DISPENSA IV I REATI COMMESSI SU INTERNET 1

S.Sbordoni "Web, Libertà e Diritto"©
DISPENSA IV
I REATI COMMESSI SU INTERNET
1. Internet e la nascita dei computer crimes – 2. La legislazione Europea in
materia di computer crime - 3. I reati informatici nell’ordinamento italiano – 4.
Le fattispecie criminose: 4.1. Art. 615 ter c.p.: accesso abusivo ad un sistema
informatico o telematico; 4.2. Art. 615 quater c.p.: detenzione e diffusione
abusiva di codici di accesso a sistemi informatici o telematici; 4.3. Art. 615
quinquies c.p.: diffusione di programmi diretti a danneggiare o interrompere
un sistema informatico; 4.4. Art. 617quater: intercettazione, impedimento o
interruzione illecita di comunicazioni informatiche o telematiche; 4.5. Art.
617quinquies c.p.: installazione di apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni informatiche o telematiche; 4.6. Art.
617sexies c.p.: falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche; 5. L’integrità dei sistemi informatici
e telematici: 5.1. Art. 635 bis c.p.: danneggiamento di sistemi informatici o
telematici; 5.2. Art. 392 c.p: esercizio arbitrario delle proprie ragioni con
violenza sulle cose; 5.3. Art. 420 c.p.: attentato a impianti di pubblica utilità 6. Il documento informatico e la sua rilevanza penale: 6.1. Art. 640 ter c.p.: la
frode informatica - 7. Ingiuria e diffamazione su Internet - 8. La legge n. 48
del 18.3.2008 di ratifica della Convenzione di Budapest sul Cybercrime - 9. La
legge n. 12 del 15 febbraio 2012: “Norme in materia di misure per il contrasto
ai fenomeni di criminalità informatica” - 10. La tutela dei nomi a dominio – 11.
Deep linking e framing
1. Internet e la nascita dei computer crimes
Lo sviluppo delle reti informatiche e telematiche hanno prodotto grandi cambiamenti
nelle dinamiche dei rapporti umani, non solo a livello tecnologico ma anche sul piano
sociale e culturale. Tale evoluzione, che ha portato, a giudizio di chi scrive, enormi
vantaggi sotto molteplici profili, quali ad esempio quello della comunicazione e
dell’informazione, ha inciso anche sul piano giuridico, come su ogni aspetto della
nostra società, ed ha creato un terreno fertile per la nascita di nuove forme di reato: i
cosiddetti computer crimes.
Con riferimento a tale tipologia di reati risultano di particolare interesse alcune
classificazioni; si possono, infatti distinguere i reati perpetrati per mezzo di sistemi
informatici e telematici dai reati realizzati contro i medesimi sistemi, non più intesi
come strumenti per compiere atti illeciti ma come oggetti materiali di questi ultimi;
ed ancora si può operare una distinzione tra i reati commessi su Internet (o reati
informatici - telematici propri) dai reati commessi mediante Internet (o reati
informatici - telematici impropri), con la precisazione che in quest’ultima categoria
rientra un insieme eterogeneo di reati comuni previsti dal codice penale e da alcune
S.Sbordoni "Web, Libertà e Diritto"©
leggi speciali.
2. La legislazione Europea in materia di Computer Crime
La continua evoluzione e il costante perfezionamento delle tecniche d’intrusione in
ambito informatico e telematico ha reso difficile la predisposizione di una
normativa giuridica organica e completa, atta a contrastare efficacemente
l’intera fenomenologia dei computer crimes, comparsi verso la fine dello scorso
millennio e poi dilagati a dismisura.
Risalgono a più di vent’anni fa i primi interventi del legislatore europeo volti a fornire
un impianto normativo per il contrasto dei reati informatici.
In particolare, il primo provvedimento in materia di criminalità informatica
viene emanato il 13 Settembre 1989 dal Comitato Direttore per i Problemi Criminali
(CDPC) del Consiglio d’Europa sotto forma di Recommendation No. R. (89)9 sulla
criminalità informatica (adottata dal Committee of Ministers il 18 Gennaio 1989);
una Raccomandazione che, pur avendo un valore di mero suggerimento a seguire le
prescrizioni ivi contenute1, costituisce un documento di notevole importanza ed
interesse in quanto elabora una doppia tipologia di crimine informatico: la
prima contenuta all’interno della cosiddetta “lista minima”, in cui vengono indicate
le condotte criminose che gli stati europei devono perseguire per via penale (tanto
che, come si dirà in seguito, nel 1993 l’Italia, con la legge n. 547 del 23 Dicembre
1993,
inserisce nuove fattispecie criminose all’interno del codice penale ed, in
particolare: la frode informatica, il falso informatico, l’accesso non autorizzato a
sistemi informatici, il sabotaggio informatico, il danneggiamento di dati e di
programmi informatici, l’intercettazione di dati non autorizzata, la riproduzione non
autorizzata di programmi protetti); la seconda tipologia, contemplata all’interno della
cosiddetta “lista facoltativa”, in cui vengono indicati una serie di comportamenti
illeciti meno gravi e meno pregiudizievoli rispetto a quelli contenuti nell’altra lista, per
i quali risultava, peraltro, altamente opportuna un’azione di contrasto da parte del
legislatore nazionale: l’alterazione non autorizzata di dati o programmi (in assenza di
danneggiamento), la divulgazione di informazioni legate al segreto industriale o
commerciale (fattispecie riconducibile allo spionaggio informatico), l’utilizzazione non
autorizzata di un elaboratore elettronico o di un programma informatico protetto.
1
Nel diritto comunitario la raccomandazione costituisce un atto non vincolante normalmente diretto agli Stati membri e
contenente l'invito a conformarsi ad un certo comportamento. Si tratta dunque di un provvedimento che non ha valore
prescrittivo o normativo e che, come tale, in base al Trattato non deve essere obbligatoriamente pubblicato sulla
Gazzetta Ufficiale
2
S.Sbordoni "Web, Libertà e Diritto"©
In seguito, viene emanata la Recommendation No. R.(95)13, approvata l’11
Settembre 1995, riguardante le procedure da seguire a vari livelli nei casi di crimini
commessi nell’ambito dell’Information Technology (IT).
Nel documento viene espressa la preoccupazione
in ordine al rischio che i
sistemi elettronici di informazione possano essere usati per commettere dei
reati nonché in ordine alla mancata previsione, nell’ambito degli ordinamenti
giuridici degli Stati membri, di poteri appropriati e tali da favorire la raccolta di
prove nel corso delle investigazioni. Su quest’ultimo aspetto, in particolare, la
Raccomandazione afferma l’importanza dell’adozione di un idoneo apparato normativo
che consenta alle autorità investigative di avvalersi di tutte le misure tecniche
necessarie per rendere possibile la raccolta del traffico di dati nell’investigazione di
gravi offese alla riservatezza, all’integrità e alla sicurezza delle comunicazioni
telematiche ed informatiche.
Inoltre, la Raccomandazione suggerisce la predisposizione di specifici obblighi per i
service providers e, in particolare, quello di fornire le misure tecniche necessarie a
permettere l’intercettazione delle telecomunicazioni e l’identificazione degli utenti da
parte delle competenti autorità investigative.
E ancora, nel documento viene espresso il principio secondo cui le disposizioni di legge
di carattere procedurale, inerenti il valore probatorio dei documenti tradizionali
devono essere applicate ai dati ed alle informazioni contenute negli elaboratori
informatici.
Nel 1997 viene creato, nell’ambito del Consiglio d’Europa, il Comitato di esperti
sulla Criminalità nel Ciberspazio (PC-CY: Committee of Experts on Crime in
Cyberspace) cui viene affidato l’incarico di redigere una bozza di convenzione
internazionale per combattere e reprimere la criminalità all’interno dello spazio
informatico, in modo da facilitare la cooperazione internazionale nelle investigazioni ed
un’efficace persecuzione dei computer crimes da parte degli Stati membri.
Dopo
qualche
anno,
il
23
Novembre
2001,
viene
varata
a
Budapest la
Convenzione sulla Criminalità Informatica (Convention on Cybercrime), il primo
importante strumento giuridico destinato ad affrontare le problematiche derivanti
dall’espansione delle attività criminali compiute mediante i computer networks.
3
S.Sbordoni "Web, Libertà e Diritto"©
La Convenzione prevede l’adozione, in ambito nazionale, di misure normative ad
hoc di diritto penale, da prevedersi nell’ottica dello sviluppo di una politica comune
finalizzata alla protezione delle società dei vari Stati dai crimini informatici nonché
nell’ottica di una maggiore cooperazione internazionale.
