).
Nella Decisione del 2005 si prevedono obblighi di penalizzazione esclusivamente per i
cybercrime in senso stretto (accesso abusivo ai sistemi e danneggiamento informatico), vi è
una sola norma in materia processuale (art. 10, criteri per determinare la giurisdizione) e
226
La Decisione Quadro elenca tutti i documenti sulla sicurezza informatica emanati dalle istituzioni UE a scopo di
indirizzo politico per gli Stati membri. Fra questi vanno ricordati: - le Conclusioni del Consiglio europeo di Tampere, del
15-16 ottobre 1999, che sollecitano "iniziative legislative atte a contrastare la criminalità ad alta tecnologia, comprendenti
definizioni, incriminazioni e sanzioni comuni"; - la Comunicazione della Commissione «Sicurezza delle reti e sicurezza
dell’informazione: proposta di un approccio strategico europeo» del 28 gennaio 2002; - la Comunicazione della
Commissione «Creare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione
e mediante la lotta alla criminalità informatica» del 2002, che fissa il cd. "Piano d’azione eEurope", aggiornato circa ogni
due anni, allo scopo di raggiungere determinati obiettivi sull'accessibilità e l'affidabilità di Internet (all'interno dell'UE)
entro il 2020.
227
Si legge infatti nel Considerando n. 7: "È necessario completare il lavoro svolto dalle organizzazioni internazionali, in
particolare i lavori del Consiglio d’Europa sul ravvicinamento delle legislazioni penali ed i lavori del G8 sulla
cooperazione transnazionale in materia di criminalità ad alta tecnologia, mediante l’adozione di un approccio comune
dell’Unione europea in questo settore
108
sulla cooperazione internazionale l'approccio è cauto, chiedendo agli Stati di aumentare
semplicemente lo scambio di informazioni relative alle indagini e ai procedimenti sui reati
informatici transfrontalieri.
Queste peculiarità rappresentano altrettanti pregi della Decisione, in quanto la rendono uno
strumento snello ed efficace a perseguire l'obiettivo del riavvicinamento delle legislazioni
europee sui reati informatici, affinché vi sia sempre la garanzia della "doppia
incriminazione" dei cybercrime, presupposto necessario alla cooperazione fra autorità di
nazionalità differenti228
Ai sensi dell'art. 34 del Trattato UE, infatti, le decisioni quadro hanno effetto vincolante per
gli Stati circa i risultati, restando ferma la competenza domestica in merito alla scelta dei
mezzi e della forma.
A differenza della Convenzione di Budapest, non occorrono le ratifiche dei singoli Paesi per
la produzione di vincoli giuridici, poiché le decisioni quadro creano obblighi in capo agli
Stati dell'Unione Europea ex antea, sulla base della loro adesione alla Comunità. Certo,
rimane il problema dell'esecuzione interna di queste "obbligazioni di risultato" stabilite in
sede UE.
Gli obiettivi da soli infatti non bastano, servono leggi nazionali che le traducano in regole
operative ciascun ordinamento.
La decisione 2005/222/GAI è entrata in vigore il giorno stesso della sua pubblicazione sulla
Gazzetta Ufficiale dell'Unione Europea il 24 febbraio 2005, però ha riscontrato notevoli
difficoltà sul piano dell'attuazione nei Paesi membri, imposta in modo tassativo entro il 16
marzo 2007 (art. 12 Decisione Quadro). Dalla Relazione della Commissione Europea al
Consiglio UE del 14 luglio 2008229 risulta che ancora sette Paesi dell'Unione non hanno
neppure trasmesso alla Commissione il testo delle disposizioni nazionali attuative della
Decisione, cosa che in genere cela il mancato svolgimento degli obblighi sovranazionali:
Regno Unito, Spagna, Irlanda, Grecia, Polonia, Slovacchia e Malta. L'Italia è invece
riconosciuta adempiente grazie alle leggi del 1993 e del 2008.
228
LANZIERI M. La decisione-quadro UE del 2005 sugli attacchi informatici, tratto da "I reati informatici", Id., Milano,
2010 e pubblicato online sul sito http://www.altalex.com/index.php? idnot=10897
229
Relazione sull'attuazione della Decisione 2005/222/GAI disponibile sul sito UE in versione bilingue inglese-italiano
all'indirizzo http://eur-lex.europa.eu
109
Il tema principale della Decisione Quadro è l'introduzione di una legislazione penale
"minima" sui reati informatici in senso tecnico in tutti i Paesi dell'Unione Europea, affinché
le richieste di assistenza giudiziaria, basate sul requisito della doppia incriminazione,
possano avere esito positivo con riferimento agli abusi più gravi delle tecnologie elettroniche
e telematiche, cioè l'accesso abusivo a un sistema, l'interferenza illecita sui dati e quella a
danno dei dispositivi.
Allo stesso tempo, la Decisione condanna nel suo Considerando n. 13 un'eccessiva
penalizzazione, in particolare nelle violazioni di scarsa entità e nei confronti delle persone
legalmente autorizzate.
La parte sostanziale dell'atto GAI si apre con una norma definitoria: l'art. 1 ricopia le
definizioni di sistemi e di dati informatici dalla Convenzione di Budapest230, mentre
aggiunge la spiegazione della formula "senza diritto", che contraddistingue tutte e tre le
fattispecie penali negli artt. 2, 3 e 4 della Decisione
Per dirlo con le parole del Consiglio UE, «senza diritto» significa "l’accesso o l’interferenza
non autorizzati da parte di chi ha il diritto di proprietà o altro diritto sul sistema o una sua
parte, ovvero non consentiti ai sensi della legislazione nazionale".
L'art. 2 procede a descrivere il reato di "accesso illecito a un sistema di informazione”231
come l'accesso intenzionale e senza diritto a un sistema o a parte di esso, da penalizzare
almeno "nei casi gravi"; è lasciata alla discrezionalità degli Stati l'opzione di richiedere
anche la violazione delle misure di sicurezza, come avviene nel nostro art. 615 ter c.p.; gli
articoli 3 e 4 della Decisione232, poi, trattano separatamente il danneggiamento ai sistemi
230
La ripetizione della terminologia della Convenzione Cybercrime è evidente se si leggono le lettere a), b) dell'art. 1 della
decisione Quadro, che pertanto riportiamo in nota: "a) per «sistema di informazione» s’intende qualsiasi apparecchiatura o
gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico di dati informatici
secondo un programma, nonché i dati informatici immagazzinati, trattati, estratti o trasmessi dagli stessi ai fini della loro
gestione, uso, protezione e manutenzione; b) per «dati informatici» s’intende qualsiasi rappresentazione di fatti,
informazioni o concetti in una forma che può essere trattata da un sistema di informazione, compreso un programma atto a
far svolgere una funzione ad un sistema di informazione;
231
Art. 2 della Decisione Quadro (Accesso illecito a sistemi di informazione): "1. Ciascuno Stato membro adotta le
misure necessarie affinché l’accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso
sia punito come reato, almeno per i casi gravi. 2. Ciascuno Stato membro può decidere che i comportamenti di cui al
paragrafo 1 siano punibili solo quando il reato è commesso violando una misura di sicurezza”.
232
Art. 3 della Decisione Quadro (Interferenza illecita per quanto riguarda i sistemi): "Ciascuno Stato membro adotta le
misure necessarie affinché l’atto intenzionale di ostacolare gravemente o interrompere il funzionamento di un sistema di
informazione mediante l’immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento,
110
(corrispondente agli artt. 635 quater e quinquies c.p.) e quello sui dati informatici (punito in
Italia dagli artt. 635 bis e ter.
I fatti sono tipizzati dalla 2005/222/GAI in modo assai flessibile: non si parla ad esempio di
danneggiamento, ma del generico comportamento di "interferenza illecita", al fine di
comprendere le alterazioni e gli ostacoli gravi al funzionamento dei dispositivi informatici.
Per il resto le disposizioni di diritto sostanziale della Decisione Quadro sono analoghe a
quelle della Convenzione Cybercrime del 2001, al cui commento perciò rimandiamo233
L'ordinamento italiano contemplava già i reati indicati dalla Decisione Quadro ben prima
della sua emanazione, dato che i fatti tipici prescritti dagli articoli 2-4 altro non sono che una
versione aggiornata e, in un certo senso, semplificata della lista minima del 1989
proveniente dal Consiglio d'Europa234, che dette luogo alla fondamentale legge 547/1993.