Con la Convenzione in esame (ratificata dall’Italia il 27 febbraio 2008) viene per la
prima volta istituzionalizza una classificazione giuridica globalmente valida dei
possibili reati informatici ed è predisposta una definizione inerente ai differenti
dispositivi elettronici.
L’articolo 1 della Convenzione definisce i concetti di: computer system e
computer data, ulteriormente specificati nell’Explanatory Report allegato alla
Convenzione.
Per computer system si intende un dispositivo o un gruppo di dispositivi connessi tra
loro che eseguono un processo automatico di dati; si fa cioè riferimento alle parti
hardware e software, a facilities di input ed output, al Central Processing Unit (CPU) e
periferiche, al computer program inteso come una serie di istruzioni eseguite dal
computer per il raggiungimento di obiettivi prestabiliti.
Con
il
termine
computer
data
si
fa,
invece,
riferimento
a
tutte
quelle
rappresentazioni di informazioni o concetti in una forma adatta al funzionamento di un
computer system.
Gli articoli 2,3,4,5 e 6 contengono una classificazione dei reati, distinti in:
“illegal access” (accesso illegale all’intero computer system o ad una parte di esso,
con
violazione
delle
misure
di
sicurezza,
al
fine
di
ottenere
dati),
“illegal
interception” (intercettazione di computer data da o verso un computer system),
“data interference” (danneggiamento, detenzione, deterioramento, alterazione e
soppressione di dati), “system interference” (grave intralcio senza diritto al
funzionamento di un computer system per mezzo di trasmissione, danneggiamento,
eliminazione, deterioramento, alterazione o soppressione di computer data), “misuse
of device” (produzione, vendita e distribuzione di dispostivi, anche nella forma di
programmi informatici, creati per commettere i reati rientranti nelle precedenti
categorie; creazione di password e codici di accesso tali da permettere l’intrusione in
un intero computer system o in una parte del medesimo). Gli art. 7 e 8 definiscono i
“computer-related forgery”, ossia la contraffazione e falsificazione di dati, spacciati
per autentici con l’intento di usarli a fini illegali, nonchè i “computer-related fraud”
4
S.Sbordoni "Web, Libertà e Diritto"©
ovvero la soppressione, alterazione e detenzione di computer data con intenti
fraudolenti atti a creare un beneficio, anche economico, a vantaggio del reo.
Con riferimento ai computer crimes un ruolo importante è stato altresì svolto dalla
Commissione Europea che, attraverso una serie di provvedimenti, è riuscita a
monitorare e a dare un’efficace risposta alle problematiche conseguenti lo sviluppo
telematico ed informatico nonché derivanti dal dilagare dei reati informatici.
In particolare, nel gennaio del 2001 la Commissione ha presentato al Consiglio, al
Parlamento Europeo e al Comitato economico e sociale, una Comunicazione
intitolata “Creare una Società dell’Informazione più sicura incrementando la
Sicurezza delle Infrastrutture dell’Informazione e mediante la lotta alla
Criminalità Informatica” nella quale, tra le molte questioni trattate, sono affrontate
problematiche inerenti specifici computer crimes, fra i quali
i crimini economici,
l’acceso non autorizzato ed il sabotaggio.
Ed è proprio sulla base di tale documento che molti paesi hanno definito, mediante
apposita normativa, nuovi tipi di reati: l’hacking, la distribuzione di virus, lo
spionaggio elettronico, la contraffazione (forgery) e la frode (fraud) informatica.
La Convenzione fa poi un esplicito riferimento a casi concreti di attacchi come
quello costituito dal Denial of Service (negazione del servizio), consistente in un
attacco portato a termine attraverso un sovraccarico di false richieste ad un sistema
erogatore di un sevizio, come un sito web o un server, tale da portarlo ad una
condizione di instabilità; ed ancora, quello del virus chiamato LoveBug, un worm
diffuso via e-mail e divenuto famoso in quegli anni per avere istigato le persone ad
aprire allegati intitolati “ I Love You”.
Sempre del 2001 è inoltre la Comunicazione intitolata “Sicurezza delle reti e
sicurezza dell’informazione: proposta di un approccio strategico europeo”.
La Comunicazione esordisce rilevando: “La sicurezza sta diventando un tema di
assoluta priorità perché le comunicazioni e le informazioni sono ormai fattori
determinanti dello sviluppo economico e sociale. Le reti e i sistemi di informazione
veicolano un volume e una pluralità di servizi e dati ancora inconcepibili fino a pochi
anni fa. La loro disponibilità è essenziale per altre infrastrutture quali la rete idrica e la
rete
elettrica.
Poiché
amministrazione,
tutti,
desiderano
dall'impresa
avvalersi
al
delle
cittadino
privato,
alla
possibilità
offerte
dalle
pubblica
reti
di
comunicazione, la sicurezza di tali sistemi diventa un presupposto essenziale per
ulteriori progressi”.
5
S.Sbordoni "Web, Libertà e Diritto"©
Inoltre la Commissione evidenzia come le misure strategiche proposte in materia di
sicurezza delle reti e dell'informazione debbano essere considerate nel contesto
delle politiche delle telecomunicazioni, della protezione dei dati e della criminalità
informatica; ed ancora come la sicurezza delle reti e dell'informazione vada
intesa come la capacità di una rete o di un sistema d'informazione di resistere, ad un
determinato livello di riservatezza, ad eventi imprevisti ovvero ad atti dolosi che
compromettono la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati
conservati o trasmessi e dei servizi forniti o accessibili tramite la suddetta rete o
sistema.
Vengono così individuate alcune categorie nelle quali possono essere raggruppati
gli incidenti per la sicurezza e al riguardo si rileva che:
•
le comunicazioni elettroniche possono essere intercettate ed i dati possono
essere copiati ovvero alterati; in questi casi il danno può configurarsi come
violazione del diritto alla vita privata di una persona oppure come uso
indebito dei dati intercettati;
•
l'accesso non autorizzato ad un computer o ad una rete informatica è
generalmente
motivato
dall'intento
doloso
di
copiare,
modificare
o
distruggere i dati;
•
gli attacchi tesi a paralizzare Internet sono piuttosto frequenti ed in futuro
anche la rete telefonica sarà più vulnerabile;
•
i software
"maligni" come
i virus possono
disattivare un computer,
cancellarne o modificarne i dati, con conseguenti danni gravi e costosi;
•
anche l'usurpazione dell'identità di una persona fisica o di un organismo può
causare ingenti danni;
•
molti incidenti sono dovuti ad eventi imprevisti ed involontari quali le catastrofi
naturali (inondazioni, tempeste, terremoti), i guasti di hardware e software e gli
errori umani.
A fronte del panorama descritto la Commissione individua quindi delle misure da
adottare con assoluta priorità e in particolare:
•
la sensibilizzazione ossia il lancio di una campagna di informazione e di
educazione del pubblico e promuovere le migliori pratiche del settore;
•
un sistema europeo di segnalazione ed informazione con conseguente
rafforzamento da parte degli Stati membri dei propri organismi di intervento in
caso di emergenza informatica (i CERT) e coordinamento delle attività dei
medesimi;
6
S.Sbordoni "Web, Libertà e Diritto"©
•
il sostegno tecnologico inteso come sostegno alle attività di ricerca e sviluppo
in materia di sicurezza;
•
il sostegno alla normalizzazione ed alla certificazione secondo una logica
di mercato (la Commissione invita gli organismi europei di normalizzazione ad
accelerare i lavori in materia di interoperabilità; inoltre, ribadisce il pieno
appoggio della firma elettronica e dello sviluppo dei protocolli IPv6 e IPSec; ed
ancora, la propria attenzione sulla necessità di un intervento normativo in
materia di reciproco riconoscimento dei certificati, con invito rivolto agli Stati
membri a riesaminare le rispettive normative in materia di sicurezza);
•
l’intervento normativo con la precisazione dell’intenzione di elaborare un
inventario delle misure nazionali adottate conformemente al pertinente
diritto comunitario nonché dell’intenzione di presentare una proposta
legislativa in materia di criminalità informatica;
•
il rafforzamento della sicurezza nella pubblica amministrazione degli
Stati
membri
riferito,
in
particolare,
alle
attività
di
e-government
(amministrazione online) e e-procurement (appalti pubblici online); fermo
l’invito rivolto agli Stati dell’Unione ad avvalersi delle tecnologie di firma
elettronica
nell’offerta
di
servizi
al
pubblico
nonché
l’impegno
della
Commissione a rafforzare le specifiche di sicurezza dei propri sistemi di
informazione e di comunicazione;
•
la
cooperazione
internazionale
con
impegno
della
Commissione
ad
intensificare il dialogo con i partner e gli organismi internazionali in materia di
sicurezza delle reti e dell'informazione.