Alcuni cambiamenti sono stati apportati peraltro dalla legge 48/2008, la quale, pur attuando
la Convenzione Cybercrime del 2001, non ha ignorato del tutto la Decisione UE del 2005:
basti pensare alla separazione espressa del danneggiamento dei sistemi da quello dei dati
informatici in quattro articoli del c.p.Alle forme di manifestazione la Decisione Quadro
dedica l'art. 5, senza prevedere obblighi originali rispetto alla Convenzione di Budapest;
importanti sono, invece, le due norme sul trattamento sanzionatorio dei cybercrime propri,
contenute negli articoli 6 e 7.
L'art. 6 si apre con gli standard fissi di effettività, proporzione e dissuasività delle sanzioni
nei confronti degli attacchi informatici; più interessante è il secondo comma, che prescrive
riguardo alle due ipotesi di danneggiamento "pene detentive della durata massima compresa
almeno tra uno e tre anni". Non vi è dubbio che il sistema italiano raggiunga tale livello
punitivo: basta guardare alle cornici edittali degli articoli 635 bis, ter, quater e quinquies
c.p., per accorgersi che la reclusione massima di tali violazioni supera ampiamente il limite
fra uno e tre anni, in quanto le ipotesi base sono tutte punite nel massimo dai tre (art. 635
bis) ai cinque anni (art. 635 quater).
l’alterazione, la soppressione di dati informatici o rendendoli inaccessibili sia punito come reato se commesso
senza diritto, almeno per i casi gravi”. Art. 4 (Interferenza illecita per quanto riguarda i dati): "Ciascuno Stato membro
adotta le misure necessarie affinché l’atto intenzionale di cancellare, danneggiare, deteriorare, alterare, sopprimere o
rendere inaccessibili dati informatici in un sistema di informazione sia punito come reato se commesso senza diritto,
almeno per i casi gravi".
233
Vedi retro in questo Capitolo
PICA G., Il Cybercrime nell’evoluzione normativa sovranazionale e nazionale, C.S.M. 6-8 aprile 2009, p. 28;
scaricabile online http://appinter.csm.it/incontri/relaz/17326.pdf 478 Considerando n. 13 della Decisione Quadro
2005/222/GAI.
234
111
Le perplessità semmai sono di segno opposto: la Decisione Quadro pone l'accento sulla
necessità di non punire le violazioni meno gravi, per evitare un'eccessiva penalizzazione dei
fenomeni virtuali235. Sotto questo aspetto la legislazione italiana sulla criminalità
informatica lascia molto a desiderare236: le fattispecie incriminatrici non comprendono
nessuna causa di non punibilità per i fatti di lieve entità, né circostanze attenuanti, salva
quella generale dell'art. 62 n. 4, che tuttavia, essendo basata sulla lesione patrimoniale, è
applicabile solo ai reati di danno come l'art. 635 bis e quater, non alle ipotesi di attentato
(artt. 635 ter e quinquies c.p.).
Per giunta, l'attenuante del "danno patrimoniale di scarsa entità" è incompatibile con il reato
di accesso abusivo sub art. 615 ter c.p., che si fonda sul superamento delle barriere logiche
di protezione, prescindendo dal valore economico del sistema informatico violato o dei dati
digitali eventualmente visionati. La legge 48/2008 avrebbe potuto rivedere le pene e le
circostanze attenuanti dei reati informatici "meno gravi", ma purtroppo non lo ha fatto237
Sulla responsabilità delle persone giuridiche (artt. 8-9), la decisione del 2005, pur rimanendo
nel solco del corrispondente art. 12 del trattato di Budapest, se ne distacca inserendo nell'art.
9 una peculiare lista di sanzioni applicabili agli enti collettivi.
Oltre alle misure pecuniarie, che erano richiamate già nella Convenzione del 2001, la
Decisione Quadro elenca anche sanzioni di carattere interdittivo, quali: "a) misure di
esclusione dal godimento di un beneficio o aiuto pubblico; b) misure di divieto temporaneo
o permanente di esercitare attività commerciali; c) assoggettamento a sorveglianza
giudiziaria; o d) provvedimenti giudiziari di scioglimento."
235
Considerando n.13 della Decisione Quadro 2005/222/GAI
LANZIERI M. La decisione-quadro UE del 2005 sugli attacchi informatici, tratto da "I reati informatici", Id., Milano,
2010 e pubblicato online sul sito http://www.altalex.com/index.php? idnot=10897
237
PICA G., Il Cybercrime nell’evoluzione normativa sovranazionale e nazionale, C.S.M. 6-8 aprile 2009, p. 30;
scaricabile online da http://appinter.csm.it/incontri/relaz/17326.pdf Riportiamo l'argomentazione o riginale di Giorgio Pica
perchè la condividiamo in tutti i suoi punti: "Avrebbe potuto questa Decisione quadro offrire l’occasione per meglio
adeguare le norme penali vigenti in Italia alla diversità concreta dei fatti che vengono comunemente indicati come accesso
abusivo, danneggiamento informatico, intercettazione di comunicazioni telematiche, etc., (che tra l’altro sono tutte
costruite con pene edittali ben superiori a quelle ipotizzate dall’Unione europea): adeguamento non nel senso ovviamente
di eliminare previsioni di reato che sono pressochè tutte essenziali e devono restare nel nostro ordinamento, ma nel senso
di introdurre previsioni attenuate e casi di esclusione per meglio mirarle agli obbiettivi da colpire, e diversificare o
escludere il trattamento sanzionatorio nei casi di effettiva minima entità."
236
112
L'apparato sanzionatorio del d.lgs. 231/2001 risulta in linea con tali indicazioni, salva
l'assenza della sanzione dello scioglimento giudiziario; a seguito della novella della legge
48/2008, che ha aggiunto i reati informatici fra i presupposti della responsabilità delle
persone giuridiche, possiamo ritenere raggiunto dall'Italia questo obiettivo dalla Decisione
Quadro 2005/222/GAI.
Infine, abbiamo nella Decisione del 2005 due articoli concernenti rispettivamente la
giurisdizione e la cooperazione internazionale: l'art. 10 propone alcuni criteri per la
determinazione della competenza giurisdizionale, mentre l'art. 11 invita gli Stati a servirsi di
punti di contatto operativi 24 ore su 24, per lo scambio di informazioni sui reati informatici.
Bisogna sottolineare le forti somiglianze con le previsioni della Convenzione Cybercrime, in
particolare con gli articoli 22 e 35.238
La Decisione Quadro compie tuttavia alcuni passi avanti rispetto al trattato di Budapest del
2001, limitatamente ai criteri di giurisdizione, sui quali la Convenzione del Consiglio
d'Europa appare alquanto laconica239 L'art. 10 della Decisione 2005/222/GAI fa propri i
criteri consolidati del collegamento territoriale ovvero della nazionalità dell'autore240, ma
pone ulteriori precisazioni, prendendo in considerazione il luogo in cui si trova il dispositivo
attaccato, oppure la sede legale della persona giuridica che trae vantaggio dal reato: La
giurisdizione dello Stato deve essere prevista, nello specifico, in almeno due situazioni
qualora "l’autore abbia commesso il reato mentre era fisicamente presente nel suo
territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato
commesso il reato si trovi o meno nel suo territorio"; oppure
"se il reato sia stato commesso ai danni di un sistema di informazione che si trova nel suo
territorio, indipendentemente dal fatto che l’autore del reato fosse fisicamente presente nel
suo territorio al momento della commissione del reato."
238
L'art. 35 della Convenzione Cybercrime è norma di valore squisitamente pratico, per cui non la abbiamo analizzata nel
paragrafo precedente; essa prevede la creazione di una rete di punti di contatto, operativi tutti i giorni, senza interruzioni, al
fine di scambiare informazioni e prestare assistenza con autorità investigative di altri Paesi parte. Questo è il testo originale
dell'art. 35 citato: "Article 35 (24/7 Network). Each Party shall designate a point of contact available on a twenty-four
hour, seven-day-a-week basis, in order to ensure the provision of immediate assistance for the purpose of investigations or
proceedings concerning criminal offences related to computer systems and data, or for the collection of evidence in
electronic form of a criminal offence. Such assistance shall include facilitating, or, if permitted by its domestic law and
practice, directly carrying out the following measures: a) the provision of technical advice; b) the preservation of data
pursuant to Articles 29 and 30; c) the collection of evidence, the provision of legal information, and locating of suspects."
239
Vedi retro nel presente Capitolo regole processuali
240
L'art. 22 della Convenzione di Budapest considera infatti sottoposti alla giurisdizione di uno Stato i reati commessi sul
suo territorio o dai suoi cittadini fuori dai confini nazionali, se sussiste doppia punibilità.
113
Assai innovativa è altresì la previsione di un meccanismo per la risoluzione dei confitti
giurisdizionali nell'art. 10 quarto comma della Decisione; innanzitutto gli Stati membri sono
tenuti a dialogare fra loro241 per decidere quali di essi perseguirà gli autori dell'attacco
informatico transnazionale, come era già suggerito dall'art. 22 della Convenzione di
Budapest.
L'elemento di novità della Decisione quadro del 2005 risiede nella presenza di alcuni criteri
guida per superare simili contrasti fra giurisdizioni: in via prioritaria, bisogna cercare di
concentrare, se possibile, i procedimenti penali in un solo Paese, per evitare la dispersione di
prove, come pure l'inutile duplicazione di attività d'indagine e di accertamento.
Dopo ciò, viene stilata una specie di "scala gerarchica" circa i criteri di attribuzione della
giurisdizione nazionale; la Decisione UE invita gli Stati coinvolti dalla medesima vicenda
criminale a prendere in considerazione, per gradi successivi, i seguenti elementi: 1) il luogo
dove è stato commesso, in tutto o in parte, il reato; 2) la collocazione geografica del
dispositivo informatico attaccato, a prescindere dalla presenza o meno dell'autore nel
medesimo Stato; 3) la nazionalità dell'autore del reato; 4) il Paese in cui è stato trovato (o
catturato) il presunto autore del fatto.
I criteri dirimenti dei confitti giurisdizionali sono chiaramente non obbligatori e compaiono
nella Decisione Quadro soltanto alla stregua di un suggerimento da fonte autorevole, per
migliorare la cooperazione giudiziaria a livello europeo. Non è da escludere che queste linee
direttive riceveranno un buon riscontro dalle autorità nazionali242 poiché forniscono la
primissima soluzione pratica all'annoso problema delle sovrapposizioni fra indagini condotte
da Paesi diversi.
3. Le iniziative UE successive alla Decisione Quadro del 2005
241
Il quarto comma dell'art. 10 aggiunge: "A tal fine, gli Stati membri possono avvalersi di qualsiasi organismo o
meccanismo istituito all’interno dell’Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il
coordinamento del loro operato." Il riferimento a Eurojust e alla Rete giudiziaria europea non è esplicito, ma facilmente
desumibile.
242
Si sono anzi già verificati alcuni casi di superamento dei confitti giurisdizionali fra autorità di Paesi europei proprio
grazie all'accettazione condivisa dei criteri risolutivi di cui all'art. 10 quarto comma della Decisione Quadro 2005/222/GAI.
Fonte: Eurojust Annual Report, 2010, p. 5;
114
La Decisione Quadro 2005/222/GAI è divenuta presto bersaglio di aspre critiche: lo scopo di
questo documento era combattere gli attacchi informatici di dimensione europea, in
particolare le aggressioni sistematiche da parte della criminalità organizzata o dei gruppi
terroristici243, ma essa non ha fatto altro che ripetere -o addirittura limitare- le norme
sostanziali della precedente Convenzione di Budapest del 2001.
La necessità di aggiornare le legislazioni penali ai nuovi fenomeni criminali online era
sentita da molti Paesi membri, tuttavia ciò non ha portato a una maggiore riflessione sulle
fattispecie incriminatrici da introdurre. Dopo la conclusione della Convenzione Cybercrime
nel 2001, si era andata diffondendo sul web la minaccia degli attacchi DoS e DDoS, in grado
di mettere in pericolo le infrastrutture di un intero Paese, cosa che è successa oltre ogni
immaginazione in Estonia il 27 aprile 2007244
Il blocco per settimane dei siti istituzionali estoni, tra i quali i portali di banche, ministeri,
giornali e televisioni (in Estonia la gestione della Pubblica Amministrazione è peraltro
completamente digitalizzata), fece capire all'UE quanto aveva sottovalutato la reale portata
della criminalità informatica nella Decisione Quadro del 2005245
Sulla scorta di tali considerazioni, la Commissione dell'Unione Europea emanò il 22 maggio
2007 una comunicazione intitolata "Towards a general policy on the fight against cyber
crime", all'interno della quale si sottolineava il bisogno di un'azione coordinata, pure con il
settore privato, per contrastare i nuovi illeciti in espansione su Internet: gli attacchi DDoS, i
botnet e i furti di identità digitale246
Soprattutto sull'identity thef, la Commissione Europea sollevava il problema della sua
irrilevanza penale in quanto tale, venendo punito dai Paesi membri soltanto qualora esso
243
Considerando n. 2 della Decisione Quadro 2005/222/GAI;
Vedi retro nel Capitolo Primo, Paragrafo sugli attacchi DoS.
245
Si veda retro nel Capitolo Primo, Paragrafo 2, nella parte relativa agli attacchi DDoS e al caso Estonia.
246
Communication Policy on fight against cybercrime, Bruxelles, 22 maggio 2007, COM(2007) 267. Nello specifico, vi si
aferma che: "the increasing prevalence of cyber crime and identity thef across Europe, as well as spanning large scale
attacks in Estonia, highlights the need for concerted action."
244
115
integri gli elementi tipici della truffa, osservazione valida anche per l'ordinamento italiano,
come abbiamo visto nello scorso capitolo247.
Dopo la Commissione europea, il Consiglio dell'Unione ha emanato un documento di
indirizzo, le Conclusioni del 27 novembre 2008 "on a concerted work strategy and practical
measures against cybercrime" (2009/C – 62/05), note sotto il nome di "Strategia contro il
cybercrime". Il piano strategico è finalizzato a una migliore cooperazione internazionale
contro la criminalità informatica, in particolare quella più insidiosa, che si serve delle reti
telematiche per compiere attacchi su larga scala.
Al momento dell'introduzione della Convenzione di Budapest del 2001 esistevano già le
aggressioni ai sistemi informatici, ma si trattava generalmente di condotte contro un numero
determinato di dispositivi, oppure realizzate direttamente sull'elaboratore bersaglio.
Qualche anno più tardi questo schema di reato informatico è divenuto obsoleto, poiché la
gran parte dei reati viene commessa via Internet, con un numero elevatissimo di potenziali
vittime.
A differenza della Decisione Quadro 2005/222/GAI, la "strategia contro il cybercrime" del
2008 non si limita ai reati informatici in senso stretto, ma comprende tutti quelli impropri,
come i cd. content-related crime248 e gli altri illeciti commessi con le moderne tecnologie.
Le Conclusioni del 2008 contengono esclusivamente raccomandazioni agli Stati in ambito di
cooperazione internazionale; sui profili di diritto penale sostanziale non vi sono indicazioni,
salvo l'obiettivo nel breve termine di trovare "a description of what is meant by identity
fraud on the Internet, in compliance with domestic laws", che riprende quanto evidenziato
dalla Commissione nella Comunicazione del 2007.
I suggerimenti per migliorare la cooperazione internazionale sono molto generici, trattandosi
di una strategia alla fine politica e non di uno strumento giuridicamente vincolante: il
Consiglio UE richiama a un miglior coordinamento tra le autorità europee di law
enforcement e al dialogo di queste "verso l'esterno", da un lato in direzione del settore
247
Vedi retro nel Capitolo Secondo, Paragrafo sui furti di identità digitale e il phishing.
La categoria di "content-related crime" è stata creata dalla dottrina anglosassone sui cybercrime: essa rappresenta una
parte dei cd. reati informatici impropri, nei quali il disvalore è concentrato sull'oggetto della condotta tenuta su reti
telematiche. Il reato principe è la difusione online di materiale pedopornografico; altri esempi sono la difamazione, la
violazione del copyright o di altro diritto d'esclusiva, la distribuzione di malware o password altrui. In alcuni casi il
contenuto è talmente ofensivo da esserne punita non solo la circolazione su Internet, ma anche la mera archiviazione nei
dispositivi informatici, come accade nella legislazione italiana per il materiale pedopornografico, i malware e i codici
d'accesso acquisiti illecitamente.
248
116
privato (Internet provider in testa), dall'altro nei confronti dei Paesi non comunitari, primi
fra tutti gli Stati Uniti.