Su tali basi, la Commissione nel 2001 richiede un esame delle azioni proposte da
parte degli Stati membri e del Parlamento europeo nonché l’avvio di una discussione
approfondita con l'industria e gli utenti in merito alle modalità pratiche di attuazione
delle medesime.
Un altro documento fondamentale emanato in ambito europeo è la Decisione
Quadro 2005/222/GAI, del 24 febbraio 2005, il cui obiettivo principale è quello
di ravvicinare le legislazioni penali nazionali degli Stati membri riguardanti gli attacchi
contro i sistemi di informazione.
In ordine ai reati informatici, la Decisione partendo dalla constatazione in ordine
all’aumento degli attacchi ai sistemi d’informazione da parte della criminalità
organizzata, manifesta la preoccupazione per la possibilità di attacchi terroristici
contro i medesimi sistemi, da considerarsi parte integrante dell’infrastruttura critica di
ogni Stato membro.
7
S.Sbordoni "Web, Libertà e Diritto"©
Il documento fa esclusivamente riferimento agli attacchi informatici senza prendere in
considerazione l’intera e più vasta categoria dei reati commessi attraverso le
tecnologie informatiche.
L’art. 1 definisce le nozioni di sistema di informazione e di dato informatico
sulla scorta di quanto precisato dalla Convenzione del 2001 in ordine ai termini
computer system e computer data.
I reati puniti in applicazione alla decisione quadro sono: l’accesso illecito a sistemi di
informazione (art.2); l’attentato all’integrità di un sistema inteso come l’atto di
provocare
intenzionalmente
funzionamento
di
un
una
sistema
perturbazione
di
grave
informazione
o
un'interruzione
introducendo,
del
trasmettendo,
danneggiando, cancellando, deteriorando, modificando, sopprimendo o rendendo
inaccessibili dati informatici (art.3); l’attentato all’integrità dei dati (art.4).
Inoltre,
la
decisione
quadro
individua
come
fattispecie
criminose
anche
l’istigazione, il favoreggiamento nonché la complicità e tentativo riferiti ai crimini di cui
agli artt. da 1 a 4 citati.
Infine, l’art.9 detta le sanzioni applicabili alle persone giuridiche colpevoli di
reato informatico, che, per espressa previsione della Decisione Quadro, devono
essere effettive, proporzionate e dissuasive.
Il 22 maggio 2007 la Commissione europea, sulla scorta di tutti i principi e
provvedimenti emanati in precedenza, vara la “Comunicazione verso una politica
generale di lotta contro la cibercriminalità”.
Nel documento viene in primo luogo definita la cibercriminalità come insieme degli
“atti criminali commessi contro reti di comunicazioni elettroniche e sistemi di
informazione o avvalendosi di tali reti e sistemi”.
Vengono poi individuate tre categorie di reati nel settore de quo:
1. l’insieme dei reati tradizionali attraverso le reti elettroniche, come la frode
e la falsificazione, il phishing, il furto di identità, e lo spam, già in precedenza
specificamente analizzati dalla Comunicazione della Commissione sulla lotta
contro le comunicazioni commerciali indesiderate (spam), i programmi spia
(spyware) e i software maligni del 15 Novembre 2006, che documentava come
lo spam costituisse tra il 50 e l’80% dei messaggi totali indirizzati agli
utilizzatori finali, contro il 7% del 2001);
2. la
pubblicazione
sul
web
di
contenuti
pedopornografico o di incitamento al razzismo;
8
illegali
come
materiale
S.Sbordoni "Web, Libertà e Diritto"©
3. i reati propri delle reti elettroniche, ovvero quelli contro i sistemi di
informazione, il denial of service e la pirateria.
La Comunicazione evidenzia la dimensione transnazionale della cibercriminalità
e la rilevazione di attacchi sistematici, coordinati e su larga scala contro le
infrastrutture critiche di informazione degli Stati, rilevando come tutto ciò
determini un aumento della portata del problema ed imponga una maggiore
cooperazione politica e giuridica tra le autorità competenti a livello dell’Unione
europea (primo obiettivo) nonché l’elaborazione di un quadro politico comune con i
paesi terzi a livello internazionale (secondo obiettivo della Comunicazione).
Profilo, quest’ultimo, molto importante posto che le reti informatiche sono reti globali,
e, pertanto, un’efficace politica di contrasto alla cibercriminalità non può essere
limitata alla UE ma deve essere attuata anche a livello extracomunitario, tenuto conto,
fra l’altro, che molti attacchi provengono da Paesi estranei alla UE ed alla sua
giurisdizione.
In tal senso la Commissione europea sottolinea la sua partecipazione attiva nelle
strutture di cooperazione internazionali come il G8 Gruppo di Lione (“Senior Level
Group on Transnational Organised Crime”) sulla lotta alla criminalità ad alta
tecnologia, nato a metà degli anni Novanta e comprensivo di un sottogruppo
denominato High-Tech Crime composto da esperti giuridici e tecnici nel settore delle
reti informatiche e telematiche internazionali degli Stati membri, avente lo scopo di
individuare soluzioni giuridiche come risposta internazionale ai crimini informatici.
Con il Trattato di Libsona, entrato in vigore il 1 dicembre del 2009, il Parlamento
Europeo acquisisce un’efficace e celere capacità d’azione nei confronti dei reati
informatici (e non) in quanto viene prevista la possibilità di interventi normativi
adottati dalla maggioranza degli Stati membri in accordo col Parlamento, senza
necessità di approvazione unanime dei medesimi da parte del Consiglio dei Ministri
europeo, così da rendere l’iter legislativo più snello.
Tale risultato assume una notevole importanza a fronte dei fondati timori della
Commissione Europea in ordine all’estensione in ambito UE di fenomeni come quelli
verificatisi negli Stati Uniti a partire dal 2010: anno in cui, a seguito del processo a
“The Pirate Bay” (voltosi, peraltro, in Europa) iniziano le proteste e gli attacchi
informatici contro alcune associazioni di categoria statunitensi che si occupano della
tutela dei diritti d’autore (tra le quali, MPAA e RIAA) nonché alle autorità competenti in
9
S.Sbordoni "Web, Libertà e Diritto"©
materia di proprietà intellettuale, attacchi realizzati attraverso il portale 4chan,
mediante DDoS o denial of service2.
Sempre dell’Unione Europea è un disegno di legge sulla neutralità della rete,
presentato all’ONU (ed in particolare all’ITU), con l’obiettivo di trasformare
internet in
un
luogo
extraterritoriale
come
lo
spazio
o,
l’Antartide,
per
assicurarne, da un lato, il libero accesso e, dall’altro, la difesa. Inoltre, la proposta di
legge contempla l’autorizzazione ai governi a forme di censura della libertà
d’opinione a fronte di contenuti che risultino di appoggio al terrorismo oppure alla
commissione di reati informatici.
In particolare la Commissione Europea, preoccupata che la tutela di livello nazionale
non sia sufficiente a difendere privati e istituzioni, propone di introdurre una
normativa che preveda il trasferimento alla Corte di Giustizia dei processi per reati
informatici associabili all’uso delle botnet (una botnet è una rete formata da computer
collegati a Internet e infettati da malware, controllata da un'unica entità, il botmaster;
a causa di falle nella sicurezza o per mancanza di attenzione da parte dell'utente e
dell'amministratore di sistema, i computer vengono infettati da virus informatici o
trojan i quali consentono ai loro creatori di controllare il sistema da remoto; i
controllori della botnet possono in questo modo sfruttare i sistemi compromessi per
scagliare attacchi distribuiti del tipo distributed denial of service
- DDoS - contro
qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi
agendo
persino
su
commissione
di
organizzazioni
criminali;
i
computer
che
compongono la botnet sono chiamati bot, da roBOT, o zombie), così da trasformare
tali crimini informatici da reati nazionali a reati internazionali (con conseguente
aggravamento della loro portata).
La proposta prevede inoltre una condanna fino a 5 anni di reclusione nel caso in cui un
soggetto si presti a fare da “nodo” a una cosiddetta “botte”, posto che tra le condotte
criminose è previsto l’aver “istigato, aiutato, favorito oppure tentato” un attacco3.