Non si è fatta attendere la Commissione UE, che meno di sei mesi dopo (per l'esattezza il 15
marzo 2009) ha diffuso la Comunicazione sulla protezione delle infrastrutture informatiche
critiche. È facile notare che dopo la Decisione Quadro 2005/222/GAI gli organi comunitari
ormai emanano a cadenza annuale un documento d'indirizzo sul tema della criminalità
informatica; l'atto programmatico del 2009 mira a difendere l'Unione da "large scale
cyberattacks and disruptions, enhancing preparedness, security and resilience" (interruzioni
e attacchi informatici su larga scala, migliorando la reattività, la sicurezza e la capacità di
ripresa)249
La Comunicazione del 2009 ha un approccio preventivo250 perciò non tocca neppure in via
indiretta i temi del diritto penale; si evidenzia, semmai, il fatto che le infrastrutture critiche,
cioè necessarie alla vita di un Paese, possano ricevere gravi attacchi per mezzo delle reti
telematiche, ad esempio con i botnet, contro i quali non esistono sufficienti risposte
repressive e quindi l'unico metodo vincente per ora è migliorare la rete di prevenzione251
Per le attività di prevenzione su Internet esiste una Agenzia europea ad hoc, la ENISA,
European Network and Information Security Agency, istituita nel 2004 dal Regolamento CE
460/2004 con un mandato temporaneo fino al 2009, esteso fortunatamente fino al 2012,
grazie al Regolamento CE 1007/2008, per consentirne la continuità delle funzioni.
E quali sono le funzioni dell'ENISA? Lo scopo dell'agenzia è monitorare la sicurezza di
Internet, con specifiche "analisi del rischio" (risk assessment) nei settori del commercio
elettronico, del cloud computing252e delle infrastrutture critiche. In breve, l'ENISA ha
funzioni di controllo continuo e di immediata assistenza tecnica riguardo all'hacking, ai
botnet, ai furti d'identità massicci e a qualunque minaccia grave alla sicurezza dei sistemi
informatici e delle reti telematiche nell'Unione Europea.
249
Così recita letteralmente l'altisonante sottotitolo della Comunicazione della Commissione.
Come aferma espressamente in apertura il testo della Commissione: "This Communication focuses on prevention,
preparedness and awareness and defines a plan of immediate actions to strengthen the security and resilience of Critical
Information Infrastructures".
251
"Communication from the Commission on Critical Information Infrastructure Protection "Protecting Europe from large
scale cyber-attacks and disruptions: enhancing preparedness, security and resilience", 15 marzo 2009, p. 8;
250
252
Sulla definizione di cloud computing rimandiamo retro nel Primo Capitolo, Paragrafo 4.2;
117
L'ENISA può essere inoltre consultata da Commissione e Consiglio per la redazione di
proposte normative o documenti programmatici, dato che l'ENISA procede altresì a
compilare statistiche e modelli in base alle particolari violazioni riscontrate su Internet253
Forse ci interessa di più quello che non può fare l'ENISA: essa è un'agenzia priva di poteri
investigativi, perciò non può essere di aiuto nelle ricerche di prove transfrontaliere, né è
autorizzata a indagare spontaneamente sulle anomalie nel funzionamento delle reti.
Non dobbiamo però ritenere inutile tale agenzia ai fini della cooperazione giudiziaria in
materia penale: l'ENISA punta a formare una vera e propria "rete di esperti" sulla sicurezza
informatica, coinvolgendo esponenti del settore privato e ufficiali dei corpi specializzati di
polizia, in modo da favorire una stringente collaborazione reciproca a scopo preventivo. Tale
scambio informativo, una volta avviato, è in grado di estendersi alla fase successiva delle
indagini penali; di conseguenza, proprio grazie alla mediazione dell'ENISA, nei prossimi
anni presumibilmente si diffonderanno in Europa prassi positive (best practices) circa la
cooperazione tra settore privato e autorità pubbliche di diversi Stati europei, valide anche per
le operazioni con finalità investigative254
Da ultimo, il 26 aprile 2010 il Consiglio dell'Unione Europea ha emanato un nuovo "Action
Plan to implement the concerted strategy to combat cybercrime", nel quale sono elencati
vari obiettivi, suddivisi tra breve e a medio termine. Nel breve periodo si invitano le autorità
di polizia ad aumentare la collaborazione reciproca255 possibilmente all'interno di reti
internazionali come INTERPOL ed ENISA.
Più significative sono le azioni programmate per il medio termine: innanzitutto si ripete la
necessità che i Paesi membri "ritardatari" ratifichino finalmente la Convenzione di Budapest
del 2001256, la quale continua a rappresentare lo strumento principe per la cooperazione
253
Fonte: sito ufficiale dell'ENISA, all'indirizzo www.enisa.europa.eu
"Communication from the Commission on Critical Information Infrastructure Protection "Protecting Europe from
large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience", 15 marzo 2009, p. 8;
254
255
L'Action Plan del 26 aprile 2010 sottolinea difatti nel Considerando n. 3: "The need to ensure a very high level of
network security and faster reaction in the event of cyber disruptions or cyber attacks by means of ad hoc European Union
policies and legislation."
256
"Council conclusions concerning an Action Plan to implement the concerted strategy to combat cybercrime", 3010th
GENERAL AFFAIRS Council meeting Luxembourg, 26 April 2010, p. 3;
118
internazionale contro i cybercrime. In parallelo, occorre che gli Stati dell'Unione creino dei
gruppi di esperti, incaricati di scrivere relazioni annuali sull'andamento dei reati informatici
e degli altri illeciti collegati alle nuove tecnologie, per dare suggerimenti alla Commissione e
al Consiglio UE nella redazione di raccomandazioni e regole giuridiche specificamente
destinate al contrasto globale di tali illeciti tecnologici257Questo percorso progressivo delle
istituzioni dell'Unione Europea, iniziato con l'entrata in vigore della Decisione Quadro
2005/222/GAI e diretto a rafforzare la cooperazione fra autorità europee, ha prodotto pochi
punti fermi sul piano strettamente giuridico, ma ha rimarcato e segnalato ai Paesi membri
una serie di criticità e di potenziali spazi di riforma in relazione al contrasto dei reati
informatici258. Resta il fatto che l'assetto internazionale nella lotta ai cybercrime poggi
tuttora sui due "pilastri" della Convenzione di Budapest del Consiglio d'Europa (2001) e
della Decisione Quadro del Consiglio UE (2005).Le proposte di modifica sono tutt'al più
alle fasi iniziali e riguardano due temi di stretta attualità: i botnet ed i provider, nei confronti
dei quali la cooperazione internazionale al momento può poco o nulla.
4.Verso una politica di Cyber Security
La sicurezza del cyberspace è oggi una delle esigenze principali di chi opera a garanzia
degli interessi nazionali di un Paese. Per garantirla però è necessaria una vera e propria
politica di cyber security che non si confronti solo con la componente tecnica e tecnologica
del problema, ma che sia in grado di coglierne gli aspetti sociali, legali ed economici. Le
minacce al cyberspace hanno oggi forme diverse, diversi scopi e coinvolgono diversi attori.
Professionisti della cyber intelligence, attivisti – o hacktivist data la dimensione in cui
operano -, vere e proprie bande criminali possono acquisire informazioni da utilizzare in
altri contesti, attaccare infrastrutture di vitale importanza per il Paese o la privacy dei
singoli cittadini. Il cyberspace è oggi considerato, secondo l’approccio militare, un vero e
proprio campo di battaglia e come tale ci si muove al suo interno anche in un’ottica
257
"Council conclusions concerning an Action Plan to implement the concerted strategy to combat cybercrime", cit., p. 4;
PICA G., Il Cybercrime nell’evoluzione normativa sovranazionale e nazionale, C.S.M. 6-8 aprile 2009, p. 36;
scaricabile online da http://appinter.csm.it/incontri/relaz/17326.pdf
258
119
intelligence. Capire la complessità di questa nuova dimensione della sicurezza e
comprenderne l’impatto reale sugli interessi nazionali, anche attraverso l’esperienza di altri
paesi, è il primo passo per realizzare una politica efficace di cyber security.
4.1 Italian Report on Cyber Security: Critical Infrastructure and Other Sensitive
Sectors Readiness 2013
Il centro di ricerca di Cyber Intelligence and Information Security (CIS) dell’Università
Sapienza di Roma ha elaborato un documento di notevole importanza, il 2013 Italian
Report on Cyber Security: Critical Infrastructure and Other Sensitive Sectors Readiness,
presentato ufficialmente il 9 dicembre 2013 in collaborazione con il Dipartimento
Informazione per la Sicurezza (DIS), alla presenza del Sottosegretario alla Presidenza del
Consiglio con delega alle Informazioni per la Sicurezza, Sen. Marco Minniti.
Il Rapporto259, interamente realizzato da studiosi e ricercatori italiani, vuole essere un
contributo accademico forte alla comprensione e al dibattito nazionale su uno dei temi di
maggiore rilevanza mondiale, qual è lo stato dell’arte nella protezione, da attacchi
cibernetici, delle infrastrutture critiche nazionali e dei settori economici sensibili.
Suddiviso in cinque capitoli, il Rapporto fornisce, nella prima parte, importanti elementi di
conoscenza sulle nozioni di infrastrutture critiche e cyber security negli Stati Uniti e in
Unione europea e i dati relativi agli attacchi cyber verificatisi in Italia e nel mondo, e ai
relativi costi.
Oggi come oggi non esistono stime ufficiali sui costi del cybercrime in Italia, però secondo
stime che arrivano dal settore privato, nel 2011 il costo delle frodi informatiche ai danni dei
consumatori è stato pari a 2,45 miliardi di euro nel 2011, a fronte di un danno complessivo
pari a 85 miliardi di euro a livello globale. Il costo per le aziende italiane derivante dal furto
259
Rapporto è possibile visionarlo dal sito dell’Università La Sapienza http://www.cis.uniroma1.it-it-news-pubblicato2013-italian-report-on-cyber-security-php-url
120
di dati sensibili è stimato invece in 78 euro per ogni singolo file compromesso, con la
conseguente perdita di business e reputation per le aziende vittime di attacchi . Un problema,
quello della cybersecurity, che riguarda poi l’intero settore pubblico del nostro paese,
alquanto fragile e inconsapevole dei rischi connessi alle minacce informatiche.
Nel 2012 l’Italia si è piazzata al nono posto nel mondo per la diffusione di malware
(programmi che causano danni ai sistema su cui vengono eseguiti) e prima in Europa (quarta
nel mondo) per il numero di computer infettati. Il rapporto evidenzia anche una mancanza di
consapevolezza della minaccia che viaggia sulla rete.
Nella seconda parte viene analizzato, più nel dettaglio, lo scenario italiano in termini
legislativi e attraverso un’analisi dei Computer Emergency Response Teams (CERT)
presenti nel nostro Paese.
Il terzo capitolo offre una panoramica del “livello di maturità” nel settore della cyber
security di paesi come la Francia, la Gran Bretagna, la Germania e gli Stati Uniti
paragonandoli all’Italia che, nel confronto, appare carente dal punto di vista di una chiara
direttiva operativa che la espone a rischi di attacchi cyber.
La parte più interessante dell’intero rapporto è sicuramente il risultato – presentato e
analizzato nel quarto capitolo – della ricerca sul campo effettuata dal Centro con un
questionario anonimo nelle pubbliche amministrazioni, nelle aziende di servizi, nelle
industrie e nel settore finanziario italiani.
Ne emerge un quadro di non piena consapevolezza, da parte di questi settori, di essere
obiettivi sensibili ad attacchi cyber che potrebbero causare notevoli perdite in termini
economici e tecnologici.
Nel poter definire meglio il quadro nazionale il Rapporto propone anche un indice di cyber
security readiness composto da quattro indicatori:
-
l’indice di consapevolezza,
-
l’indice delle politiche adottate,
-
l’indice delle capacità di difesa
-
l’indice di indipendenza dall’esterno.
121
I risultati mostrano come le aziende di servizi siano meglio preparate rispetto agli altri
settori mentre la Pubblica Amministrazione resta, purtroppo, il fanalino di coda.
Interessante è il quadro esposto da Carlo Purassanta Dirigente della Microsoft: ‘Ci sono
regole del gioco in Rete che vanno diffuse in Italia’
– Il processo di digitalizzazione porta un aumento compreso fra uno e due punti di PIL per
ogni 10% di persone in più che abbracciano il digitale. Si tratta di un’enorme opportunità
di crescita per il paese, ma oggi c’è il paradosso che il problema della privacy e della
sicurezza rischiano di inibire questo processo di digitalizzazione, che per svilupparsi ha
bisogno di livelli massimi di fiducia. Il merito dello studio realizzato dall’Università La
Sapienza con il DIS sta proprio nel parlare di questi temi e farli conoscere alla più vasta
platea possibile. E’ necessario usare la pedagogia, perché oggi molte persone che utilizzano
internet non sanno cosa vuol dire usare un servizio online. Ci sono delle regole del gioco in
Rete che bisogna conoscere per non correre rischi. Gli italiani devono imparare queste
regole e tenersi aggiornati. Per questo, il nostro sogno sarebbe quello di collaborare con il
Governo per portare in televisione la pubblicità progresso, per parlare di Internet e delle
regole del gioco digitale”.
Di fronte a questo quadro il quinto, e ultimo, capitolo offre una serie di raccomandazioni
per l’implementazione di una strategia nazionale di cyber security che tenga conto di tutte le
fasi del processo di gestione del rischio. Grazie a quanto contenuto nel Decreto del
Presidente del Consiglio dei Ministri dello scorso gennaio sulla sicurezza informatica,
l’Italia ha l’opportunità – non ripetibile – di guardare a queste migliori pratiche e di creare
una propria strada nell’ambito della normativa Europea che includa pubblico e privato
nell’interesse del sistema Paese. Tutto ciò allo scopo di assicurare ai cittadini un utilizzo di
Internet che garantisca, da una parte, un alto grado di protezione della privacy e, dall’altro,
la protezione cibernetica rispetto ad attacchi, sabotaggio e spionaggio informatici ai sistemi
informativi aziendali del made in Italy e di tutte quelle infrastrutture critiche che assicurano
lo sviluppo economico del Paese.Sul tema della cyberstrategy ci si soffermerà nel prossimo
paragrafo dove si farà una panoramica Internazionale comparandola alla attuale situazione
in Italia.
122
Un’altra importante dimensione della sicurezza del cyberspace che emerge dal rapporto del
CIS è che la cyber security, infatti, non è solo un’esigenza ma anche un’opportunità in
termini di capacità industriali e ricerca.
Per tutte queste ragioni il Sistema di intelligence nazionale non può non valorizzare il ruolo
dell’Università e dei think thank nazionali che operano attivamente in questi ambiti e si
pongono come un’eccellenza – non sempre adeguatamente conosciuta – a livello mondiale.
Nel progettare e implementare un’architettura tecnologico-normativa in grado di affrontare
il problema della sicurezza cibernetica e della protezione delle infrastrutture critiche del
Paese, la ricerca e la formazione continue rivestono un ruolo chiave, soprattutto a fronte
della continua evoluzione della minaccia cibernetica.
Questi aspetti sono parte integrante della missione dell’Università. Per tale ragione le
migliori pratiche di altri Paesi – Stati Uniti e Regno Unito in particolare – includono le
Università e i centri di ricerca nei loro progetti di sicurezza cibernetica, soprattutto quando
questi ultimi possono portare massa critica in termini di ricercatori e competenze
multidisciplinari.
5 I principi strategici delle politiche di cybersecurity
123
Come si può evincere dal grafico, allo stato attuale soltanto 29 dei 196 Stati generalmente
riconosciuti sovrani a livello internazionale hanno reso pubblica una propria cyber-strategy.
Il dato è aggiornato al 1 dicembre 2013.
Dall’analisi dei menzionati 29 documenti strategici in materia di cyber-security si
evidenziano 13 differenti pilastri strategici che si pongono a fondamento dell’approccio
strategico globale. Essi sono:
1. identificare e classificare le infrastrutture critiche da proteggere
2. stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
3. sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
4. focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà
di espressione
5. focus sul cyber-crime
6. trattare il cyber-spazio come dominio di warfare
7. creare apposite strutture politiche e decisionali per far fronte alla minaccia
124
8. sviluppare deterrenza per la prevenzione dei conflitti nel cyber-spazio
9. incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei
sistemi informatici
10. rafforzare la condivisione delle informazioni (anche tra pubblico e privato),
l’early warning e le capacità di incident response
11. aumentare la consapevolezza pubblica della minaccia e l’importanza della
cyber-security
12. creare e/o incrementare il numero delle figure professionali ad hoc
13. incoraggiare l’innovazione, la ricerca e lo sviluppo
Il primo elemento a carattere generale che emerge dall’analisi comparata delle cyberstrategy è certamente quello relativo al numero di Paesi europei con una strategia già
formalizzata – ben 15 degli attuali 28 Stati membri, ovverosia più della metà non solo a
livello europeo, ma anche rispetto al numero totale delle nazioni a livello internazionale.