Nel mese di marzo del 2012 la Commissione Europea presenta al Consiglio e al
Parlamento Europeo una Comunicazione (Comunicazione del 28.3.2012) intitolata
“Lotta alla criminalità nell'era digitale: istituzione di un Centro europeo per la
2
Con l’espressione Denial of service (in italiano: “negazione del servizio”) si intende un attacco informatico in cui si
cerca di portare il funzionamento di un sistema informatico, che fornisce un servizio (ad esempio un sito web) al limite
delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio
3
Si deve comunque evidenziare che con riferimento a tali tipi di reato sorgono alcune rilevanti problematiche come
quelle legate alla circostanza che i terminali da cui provengono le richieste possono essere coinvolti anche
inconsapevolmente nell’attacco in assenza di un’adeguata protezione del sistema.
10
S.Sbordoni "Web, Libertà e Diritto"©
lotta alla criminalità informatica” al fine di rafforzare l’azione di contrasto dei reati
informatici nonché istituire un Centro per la lotta alla criminalità informatica a tutela
dei cittadini e delle imprese europee.
Iniziativa resa indispensabile dal continuo aumento dei computer crimes e dalle
sempre più sofisticate tecniche di aggressione informatica4, che non risparmiano
niente e nessuno, e si concretizzano in carte di credito clonate (vendute, fra l’altro,
proprio su Internet), crimini commessi nell’ambito dell’online banking (emblematico il
caso della Germania, ove si è passati da circa duemila casi nel 2008 ad oltre
cinquemila casi nel 2010, con un incremento del 207 % e perdite nette stimabili in 66
milioni di euro; ed ancora, nel Regno Unito, i casi di accesso abusivo al conto bancario
sono parimenti aumentati del 207% tra il 2008 e il 2009), spaccio di dati personali,
furto d’identità, diffusione di virus e troian (che solo nell’anno 2009 risultavano avere
infettato oltre sei milioni e settecentomila computer), accessi abusivi agli account
presenti sui social network (a titolo esemplificativo, ogni giorno vengono chiusi dai
250.000 ai 600.000 account Facebook a causa di illeciti tentativi di accesso).
In tale contesto l’Unione europea presenta quindi il nuovo Centro per la lotta alla
criminalità informatica, destinato a divenire il punto di riferimento europeo per la
lotta contro reati come quelli in precedenza descritti nonché contro crimini quali: lo
sfruttamento sessuale dei minori online o l’attacco informatico nei confronti delle
infrastrutture nevralgiche e dei sistemi d’informazione dell’Unione5.
4
Sul punto si richiama l’articolo del 29 gennaio 2013 pubblicato su WIRED da Martina Pennisi intitolato “Gli attacchi
informatici si sono fatti più intelligenti. Siti di ecommerce e gioco online sotto scacco: i cyberattacchi sono sempre più
sofisticati, rivela il rapporto di Arbor Networks”. Nell’articolo si richiamano le dichiarazioni rilasciate a Wired.it da
Darren Anstee, solution architect team lead di Arbor Networks (società che fornisce soluzioni per la sicurezza e la
gestione delle reti), rese alla vigilia della presentazione del Worldwide Infrastructure Security Report annuale della
società; dichiarazioni con le quali si evidenzia come “Il 2012 sia stato l'anno degli attacchi intelligenti" e come la
questione sia di urgente attualità. Al riguardo Darren Anstee riporta la preoccupazione dei service provider chiamati in
causa per le offese Advance Persistent Threat: azioni mirate ed evolute atte a individuare un canale da cui sottrarre i
dati; ed ancora sottolinea come gli stessi attacchi DDoS, anche se stabilizzati dal punto di vista della consistenza (il più
ampio – rileva Anstee - è stato di 60 Gbps a fronte dei 65 Gbps del 2011), siano diventati più sofisticati: " Nel 2011 il
27% degli intervistati ha fatto riferimento ad attacchi multivettoriali, nel 2012 la percentuale è salita al 45,8%. Si tratta
di una crescita sostanziale: gli aggressori sono coscienti del fatto che questa modalità ha maggiore probabilità di
raggiungere l'obiettivo ed è necessario difendersi su più livelli". Anstee richiama inoltre gli attacchi effettuati per
mettere in difficoltà società rivali così come quelli volti a mascherare altre attività informatiche illecite e rileva come
nel mirino DDoS finiscano soprattutto i fornitori di e-commerce e le piattaforme di gioco online.
5
Al riguardo il Commissario per gli Affari interni ha rilevato: “Milioni di cittadini europei utilizzano Internet per
usufruire dei servizi di e-banking, acquistare online, programmare una vacanza o rimanere in contatto con familiari e
amici attraverso i social network. Non possiamo consentire ai criminali informatici di interferire nel nostro uso
quotidiano delle tecnologie digitali”; evidenziando altresì che il Centro diventerà un nodo di cooperazione per la difesa
di uno spazio virtuale libero, aperto e sicuro.
11
S.Sbordoni "Web, Libertà e Diritto"©
L’idea è quella di attribuire al
Centro il compito di dare l'allarme ai paesi
dell'Unione in caso di grave minaccia e segnalare eventuali carenze nelle
difese online degli Stati membri; ed ancora, il compito di identificare le reti
criminali e gli autori di reati gravi, di fornire sostegno alle indagini sugli
attacchi informatici e di segnalare ai Paesi dell’Unione gli attacchi avvenuti in
un determinato Stato membro, in modo da mettere in relazione i casi analoghi,
creare un’allerta rendere più agevole l’adozione delle misure necessarie6.
La Comunicazione prevede, inoltre, la possibilità per il Centro di acquisire
informazioni utili per la propria attività da organismi pubblici, industria, forze
di polizia ed istituti accademici, anche al fine di fornire un'attività di supporto,
informazioni e chiarimenti tecnici e scientifici in favore di inquirenti, pubblici ministeri
e magistrati dei Paesi UE.
Il Centro dovrebbe fare parte di Europol (Ufficio europeo di polizia) e avere sede
all’Aja, nei Paesi Bassi.
Peraltro, la Commissione rileva che prima che il Centro diventi pienamente operativo
“si dovranno tuttavia valutare ulteriormente le implicazioni in termini di risorse e
provvedere al riguardo. Dell'istituzione del centro si terrà opportunamente conto
nell'imminente revisione della base giuridica di Europol” (ma in proposito va rilevato
che i precedenti giustificano dei timori posto che organi preposti ai controlli europei
quali Olaf ed Eurojust, sottoposti anch’essi ad Europol, sono affetti da una carenza di
risorse e personale cronica, problema che si affianca alla carenza di idonee tecnologie
atte a monitorare e contrastare i reati informatici, specie in alcuni degli Stati
dell’Unione).
Sempre con riferimento agli interventi in materia di reati informatici, operati in ambito
europeo, si segnala il parere del GEPD - Garante europeo della protezione dei dati,
(pubblicato in versione sintetica sulla Gazzetta ufficiale dell’Unione europea del
6.11.2012), nel quale si rileva che, fermo il riconoscimento della lotta alla criminalità
informatica come “un elemento fondamentale per il rafforzamento della sicurezza nello
spazio digitale e per la creazione della fiducia necessaria...il rispetto dei regimi di
6
In ordine all’azione di contrasto dei crimini informatici, la proposta della Commissione europea va a colpire anche il
comportamento di coloro che producono o vendono dispositivi e/o programmi destinati ad effettuare attacchi
informatici o a trovare la password di accesso ad un computer. Aspetto che ha destato non poche critiche in ordine a tale
disposizione, specie con riferimento alla questione dei cosiddetti “tool”; critiche basate sulla considerazione che molti
“tool” normalmente utilizzati per compiere attacchi sono programmi del tutti legittimi, per lo più utilizzati per scopi
leciti quali la verifica della sicurezza di una rete e/o la diagnostica di problemi; ed anzi, in taluni casi, si tratta cioè di
strumenti necessari a soggetti come i programmatori o amministratori di reti, sia per la diagnostica dei problemi sia per
le verifiche di sicurezza, nonché utilizzati dalla polizia postale e dagli informatici forensi per svolgere le loro indagini.
12
S.Sbordoni "Web, Libertà e Diritto"©
protezione dei dati deve essere ritenuto parte integrante della lotta alla criminalità
informatica e non un deterrente alla sua efficacia”.
Inoltre, il Garante, proprio con riferimento alla previsione del nuovo Centro europeo
per la lotta alla criminalità informatica all’interno di Europol, evidenzia come un
organismo simile esista già da diversi anni all’interno di Europol e, sotto tale profilo,
richiede che siano precisate più chiaramente le nuove funzioni e attività del Centro
(denominato anche EC3) rispetto a quello attualmente esistente.
In quest’ottica il GEPD raccomanda di definire con chiarezza le competenze dell’EC3
anziché fare genericamente riferimento al concetto di criminalità informatica incluso
nell’attuale legislazione di Europol.
Inoltre, secondo il Garante europeo, la definizione delle competenze e delle strategie
di salvaguardia per la protezione dei dati dovrà fare parte della revisione della
legislazione Europol e, sino a che tale legislazione non diverrà applicabile, occorrerà
che la Commissione enunci le competenze e le strategie di salvaguardia per la
protezione dei dati nel mandato del centro.
Tra queste, rileva il GEPD, potrebbero figurare: “una definizione chiara dei compiti
relativi al trattamento dei dati (in particolare indagini e attività di sostegno operativo)
che potrebbe svolgere il personale del centro, da solo o in collaborazione con squadre
investigative comuni” e “procedure chiare che da una parte garantiscano il rispetto dei
diritti individuali (compreso il diritto alla protezione dei dati) e dall’altra forniscano
garanzie che gli elementi di prova sono stati acquisiti legalmente e possono essere
utilizzati dinanzi a un tribunale”.
Infine il GEPD rileva come “gli scambi di dati personali dell’EC3 con il maggior numero
possibile di fonti pubbliche, private o accessibili al pubblico implichino rischi specifici
per la protezione dei dati poiché spesso comporteranno il trattamento di dati raccolti
per fini commerciali e trasferimenti internazionali di dati”.
Ciò posto, afferma il Garante europeo, “questi rischi vengono affrontati dall’attuale
decisione Europol, la quale stabilisce che in generale, Europol non debba scambiare
dati direttamente con il settore privato e ... possa farlo con determinate organizzazioni
solo in circostanze molto specifiche”.
13
S.Sbordoni "Web, Libertà e Diritto"©
3. I reati informatici nell’ordinamento italiano
Sino
al
1933
l’ordinamento
giuridico
italiano
non
contempla
alcuna
disposizione specifica in materia di reati informatici.
Su impulso di una disposizione comunitaria (R[9]89), con la legge n. 547 del 1993
vengono introdotte le prime fattispecie criminose per rispondere all’esigenza di
tutela giuridica a fronte dell’intervenuta rivoluzione telematica e delle connesse forme
di aggressione informatica, e per adeguare il sistema normativo a quello di altri
ordinamenti stranieri (anche a fini della cooperazione internazionale); sono così
introdotti
nel
nostro
ordinamento
una
serie
di
reati,
cosiddetti
informatici,
caratterizzati dalla previsione che l'attività illecita abbia come oggetto o mezzo
del reato un sistema informatico o telematico.
L’approccio poteva essere di due tipi: creare una branca di reati informatici che si
reggesse su una disciplina varata ex novo a tutela di nuovi beni giuridici oppure
adattare la normativa penale preesistente, riconducendo le varie forme di reato
informatico a fattispecie criminose come la truffa, il furto, il danneggiamento
(nonostante quest’ultima strada comportasse non poche difficoltà generate dal
problema dell’applicabilità in via estensiva e analogica delle norme penali preesistenti,
in contrapposizione con i principi di legalità e tassatività e con il principio
fondamentale del diritto penale del divieto dell’analogia in malam partem sancito
deall’art. 14 disp. prel. c.c. nonché dagli artt. 1 e 199 c.p.7).
Con legge del 23 dicembre 1993 n. 547 il legislatore introduce le nuove forme di reato
telematico, inserendole all’interno del codice penale, scegliendo quindi di non
considerare i reati informatici come aggressivi di beni giuridici nuovi rispetto a
quelli tutelati dalle norme incriminatrici già esistenti.
La disciplina dettata dalla legge n. 547/93 punisce le seguenti tipologie di
reato: le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche; le
aggressioni all’integrità dei dati e dei sistemi informatici; il falso nell’ambito dei
documenti informatici; le frodi informatiche.
In particolare, le nuove fattispecie di reato contemplate dalla legge in esame sono:
7
In quel contesto, infatti, le sole norme suscettibili di applicazione ai crimini informatici erano l’art. 12 della legge n.
121/1981 sul “Nuovo ordinamento dell’Amministrazione della Pubblica Sicurezza” e l’art. 420 c.p. riguardante l’
“Attentato ad impianti di pubblica utilità”, come modificato dalla L. 191/1978
14
S.Sbordoni "Web, Libertà e Diritto"©
−
l’esercizio arbitrario delle proprie ragioni con violenza sulle cose allorché un
programma informatico venga alterato, modificato o cancellato in tutto o in parte
ovvero sia impedito o turbato il funzionamento di un sistema informatico o telematico
(art. 392 c.p.)
−
l’attentato ad impianti di pubblica utilità che si concreti in un danneggiamento o
distruzione di sistemi informatici o telematici di pubblica utilità, ovvero di dati,
informazioni o programmi in essi contenuti o ad essi pertinenti (art. 420 c.p.8)
−
la falsità in documenti informatici (art. 491-bis c.p.)
−
l’accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)
−
la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
(art. 615-quater c.p.)
−
la diffusione di programmi diretti a danneggiare o interrompere un sistema
informatico (art. 615-quinquies c.p.)
−
la violazione della corrispondenza e delle comunicazioni informatiche e telematiche
(artt. 616, 617-quater, 617-quinquies, 617-sexies c.p.)
−
la rivelazione del contenuto di documenti segreti (art. 621 c.p.)
−
la trasmissione a distanza di dati (art. 623-bis c.p.)
−
il danneggiamento di sistemi informatici o telematici (art. 635-bis c.p.9)
−
la frode informatica (art. 640-ter c.p.).
4. I crimini informatici configurati come delitti contro la persona
4.1. Art. 615 ter c.p.: accesso abusivo ad un sistema informatico o telematico
Con la l. n. 547/93 viene introdotto l’art. 615 ter c.p. volto a contrastare l’accesso
abusivo ai sistemi informatici e telematici, quali gli attacchi ad opera di “hacker” e
“cracker” (che già all’epoca proliferavano).
Il reato contemplato dalla norma è un reato comune, e che può essere perciò
8
La legge introduce nell’art. 420 c.p. i commi 2 e 3 (2 “La pena di cui al primo comma si applica anche a chi commette
un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni
o programmi in essi contenuti o ad essi pertinenti 3 “Se dal fatto deriva la distruzione o il danneggiamento dell'impianto
o del sistema, dei dati, delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento
dell'impianto o del sistema la pena è della reclusione da tre a otto anni”). Peraltro, entrambi i commi vengono in seguito
abrogati dall'art. 6, L. 18 marzo 2008, n. 48, che ratifica la Convenzione del Consiglio d'Europa sulla criminalità
informatica.
9
Gli artt. 491 bis, 615 quinquies, 635 bis sono stati in seguito modificati dall'art. 3 della legge 18 marzo 2008, n. 48,
che ha ratificato la Convenzione del Consiglio d'Europa sulla criminalità informatica.
15
S.Sbordoni "Web, Libertà e Diritto"©
commesso da chiunque (anche se, di fatto, occorre che il soggetto attivo abbia delle
conoscenze tecniche minime che gli permettano l’accesso).
La norma prevede alternativamente due condotte: a) l’introduzione abusiva in un
sistema informatico o telematico protetto da misure di sicurezza; b) il permanere nel
medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escludere
l’intrusione.
Nel primo caso viene punita un’azione immateriale consistente nell’introdursi ed
accedere alla memoria di un elaboratore per conoscere informazioni, dati e
programmi, oppure per modificarli, alterarli o cancellarli.
Per la configurazione del reato occorre la presenza di misure di sicurezza e quindi
misure tecniche, informatiche, organizzative e procedurali (riferite all’elaboratore e
non ai locali dove esso è ospitato) destinate ad escludere ovvero ad impedire l’accesso
e la conoscenza delle informazioni a soggetti estranei, non autorizzati (si pensi, ad
esempio, alle password o ai dispositivi biometrici).
Nella seconda ipotesi viene punito il permanere nel sistema informatico
nonostante il titolare del sistema abbia manifestato la volontà di esclusione in modo
espresso o tacito.