Questo dato certamente rilevante – tra l’altro soltanto in minima parte influenzato dal dettato
della Cybersecurity Strategy of the European Union
260
, che stimola gli Stati membri a
dotarsi quanto prima di una propria strategia nazionale – porta a far riflettere sull’attenzione
e sul valore che da tempo il territorio europeo dà alla sicurezza informatica e delle
informazioni.
In linea più generale, invece, si può affermare che tutte le 15 cyber-strategy attualmente
formalizzate dai Paesi europei, più o meno apertamente, basano il loro pensiero strategico
principalmente sui seguenti elementi:
1. stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
2. sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
3. focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà
di espressione
260
Per approfondire, si veda European Commission, Joint communication to the European Parliament, the
Council, the European Economic and Social Committee and the Committee of the Regions – Cybersecurity
Strategy of the European Union: An Open, Safe and Secure Cyberspace, 2013, in
<http://www.eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf>;
125
4. focus sul cyber-crime
5. creare apposite strutture politiche e decisionali per far fronte alla minaccia
6. incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei
sistemi informatici
7. rafforzare la condivisione delle informazioni (anche tra pubblico e privato),
l’early warning e le capacità di incident response
8. aumentare la consapevolezza pubblica della minaccia e l’importanza della
cyber-security
9. creare e/o incrementare il numero delle figure professionali ad hoc
Contestualmente, sul piano internazionale, i tratti comuni individuabili all’interno delle 29
cyber-strategy finora rese pubbliche si delineano esclusivamente nei seguenti pilastri
strategici, ovvero:
1. sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
2. incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei
sistemi informatici
3. rafforzare la condivisione delle informazioni (anche tra pubblico e privato),
l’early warning e le capacità di incident response
Da ciò ben si comprende quanto il sentiero comune di approccio globale sia ancora
fortemente incardinato sulle attività diplomatiche e di partnership su più livelli, nonché sulla
parte prettamente tecnica/tecnologica della materia.
5.1 La situazione italiana
l’Italia non si è ancora dotata di una specifica cyber-strategy, nonostante alcune iniziative,
peraltro fondamentali, siano state già intraprese.
il governo italiano attraverso l’azione del comparto intelligence già da tempo aveva acceso
i riflettori su questo genere di minaccia, monitorandola con particolare attenzione sin dal
2009. Non è un caso, infatti, che già nel febbraio 2010 all’interno della Relazione sulla
politica dell’informazione per la sicurezza 2009 venisse posto in luce come “con riferimento
126
agli scenari di potenziale incidenza sulla sicurezza economica e sulla più generale
architettura di sistema che sorregge il concreto funzionamento, le attività quotidiane e i
programmi di sviluppo della Nazione, un fondamentale campo di sfida per l’intelligence sarà
quello della cybersecurity.
Ciò a cospetto di una minaccia che ha ormai assunto caratura strategica, tanto da essere
considerata dai principali attori internazionali un fattore di rischio di prima grandezza,
direttamente proporzionale al grado di sviluppo raggiunto dalle tecnologie dell’informazione
261
A questa prima analisi hanno fatto seguito – nelle Relazioni presentate al Parlamento negli
anni successivi – ulteriori riflessioni, che, in una evidente escalation, hanno valutato questa
minaccia dapprima come “di potenziale impatto sul sistema Paese e sulla stessa sicurezza
nazionale”262 nella Relazione del 2010, passando a considerarla “con prioritaria
attenzione”263 nella Relazione del 2011, fino a darne la qualificazione di “sfida più
impegnativa per il sistema Paese”264 nella Relazione dello scorso anno.
A quanto finora delineato, inoltre, deve essere affiancata la Relazione del COPASIR sulle
possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo spazio
cibernetico
265
che già nel luglio 2010 aveva efficacemente posto in evidenza alcuni principi
utili per far fronte alla minaccia derivante dal cyber-spazio e dall’utilizzo delle tecnologie.
261
Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza
inhttp://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/relazione2009.pdf>;
262
Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2010,
<http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/relazione-2010.pdf>;
263
Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2011,
<http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/relazione-2011.pdf>;
264
Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2012,
<http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/Relazione-2012.pdf>;
265
2009, 2010, p. 93,
2011, pagg. 30-32, in
2012, pagg. 65-70, in
2013, pagg. 37-47, in
Per approfondire, si veda Cyber minacce e sicurezza. La relazione del COPASIR sulle possibili implicazioni
e minacce per la sicurezza nazionale derivanti dallo spazio cibernetico, 2010, in
<http://www.parlamento.it/documenti/repository/commissioni/bicamerali/COMITATO%20SICUREZZA/Doc
_XXXIV_n_4.pdf>;
127
In particolare, ai fini della presente ricerca, si possono porre sinteticamente in risalto i
seguenti principi:

pianificazione strategica in materia di contrasto alla minaccia cibernetica

dotarsi di un impianto strategico – organizzativo che assicuri una leadership adeguata
e predisponga chiare linee politiche per il contrasto alle minacce e il coordinamento
tra gli attori interessati

mappatura e classificazione delle infrastrutture critiche per la sicurezza nazionale, sia
materiali che immateriali

predisporre un documento di sicurezza nazionale dedicato alla protezione delle
infrastrutture critiche materiali e immateriali

redigere in stretto coordinamento con gli interlocutori istituzionali e privati, a
cominciare dagli apparati di intelligence, le politiche strategiche di protezione,
resilienza e sicurezza cibernetica

sviluppare la collaborazione pubblico – privato per migliorare l’azione di
prevenzione e contrasto al cyber-crime e la cooperazione internazionale in ambito
bilaterale e multilaterale

predisporre piani di disaster recovery per i dati di valore strategico per la sicurezza
della Repubblica.
E’ solo con il Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013
contenente “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”che
si affronta formalmente il problema della cyber security.
Il principale scopo del Decreto, infatti, è quello di riorganizzare l’architettura istituzionale
nel settore della cyber-security, procedendo “secondo un percorso di graduale e progressiva
128
razionalizzazione di ruoli, strumenti e procedure” e puntando sull’integrazione delle
strutture e delle competenze già esistenti, anche al fine di ottimizzare e ridurre i costi
pubblici.
l’impostazione organizzativa dettata dal Decreto del Presidente del Consiglio dei Ministri
del 24 gennaio 2013, si orienta per un framework classico, di fatto già sperimentato in altre
nazioni, che vede in cima alla piramide decisionale il Presidente del Consiglio dei ministri e
i Ministri che compongono il Comitato per la sicurezza della Repubblica (CISR), a cui sono
demandati i compiti di indirizzo politico-strategico. A essi, infatti, spetta la definizione della
strategia nazionale di cyber-security (nel Decreto si parla di “quadro strategico nazionale per
la sicurezza dello spazio cibernetico” e di un “piano nazionale per la protezione cibernetica e
la sicurezza informatica nazionali”), nonché l’emanazione delle conseguenti direttive
d’indirizzo.
A supporto del Comitato interministeriale opera quello che nel Decreto viene definito
“organismo collegiale di coordinamento”, presieduto dal Direttore generale del Dipartimento
delle Informazioni per la Sicurezza (DIS). Dovrebbe trattarsi – il condizionale è d’obbligo
poiché la normativa che lo riguarda, il DPCM n. 2 del 26 ottobre 2012, è riservata
266
– del
“CISR tecnico”, composto, secondo quanto si evince dall’analisi congiunta delle più recenti
relazioni annuali del COPASIR e del Governo, dai dirigenti di vertice delle Amministrazioni
rappresentate nel CISR, cui, in occasione delle sedute sui temi della sicurezza cibernetica, si
aggiunge il Consigliere militare.
Al suddetto organismo è demandata sia l’attività istruttoria dei lavori del Comitato
interministeriale, che quella di supporto del CISR durante le fasi di controllo
dell’implementazione del “piano nazionale per la sicurezza del ciberspazio”, coordinando
altresì i rapporti tra amministrazioni e uffici competenti, nonché tra questi e i soggetti
pubblici e privati chiamati ad attuarlo.
Nel quadro istituzionale delineato dal Decreto del 24 gennaio 2013, inoltre, un ruolo
fondamentale è svolto dagli organismi di informazione per la sicurezza. Sia per quanto
concerne le due Agenzie, in particolar modo nella fase di raccolta ed elaborazione delle
266
Cfr., Decreto del Presidente del Consiglio dei Ministri n. 2 del 26 ottobre 2012, “Regolamento che
definisce l’ordinamento e l’organizzazione del Dipartimento delle informazioni per la sicurezza (DIS)” (ultima
consultazione 2013-12-05).