L’oggetto materiale del reato può essere tanto un sistema informatico quanto un
sistema telematico.
Per sistema informatico si intende l’hardware (ossia gli elementi fisici che
compongono l’elaboratore), il software (i programmi di funzionamento) e gli apparati
che permettono di immettere dati ed informazioni (come, ad esempio, gli scanner o i
lettori DVD) o estrapolarli (si pensi, sempre a titolo esemplificativo, alla stampante o
al masterizzatore).
Con l’espressione sistema telematico si definisce una serie di componenti informatici
collegati tra di loro attraverso tecnologie di comunicazione.
L’oggetto giuridico tutelato dalla norma è il c.d. “domicilio informatico” inteso
come luogo ideale ove una persona esplica alcune facoltà intellettuali e manifesta la
propria personalità, con possibilità di escludere terzi non graditi, tanto che nell’ambito
del codice penale l’art. 615 ter è collocato tra i delitti contro la inviolabilità del
domicilio inteso come “espansione ideale dell’area di rispetto pertinente al soggetto
interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi
aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale” come
precisato dalla Relazione sul disegno di legge n. 2773, poi divenuta legge n. 547/93.
16
S.Sbordoni "Web, Libertà e Diritto"©
L’elemento psicologico richiesto è il dolo generico e al riguardo la Cassazione ha
avuto modo di precisare che “l’accesso abusivo a un sistema telematico o informatico
si configura con la mera intrusione e non richiede che la condotta comporti una
lesione della riservatezza degli utenti né tantomeno che ‘l’invasione’ sia compiuta con
l’obiettivo di violare la loro privacy” (Cass., 6 febbraio 2007, n. 11689).
4.2. Art. 615 quater c.p.: detenzione e diffusione abusiva di codici di accesso
a sistemi informatici o telematici
L’art. 615 quater c.p. prevede e disciplina un reato comune, di pericolo, con
l’obiettivo dell’anticipazione della tutela rispetto all’evento dannoso.
La norma punisce, infatti, chiunque si impossessi o diffonda i codici di accesso
riservati (password, PIN, smart card criptate ecc) necessari per accedere ad un
sistema informatico o telematico nonchè chi diffonda istruzioni tecniche su come
eludere ovvero ottenere i menzionati codici di accesso.
Nella fattispecie rientrano inoltre condotte quali la clonazione degli apparecchi di
telefonia mobile ossia la duplicazione abusiva del numero seriale del cellulare.
Al riguardo, la Cassazione ha avuto modo di precisare che “integra il reato di
detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di
cui all'art. 615 quater c.p., la condotta di colui che si procuri abusivamente il numero
seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché
attraverso
la
corrispondente
modifica
del
codice
di
un
ulteriore
apparecchio
(cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di
telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento
alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante
tecnologie informatiche” (Cass., Sez. II, 17 dicembre 2004, n. 5688; Cass., Sez. II,
17 gennaio – 22 settembre 2003).
L’elemento psicologico richiesto è il dolo specifico posto che non è sufficiente la
detenzione o la diffusione illecite di codici ma occorre che tale detenzione o diffusione
sia accompagnata dalla volontà di trarre profitto per sé o per altri ovvero di
arrecare un danno a terzi.
17
S.Sbordoni "Web, Libertà e Diritto"©
4.3. La formulazione originaria dell’art. 615 quinquies c.p.: diffusione di
programmi diretti a danneggiare o interrompere un sistema informatico
(rinvio al paragrafo 8)
Nella sua formulazione originaria, l’art. 615 quinquies disciplina l'ipotesi di diffusione
di programmi diretti a danneggiare un sistema informatico, punendo chi diffonda,
comunichi o consegni un programma informatico, approntato da sé o da altri, allo
scopo o con l'effetto di danneggiare un sistema informatico o telematico, i dati o i
programmi in esso contenuti o ad esso pertinenti, o di provocare l’interruzione, totale
o parziale ovvero l’alterazione del funzionamento di tale sistema.
Il legislatore colloca la disposizione in esame tra i delitti contro l’inviolabilità del
domicilio, nonostante la medesima miri palesemente alla salvaguardia dell’integrità e
del buon funzionamento dei sistemi informatici e telematici.
L'oggetto materiale delle varie condotte descritte dalla norma de qua è sempre
costituito da un programma “infetto” ossia un programma idoneo a danneggiare le
componenti logiche di un sistema informatico e ad interrompere o alterare il
funzionamento del medesimo.
Il dolo è generico in quanto, in tale versione originaria, la norma richiede soltanto la
consapevolezza che il bene informatico sia in grado di danneggiare o alterare il
funzionamento di un sistema informatico o telematico e la consapevolezza della
diffusione, comunicazione o consegna.
Al riguardo va, peraltro, rilevato che la legge n. 48 del 18.3.2008 di ratifica della
Convenzione di Budapest ha sostituito l’art. 615 quinquies, mutandone il titolo in
“Diffusione
di
apparecchiature,
dispositivi
o
programmi
informatici
diretti
a
danneggiare o interrompere un sistema informatico o telematico”. Sul punto si rinvia a
quanto esposto al paragrafo 8.
Si parla di “Codice maligno” o di “Malware” per indicare un software realizzato al
solo scopo di causare danni più o meno gravi al computer su cui e' scaricato
(infatti, il termine inglese “Malware” deriva dalla contrazione delle parole malicious e
software e letteralmente significa "programma malvagio").
Tra i malware rientrano i cd. virus informatici ossia software che, una volta eseguiti,
infettano i file.
18
S.Sbordoni "Web, Libertà e Diritto"©
Caratteristica dei virus informatici è quella di riprodursi, facendo copie di sé stessi,
normalmente senza farsi rilevare dall'utente.
I virus, al pari di ogni altro programma composto da un insieme di istruzioni, sono
solitamente programmi molto semplici, composti da un numero molto ridotto di
istruzioni (pochi byte ed alcuni kilobyte), realizzati ed per eseguire poche e semplici
operazioni e per impiegare il minor numero di risorse, in modo da essere il più
possibile invisibili e passare inosservati.
Come detto, tra le principali caratteristiche dei virus vi è quella di riprodursi e
perciò di diffondersi nel computer ogni volta che il file infetto viene aperto.
Altro tipo di malware è il cd. “verme” o in inglese “worm”, simile ad un virus, ma che,
a differenza di quest'ultimo, non necessita di legarsi ad altri eseguibili per diffondersi e
replicarsi (in tal senso si parla di autoreplicazione).
Il worm modifica il computer che infetta e viene eseguito ogni volta che si avvia la
macchina, rimanendo attivo fino a che il PC non viene spento o il processo
corrispondente non è arrestato.
Il mezzo più utilizzato per diffondere il worm è la posta elettronica attraverso la
quale il programma ricerca indirizzi e-mail memorizzati nel computer ospite ed invia
una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi
raccolti. I messaggi che contengono i worm di solito adottano tecniche di social
engineering per invogliare i destinatari ad aprire l'allegato, il cui nome solitamente
permette al worm di camuffarsi come file non eseguibile.
Certi worm utilizzano dei bug di client di posta molto diffusi, come Microsoft Outlook
Express, per eseguirsi automaticamente al momento della visualizzazione del
messaggio e-mail.
I worm possono anche sfruttare i circuiti del file sharing per diffondersi, copiandosi tra
i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di
programmi costosi o ricercati, così da indurre altri utenti a scaricarli ed eseguirli.
Altro tipo di malware è il trojan (in inglese anche “trojan horse” - Cavallo di Troia),
così chiamato in quanto le sue funzionalità sono nascoste all'interno di un programma
apparentemente
utile;
pertanto
l'utente
installando
ed
eseguendo
un
certo
programma, installa ed esegue anche il trojan nascosto senza rendersene conto.
Dunque,
a
differenza
dei
virus
e
dei
worm,
i
trojan
non
si
diffondono,
autonomamente, ma richiedono un intervento diretto dell'aggressore per far operare
19
S.Sbordoni "Web, Libertà e Diritto"©
l'eseguibile in danno all'utente.
Su un altro piano si pongono i programmi destinati non tanto a danneggiare ma ad
infiltrarsi nel sistema dell'utente e tra essi le cd. backdoor o porte di servizio che
permettono di superare completamente od almeno in parte le procedure di sicurezza
di un sistema informatico.
Le porte di servizio, infatti, se a volte vengono usate lecitamente in quanto create
dagli stessi gestori del sistema informatico a fini di manutenzione dell'infrastruttura
informatica, in alcuni casi sono utilizzate dai cracker per manomettere il sistema e
possono anche essere installate autonomamente da certi malware, in modo da
consentire ad un utente esterno di appropriarsi del controllo remoto della macchina
senza l'autorizzazione del titolare.
Gli spyware sono invece software che raccolgono le informazioni sulle attività online
degli utenti (ad esempio sui siti visitati, sugli acquisti effettuati in rete, ecc.) senza il
loro consenso, inviandole poi, tramite la rete, ad organizzazioni che utilizzano i dati
così reperiti al fine di ricavarne un profitto; questi software, a differenza di virus e
worm, non riescono a diffondersi autonomamente, richiedendo invece l'intervento
dell'utente per essere installati (così come per il trojan).
In questa categoria rientra certamente l’invio, sempre a seguito dell’adozione del
meccanismo sopra descritto, di pubblicità calibrate sugli interessi dell’utente (spam);
inoltre, si parla di spyware anche per indicare quei software maligni (denominati,
come detto, anche malware) che hanno la funzione di modificare la pagina iniziale o la
lista dei Preferiti del browser o addirittura di compiere attività illegali quali il
“dirottamento” su falsi siti di e-commerce (phishing) o l'installazione di dialer
truffaldini per numeri a tariffazione speciale.
Vi sono poi i cd. “compositori” di numeri telefonici o dialer che costituiscono in
ambito commerciale un canale per accedere a servizi a sovrapprezzo o a tariffazione
speciale.
Si tratta di programmi auto eseguibili che alterano i parametri impostati dall’utente
per la connessione a Internet attraverso la sostituzione del numero telefonico del
collegamento con un numero a pagamento maggiorato su prefissi internazionali
satellitari o speciali (una percentuale dell’importo fatturato per la chiamata e/o la
connessione viene girata dal gestore telefonico al soggetto terzo titolare della
numerazione internazionale o speciale).
20
S.Sbordoni "Web, Libertà e Diritto"©
Per dirottatore o hijacker si intende un malware che prende il controllo di un
browser al fine di modificarne la pagina iniziale o farlo accedere in automatico a siti
indesiderati.
Questo programma a volte può cooperare con altri tipi di malware ed operare, ad
esempio, tramite un trojan horse oppure dirottare il browser su pagine che
consentono altri tipi di attacco al computer (virus, spam ecc).
Nei sistemi Windows l’azione di questo malware è molto subdola in quanto agisce
spesso sui registri di sistema e per gli utenti inesperti d è difficile da scoprire.
Il rootkit è un software creato per ottenere il controllo completo su un sistema senza
necessità di autorizzazione da parte dell’utente o amministratore (certi virus
informatici possono agire all'interno del sistema operativo come rootkit: processo, file,
chiave di registro, porta di rete).
Il keylogger è invece uno strumento in grado di intercettare ciò che un utente digita
sulla tastiera del proprio computer.
Di frequente, i keylogger software sono trasportati e installati nel computer da worm o
trojan ricevuti tramite Internet allo scopo di intercettare password e numeri di carte di
credito; possono inoltre essere intercettate le password inserite nel PC sia che
vengano digitate da tastiera, sia che siano salvate in un file di testo ed incollate senza
effettuare digitazioni, sia nel caso di inserimento con dettatura vocale (il tutto anche
in caso di connessione cifrata cd sicura).
Con riferimento alla fattispecie contemplata dall’art. 615 quinquies di particolare
interesse è stata una sentenza del Tribunale Penale di Bologna del 21 luglio 2005 sul
noto virus Vierika, un worm, programmato in linguaggio Visual Basic Script: il primo
script veniva allegato come file di immagine ad un’e-mail; in seguito, lanciato tale file,
il registro di configurazione di Windows veniva modificato all’insaputa dell’utente,
abbassando le protezioni del browser Internet Explorer e impostando come home
page del medesimo browser una pagina web che conteneva un secondo script in
Visual Basic; in tal modo, l’utente collegandosi alla rete e venendo indirizzato a tale
home page, attivava senza accorgersene il secondo script; veniva così creato nel disco
rigido del computer un file che, contenendo il primo script di Vierika, produceva un
effetto di mass-mailing, inviando agli indirizzi trovati all’interno della rubrica di
Outlook una e-mail con allegato il primo script, provocando quindi una reiterata
duplicazione di Vierika).
21
S.Sbordoni "Web, Libertà e Diritto"©
Il Tribunale di Bologna ha così rilevato l’idoneità dei due script di Vierika a modificare,
all’insaputa dell’utente, tanto il funzionamento di Microsoft Outlook quanto quello di
Internet Explorer, con conseguente integrazione della fattispecie punita dall’art. 615
quinquies, in esame, ma anche di quella di cui all’art. 615 ter (accesso abusivo al
sistema informatico) in quanto l’imputato aveva violato e superato gli ostacoli
predisposti dall’utente a tutela dell’accesso al sistema, introducendosi abusivamente
nel sistema.
La sentenza del Tribunale di Bologna è stata appellata e il giudice di secondo grado ha
riesaminato la questione della configurabilità nel caso de quo della fattispecie
criminosa di cui all’art. 615ter, partendo dalle deduzioni della parte appellante,
secondo la quale nel descritto funzionamento - autoreplicante ma non "virale" - non
sarebbe stato ravvisabile il requisito essenziale del reato ex 615 ter, costituito
dall'accesso al sistema dell'utenza, giacché comunque l’utente, stante l'effetto auto
replicante automatico, era rimasto ignaro degli indizi informatici raggiunti e dei dati
contenuti nelle memorie dei computer che scaricavano il programma.
Al riguardo, la Corte osservava: “L'argomento è di particolare rilievo. La Corte non
ritiene che la norma incriminatrice, posta come premesso a tutela del domicilio
informatico, possa essere interpretata con tale effetto riduttivo di tutela; la lettera
dell'art. 615 ter infatti richiede unicamente l'abusività dell'accesso al sistema, ovvero
la permanenza contro lo jus prohibendi del titolare, ma non pretende l'effettiva
conoscenza , da parte dell'agente, de i dati protetti. [….]Nella fattispecie le modalità
dell'azione (ovvero la creazione del programma autoreplicante ed il suo "lancio" nel
web)
erano
univocamente
dirette
ad
inviare
ed
installare
occultamente
e
fraudolentemente il programma, di cui XXX ha ammesso la paternità, ad una
comunità indiscriminata ed inconsapevole di utenti, usandone i dati personali della
rubrica di posta. Ciò appare sufficiente per integrare la nozione di "accesso abusivo"
penalmente rilevante, giacché è nel prelievo indesiderato dei dati personali dal
domicilio informatico che va individuato il vero bene personalissimo protetto dalla
norma, e non tanto nella conoscenza o conoscibilità di quelli da parte del soggetto
agente. In altri termini alla specificità dei sistemi informatici, che consentono l'uso di
dati
senza
la
"conoscenza"
di
essi,
come
tradizionalmente
intesa,
da
parte
dell'operatore, va correlata l'interpretazione della nozione di accesso posta dalla
norma incriminante”. (Corte d’Appello di Bologna, Sezione II Penale, 30 gennaio 2008
– 27 marzo 2008).
22
S.Sbordoni "Web, Libertà e Diritto"©
4.4. Art. 617quater: intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche
L’art. 617 quater punisce l’intercettazione, l’impedimento o l’interruzione occulta e
fraudolenta di comunicazioni informatiche o telematiche.
In particolare la norma punisce, al primo comma, chi intercetta (o impedisce o
interrompe) in modo fraudolento (il requisito della fraudolenza non è integrato nel
caso l’intercettazione sia avvenuta mediante strumentazione non appositamente
predisposta) una comunicazione destinata a rimanere riservata (come ad esempio nel
caso esaminato dalla Cassazione nella sentenza Cass. Pen. 1° febbraio 2006 - 19
maggio 2006, n. 4011, riguardante “Striscia la Notizia”, integrante, secondo la
Suprema Corte, la violazione di cui all'art. 617quater, comma 2 c.p., della condotta di
chi intercetti in modo fraudolento e diffonda al pubblico una trasmissione televisiva
interna su un canale riservato a comunicazioni di servizio - c.d. "fuori onda") e, al
secondo comma, chi divulga, con ogni mezzo di informazione (ma è sempre
necessario l’utilizzo di strumenti di comunicazione di massa o comunque di mezzi in
grado
di
raggiungere
un
numero
indeterminato
di
destinatari),
tale
tipo
di
comunicazione, a prescindere da come l’agente ne sia venuto a conoscenza.