129
informazioni, che per quanto attiene al DIS, soprattutto nella fase di formulazione di analisi
strategiche, nelle attività di valutazione e previsione della minaccia derivante dal cyberspazio, nonché nella promozione e diffusione della “conoscenza e [de]la consapevolezza in
merito ai rischi […] e sulle misure necessarie a prevenirli”.
Proprio a supporto di quest’ultimo compito, il Decreto istituisce presso la Scuola di
formazione del Sistema di Intelligence un comitato scientifico – composto da esperti
provenienti dalla pubblica amministrazione, dal mondo accademico e dal settore privato –
con il compito di assistere l’organismo collegiale e il Nucleo per la sicurezza cibernetica.
A supporto del Capo del Governo per gli aspetti relativi alla prevenzione e
all’approntamento rispetto a situazioni di crisi, il Decreto istituisce anche il Nucleo per la
sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere militare e
da questi presieduto.
Il Nucleo, composto dai rappresentanti del DIS, dell’AISE e dell’AISI, del Ministero
dell’interno, del Ministero degli affari esteri, del Ministero della difesa, del Ministero dello
sviluppo economico, del Ministero dell’economia, del Dipartimento della protezione civile,
dell’Agenzia per l’Italia digitale, svolge principalmente una funzione di “bretella” tra i
diversi attori istituzionali che operano nel campo della cyber-security. In particolare, è
compito del Nucleo potenziare le attività di prevenzione, allertamento e approntamento in
caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa permanente
e costantemente attiva, nonché svolgere le opportune azioni di risposta e ripristino rispetto a
queste situazioni, provvedendo se del caso ad attivare anche il Tavolo interministeriale di
crisi cibernetica. Ciò può avvenire qualora un “evento cibernetico” (attacco, incidente,
furto/spionaggio) assuma “dimensioni, intensità o natura tali da incidere sulla sicurezza
nazionale” o non possa “essere fronteggiato dalle singole amministrazioni competenti in via
ordinaria”.
Per ultimo, occorre sottolineare anche il ruolo primario assunto dagli operatori privati
all’interno del processo istituzionale deputato alla tutela della sicurezza nazionale e alla
gestione delle crisi in conseguenza delle minacce derivanti dal cyber-spazio.
130
Infatti, in linea con la logica sottesa alla cyber-strategy europea, gli operatori che gestiscono
infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato
dall’operatività di sistemi informatici e telematici, da un lato devono comunicare ogni
significativa violazione della propria sicurezza o dell’integrità dei propri sistemi informatici
al Nucleo per la sicurezza cibernetica e, se richiesto, agli organismi di informazione per la
sicurezza, dall’altro devono adottare le misure di sicurezza e le best practice eventualmente
predisposte dall’organismo collegiale di coordinamento posto a supporto del CISR.
In conclusione, al fine di razionalizzare e schematizzare questo importante processo di
organizzazione, la seguente immagine esemplifica quando finora analizzato.
131
L’approccio strategico all’analisi e alla gestione delle minacce alla sicurezza nazionale
rappresenta il pilastro fondamentale sul quale edificare anche la protezione dai rischi
derivanti dal cyber-spazio, nonché la sicurezza informatica e delle informazioni del nostro
Paese.
Le linee guida strategico-operative dettate attraverso il DPCM del gennaio 2013 hanno
rappresentato il primo e fondamentale sforzo organizzativo del nostro Paese, al quale
occorre far seguire tuttavia – a stretto giro di tempo – il “quadro strategico nazionale per la
sicurezza dello spazio cibernetico” e il “piano nazionale per la protezione cibernetica e la
sicurezza informatica nazionali”.
I principi cardine estrapolabili dalle politiche di cyber-security, tanto in ambito
internazionale quanto europeo, pongono in netta evidenza un approccio comune sulle
principali questioni strategiche, in piena armonia logica con la globalità di questo dominio.
Incentrare su di essi anche il quadro strategico italiano, pertanto, rappresenta un elemento
chiave per l’efficienza e la coerenza delle nostre politiche di sicurezza per questo settore.
132
CONCLUSIONI FINALI
I problemi penalistici sollevati in questo tesi dimostrano che la disciplina sui cybercrime è il
punto di emersione di un confitto irrisolto tra la libertà di utilizzo dei dispositivi informatici
e delle reti telematiche, da un lato, e la tutela di interessi esterni minacciati dal loro abuso,
dall'altro. L'ordinamento giuridico non può ignorare il fatto che il libero uso dei computer e
di Internet consente lo sviluppo sociale ed economico di un Paese, con la conseguenza che le
sanzioni penali in tale settore dovrebbero essere circoscritte ai casi concretamente lesivi di
beni superiori.
Purtroppo il nostro legislatore si è spesso dimenticato di questa "domanda di libertà" nelle
leggi 547/1993 e 48/2008, introducendo o espandendo fattispecie incriminatrici la cui soglia
di punibilità è troppo avanzata, peraltro a tutela di interessi quasi sempre di natura
133
patrimoniale, ed omettendo addirittura cause di non punibilità o circostanze attenuanti
speciali per i fatti di lieve o di minima entità.
Siffatta severità legislativa è poco giustificabile, se non in base a un pregiudizio antico, per
cui la tecnologia informatica -ed Internet soprattutto- sarebbero mezzi "intrinsecamente
pericolosi", perché sfuggono al potere statale. Eppure, il diritto penale dell'informatica
dovrebbe perseguire finalità simmetricamente opposte: consentire l'utilizzo sicuro dei
medesimi strumenti, favorendo l'approccio preventivo e collaborativo con i soggetti che li
progettano, li distribuiscono e li gestiscono, piuttosto che quello della "penalizzazione a
tappeto".
Si evidenzia l'insufficiente grado di armonizzazione legislativa fra gli Stati membri su
aspetti fondamentali della materia, come la penalizzazione stessa dei fatti o il loro
trattamento sanzionatorio, estremamente diseguali da un Paese all'altro. Inoltre, le questioni
di ordine processuale sono innumerevoli: oltre alla difficoltosa individuazione dell'autore dei
reati informatici, si presentano seri dubbi sulla determinazione della giurisdizione
competente, sulla esecuzione del sequestro dei web server, sulla realizzazione di
intercettazioni online, sulle acquisizioni di prove digitali all'estero e così via.
Tutti questi interrogativi richiedono risposte rapide e certe, ma solo in alcuni casi è possibile
fornirle; mancando un quadro legislativo definito, tutto sta nella buona volontà delle autorità
nazionali coinvolte nella medesima indagine transnazionale.
La via da intraprendere è tracciata da numerose iniziative europee, le quali mettono in
risalto il costante aggiornamento delle analisi empiriche sui fenomeni criminosi e il
potenziamento dello scambio di conoscenze tra esperti dei vari Stati così da impedire con
adeguate barriere di protezione gli attacchi informatici e, se del caso, intervenire
tempestivamente con misure tecniche quando siano scoperti i primi segnali di violazioni
massicce. La strada dunque è segnata e resta solo da imboccarla, restituendo al diritto penale
la funzione residuale che gli appartiene.
134
BIBLIOGRAFIA
ALMA M. – PERRONI C., Rifessioni sull’attuazione delle norme a tutela dei sistemi
informatici, in Dir. Pen. Proc., 1997, n. 4, p. 504 ss.;
ATERNO S. Computer Forencis- e Indagini Digitali-Manuale Tecnico-Giuridico e casi
pratici, Autori: , Francesco Cajani, Gerardo Costabile, marco Mattiucci, Giuseppe
Mazzaraco Ed. Experta. 2011;
ATERNO S. La computer forensic tra teoria e prassi: elaborazioni dottrinali e strategie
rivista Ciberspazio e diritto – Cyberspace and Law – 2007, Mucchi (Bologna);
ATERNO S. - MAZZOTTA Il libro La perizia e la consulenza tecnica.Manuale teorico –
pratico Collana Le ragioni de l Diritto, per le edizioni Cedam, 2006;
ATERNO S. Sull’accesso abusivo a sistema informatico o telematico.-In Cassazione Penale,
2000,n.1 Giuffrè;
ATERNO S. Danneggiamento informatico così come modificato e introdotto dalla legge n.
48, Giuffrè,2009;
135
ATERNO S. Aspetti problematici dell’art. 615 quater, in Cassazione Penale, 2000,
p.872,Giuffrè;
ATERNO S. Le misure di sicurezza nel reato di accesso abusivo:l’agente deve averli
neutralizzati, Commento alla Sentenza della Cassazione sul reato di accesso abusivo, in
Diritto dell’Internet, 1, 2008, Ipsoa;
BUONO L., The global challenge of Cloud Computing and European Union Law, in EU
Crim,2010, fasc. 3, p. 117 ss.;
CAJANI F., Profili penali del phishing, in Cass. pen., 2007, fasc. 6, p. 2294;
CASEY E., Digital evidence and computer crime. Forensic science, computer and the
internet,Elsevier Academic Press, Second Edition, 2004;
CLIFFORD R. D. (editing), Cybercrime: the investigation, prosecution and defense of a
computerrelated crime, Carolina Academic Press, 2006;
CLOUGH J., Principles of cybercrime. Part I-II-III, Cambridge, 2010, p. 3-244;
COLOMBO E., La cooperazione internazionale nella prevenzione e lotta alla criminalità
informatica: dalla Convenzione di Budapest alle disposizioni nazionali, in Ciber. Dir., fasc.
3-4, p. 285 ss.;
COSTABILE G., Scena criminis, documento informatico e formazione della prova
penale,pubblicato il 16 giugno 2004 su http://www.altalex.com/index.php?idnot=7429;
COSTABILE G. Computer forensics e informatica investigativa alla luce della Legge n.48
del 2008, Ciberspazio e diritto 2010, Vol.11,n.3,pp.465-508;
CORASANITI G., CORRIAS LUCENTE G. (a cura di), Cybercrime, responsabilità degli
enti, prova digitale. Commento alla Legge 18 marzo 2008, n. 48, Padova, 2009;
CUOMO L., Misure di sicurezza ed accesso abusivo ad un sistema informatico o
telematico, in Cass. Pen., 2002, p. 1018 ss.;
DESTITO V., v. Reati informatici, in Dige. Disc. Pen. Eco., Aggiornam. V, 2010, p. 739
ss.;
FLOR R., Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del
reato e bene giuridico protetto, in Dir. Pen. Proc., 2008, n. 1, p. 106 ss.;
FRATTALLONE S., Phishing, fenomenologia e profili penali: dalla frode telematica al
cyberriciclaggio, su www.globaltrust.it
FROSINI V., La criminalità informatica, in Dir. Informatica, 1997, p. 487 ss.;
136
GENOVESE F. A., I reati a mezzo Internet e il radicamento della giurisdizione negli stati
azionali, in ILARDA G. – MARULLO G. (a cura di), Cybercrime: conferenza
internazionale. La onvenzione del Consiglio d’Europa sulla Criminalità Informatica,
Milano, 2004, p. 171 ss.;
LANZIERI M. La decisione-quadro UE del 2005 sugli attacchi informatici, tratto da "I reati
informatici",
Id.,
Milano,
2010
e
pubblicato
online
sul
sito
http://www.altalex.com/index.php? idnot=10897;
LUPARIA L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa (l. 18
marzo 2008, n. 48). Profili processuali, in Dir. Pen. Proc., 2008, n. 6, p. 717 ss.;
LUPARIA L. (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e
processuali nella Legge attuativa della Convenzione di Budapest (l. 18 marzo 2008, n. 48),
Milano, 2009;
LUSITANO D., In tema di accesso abusivo a sistemi informatici o telematici, in Giur. It.,
1998, p.1923 ss.;
MAIORANO N., Commento agli articoli 615 ter, 615 quater, 615 quinquies, in
PADOVANI T. (a cura di) Codice Penale, 2007, Milano, p. 3775 ss.;
MANTOVANI F., Diritto Penale. Parte speciale. Delitti contro la persona, Padova, 2008,
p. 498 ss.;
MANTOVANI M., Brevi note a proposito della nuova legge sulla criminalità informatica,
in ritica dir., 1994, n. 4, p. 12 ss.;
MOORE R., Cybercrime: investigating high-technology computer crime, LexisNexis
Publication, 2005;
MUCCIARELLI F., Commento agli artt. 1, 4, 9 e 10 della l. 547/1993, in Legisl. Pen.,
1996, p. 57 ss.;
PARODI C. - CALICE A., Responsabilità penali e Internet. Le ipotesi di responsabilità
penale nell'uso dell'informatica e della telematica, Milano, 2001;
PARODI C., Detenzione abusiva di codici d’accesso a sistemi e illecito impedimento di
comunicazioni informatiche, in Dir. Pen. Proc., 1998, p. 1149 ss.;
PECORELLA C., Diritto penale dell’informatica, Padova, 2006;
PICA G., La disciplina penale degli illeciti in materia di tecnologie informatiche e
telematiche, in Riv. Pen. Eco., 1995, p. 403 ss.;
PICA G., v. Reati informatici e telematici, in Dige. Disc. Pen. Eco., Aggiornam. I, 2000, p.
521 ss.;
137
PICOTTI L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni
giuridici tutelati, in PICOTTI L. (a cura di), Il diritto penale dell’informatica nell’epoca di
Internet, Padova,2004, p. 58 ss.;
PICOTTI L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa (l. 18 marzo
2008,n. 48). Profili di diritto penale sostanziale, in Dir. Pen. Proc., 2008, n. 6, p. 700 ss.;
SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione.
Profili di diritto penale e prospettive de jure condendo, in Ciber. Dir., 2008, n. 9, p. 329 ss.;
150
SARZANA DI S. IPPOLITO C., Informatica, Internet e diritto penale, Milano, III ed.,
2010;
SIEBER U., The international handbook for computer crime. Computer-Related Economic
Crime and the Infringements of Privacy, New York, 1986;
SIEBER U., Organised crime in Europe: the threat of cybercrime. Situation Report 2004,
Council of Europe Publishing, 2005, p. 81-240;
SMITH R. G., GRABOSKY P., URBAS G., Cyber criminals on trial, Cambridge, 2004;
GIURISPRUDENZA
Legittimità
Cass. Pen., sez. V, 10 dicembre 2009, n. 2987;
Cass. Pen., sez. V, 25 giugno 2009, n. 40078;
Cass. Pen., sez. V, 8 luglio 2008;
Cass. Pen., sez. II, 21 febbraio 2008, n. 36721;
Cass. Pen., sez. V, 4 dicembre 2006, n. 6459/2007, pubblicata su www.penale.it ;
Cass. Pen., sez. V, 14 settembre 2006;
Cass. Pen., sez. II, 4 maggio 2006, pubblicata su Dir. Pen. Proc., 2007, n. 3, p. 373;
Cass. Pen., sez. V, 19 maggio 2005, ric. Ricci;
Cass. Pen., sez. V, 17 dicembre 2004, pubblicata su Giur. It., 2006, p. 591;
Cass. Pen., sez. V, 16 aprile 2004;
138
Cass. Pen., sez. II, 14 aprile 2004, n. 17295;
Cass. Pen., sez. V, 27 gennaio 2004, n. 2672;
Cass. Pen., sez. V, 19 dicembre 2003, ric. Comità, pubblicata su Dir. Inform., 2003, p. 501;
Cass. Pen., sez. V, 24 novembre 2003, ric. Noto, pubblicata su Giur. It., 2004, p. 2363;
Cass. Pen., sez. V, 14 ottobre 2003, ric. Muscica, pubblicata su Cass. Pen., 2005, p. 1580;
Cass. Pen., sez. II, 18 luglio 2003, ric. Larné, pubblicata su Cass. Pen., 2004, p. 3754;
Cass. Pen., sez. II, 17 gennaio 2003, ric. De Alfieri, pubblicata su Riv. Pen., 2004, n. 3, p.
337;
Cass. Pen., sez. V, 29 maggio 2002, , pubblicata su Cass. Pen., 2003, p. 1899; 152
Cass. Pen., sez. V, 7 novembre 2000, ric. Zara;
Cass. Pen., sez. V, 16 giugno 2000, ric. Chiovaro;
Cass. Pen., Sez. Un., 9 ottobre 1999, ric. Campanelli, pubblicata su Giust. Pen., 1999, fasc.
III, p. 74 ss.;
Cass. Pen., sez. VI, 4 ottobre 1999, ric. Piersanti, pubblicata su Cass. Pen., 2000, p. 2990;
Cass. Pen., sez. VI, 4 ottobre 1999, ric. De Vecchis, pubblicata su Cass. Pen., 2001, p. 207;
Cass. Pen., sez. V, 2 luglio 1998, pubblicata su Cass. Pen., 2000, p. 870; 153
Cass. Pen. sez. VI, ud. 27 ottobre 2004 (dep. 30 novembre 2004), n. 46509
Cass. Pen,,sez. I penale, sentenza 27 maggio 2013(dep.27 settembre
2013),n.40303,pubblicata www.penale.it
139
140