La giurisprudenza ha, inoltre, rilevato come integri il reato di cui all’art. 617 quater la
condotta del titolare di un esercizio commerciale che utilizza mediante un terminale
POS in sua dotazione, una carta di credito contraffatta, atteso che il titolare
dell’esercizio commerciale è legittimato a usare il terminale POS e l’accesso abusivo
genera un flusso di informazioni ai danni del titolare della carta contraffatta diretto
all’addebito sul suo conto della spesa fittiziamente effettuata (Cass. Pen. Sez. V, 14
ottobre 2003 – 19 novembre 2003, n. 44362).
L’oggetto giuridico tutelato è la riservatezza delle comunicazioni in quanto tale e
quindi a prescindere dall’effetto dannoso.
Per quanto riguarda l’elemento soggettivo la norma prevede un dolo generico, che
cioè prescinde dal fine dell’agente, essendo sufficiente la mera volontà di rivelare in
tutto o in parte, con qualsivoglia mezzo di informazione al pubblico, il contenuto di
comunicazioni o conversazioni riservate.
23
S.Sbordoni "Web, Libertà e Diritto"©
4.5.
Art.
617quinquies
intercettare,
impedire
c.p.:
o
installazione
interrompere
di
apparecchiature
comunicazioni
atte
informatiche
ad
o
telematiche
La norma sanziona la semplice predisposizione di apparecchiature atte a
intercettare, impedire o interrompere comunicazioni informatiche o telematiche.
Al riguardo si segnala una pronuncia della Cassazione (Cass. Pen. Sez. V, 5
dicembre 2006 – 30 gennaio 2007, n. 3252) ai sensi della quale integra il reato di
cui all’art. 617 quinquies c.p. la condotta di colui che installa abusivamente
apparecchiature atte ad intercettare comunicazioni relative ad un sistema informatico
posizionando nel “postamat” di un ufficio postale una fotocamera digitale, considerato
che l’intercettazione implica l’inserimento nelle comunicazioni riservate, traendo
indebita conoscenza delle stesse; ed ancora la decisione del GIP del Tribunale di
Milano del 19 febbraio 2007 secondo il quale l'attività illecita di intercettazione, nel
silenzio dell'art. 617 quinquies c.p., deve ritenersi possa essere consumata con
qualunque mezzo ritenuto idoneo a svelare la conoscenza di un sistema informatico
qual è da considerarsi la digitazione da parte dell'operatore umano del codice di
accesso a un sistema attraverso una tastiera alfanumerica, digitazione destinata ad
essere l'oggetto dell'illecita captazione (pertanto il GIP ha ritenuto configurabile reato
di cui all'art. 617 quinquies c.p. e non il reato di cui all'art. 615 quater c.p. a fronte
dell’installazione su uno sportello bancomat, in sostituzione del pannello originario, di
un’apparecchiatura - composta da una superficie plastificata, con una microtelecamera
con funzioni di registratore video per la rilevazione dei codici bancomat - in assenza di
prova certa dell'avvenuta captazione di almeno un codice identificativo).
4.6. Art. 617sexies c.p.: falsificazione, alterazione o soppressione del
contenuto di comunicazioni informatiche o telematiche
La norma punisce il comportamento di chi, con dolo specifico, falsifica, altera o
sopprime il contenuto delle comunicazioni informatiche o telematiche ma, al fine della
configurabilità del reato, è necessario non solo che l’agente ponga in essere tali
condotte ma che faccia anche un uso illegittimo delle comunicazioni in questione
ovvero consenta che altri soggetti ne facciano un uso illegittimo.
24
S.Sbordoni "Web, Libertà e Diritto"©
5. L’integrità dei sistemi informatici e telematici
Questione diversa dalla tutela contro le varie forme di accesso al sistema informatico e
telematico è quella della tutela dell’integrità dei sistemi informatici e telematici.
5.1 La formulazione originaria dell’art. 635 bis c.p.: danneggiamento di
sistemi informatici o telematici (rinvio al paragrafo 8)
L’art. 635 bis, nella sua formulazione originaria, punisce il danneggiamento di sistemi
informatici o telematici e, rispetto al danneggiamento generico di cui all’art. 635 c.p.,
prevede una tutela più rigorosa sia per quanto riguarda le sanzioni sia con riferimento
alla procedibilità nei confronti di fatti che, prima dell’entrata in vigore della norma,
venivano inquadrati nella fattispecie del danneggiamento ex art. 635 c.p.
Il danneggiamento può riguardare il sistema informatico, anche collegato a distanza
con altri elaboratori, come nel caso dei sistemi telematici e l’aggressione può essere
diretta tanto al sistema nel suo complesso quanto a una o più delle sue componenti
materiali, come ad esempio il video, la tastiera, il mouse.
Inoltre, il danneggiamento può interessare anche i dati e i programmi informatici
nonché le informazioni contenute nel sistema.
I beni informatici oggetto di aggressione devono essere di altri e al riguardo si
pone la questione della corretta interpretazione da attribuire al termine “altrui” specie
tenuto conto della prassi ormai molto diffusa di non acquistare più hardware e
software ma di ricorrere a contratti di locazione, di solito accompagnati da
un
contratto con lo stesso fornitore di assistenza e/o manutenzione.
Vi sono varie forme di danneggiamento che possono determinare la distruzione o il
deterioramento o ancora l'inservibilità totale o parziale del sistema.
La distruzione può consistere nell'eliminazione materiale del sistema informatico o
telematico ovvero delle informazioni presenti su un supporto materiale.
Ma si ha distruzione anche qualora l'azione distruttiva investa dati e programmi;
e ciò può avvenire sostanzialmente i tre casi:
1. con la smagnetizzazione del supporto;
2. con la sostituzione dei dati originari con dati nuovi;
25
S.Sbordoni "Web, Libertà e Diritto"©
3. con l'istruzione data alla macchina di cancellazione di tutti i dati.
La norma in esame, peraltro, non trova applicazione nel caso in cui i dati o i
programmi siano ancora recuperabili oppure sia stata solo impedita la visualizzazione.
Al riguardo va, peraltro, rilevato che la legge n. 48 del 18.3.2008 di ratifica della
Convenzione di Budapest ha sostituito l’art. 635 bis, mutandone il titolo in
“Danneggiamento di informazioni, dati e programmi informatici” ed ha
introdotto le ulteriori fattispecie di danneggiamento di cui agli artt. 635 ter, 635
quater e 635 quinquies. Sul punto si rinvia a quanto esposto al paragrafo 8.
5.2. Art. 392 c.p.: esercizio arbitrario delle proprie ragioni con violenza sulle
cose
La legge n. 547/93 ha introdotto una nuova fattispecie all'interno dell'art 392
c.p., inserendo, al terzo comma, una nuova ipotesi di violenza sulle cose attuata
in forma di alterazione, modificazione, cancellazione in tutto o in parte, impedimento o
turbativa del funzionamento di un sistema informatico o telematico (la questione,
prima
del
menzionato
intervento
normativo
era
stata
affrontata
in
sede
giurisprudenziale; ad esempio, il Tribunale di Torino, con sentenza del 12
dicembre 1983, aveva ritenuto responsabile del reato di esercizio arbitrario delle
proprie ragioni il dipendente di una software house che, a seguito di un contrasto con i
titolari della medesima, aveva ritenuto legittimo sottrarre all’azienda uno dei
programmi da lui stesso realizzati e concessi in uso a quest’ultima, costituente uno dei
moduli centrali di un più complesso software gestionale, inutilizzabile senza tale
elemento; ed ancora, un caso analogo veniva esaminato dalla Pretura di Torino nel
mese di Dicembre del 1989 a seguito dell’operazione di cancellazione dei dati
memorizzati su un sistema informatico da parte di un dipendente entrato in contrasto
con la propria azienda; ciò posto, il Pretore, individuando l’oggetto del reato nel
sistema informativo costituito dall’insieme dell’hardware e del software, divenuto
inutilizzabile a seguito della cancellazione dei programmi e dei dati ad opera del
predetto dipendente, aveva ritenuto sussistere il reato di esercizio arbitrario delle
proprie ragioni, evidenziando che detta cancellazione ben poteva essere considerata
una ipotesi di danneggiamento materiale equiparabile alla medesima operazione
ottenuta mediante abrasione o alterazione chimica di una scritta su un foglio di carta).
26
S.Sbordoni "Web, Libertà e Diritto"©
L'alterazione di un programma informatico si verifica quando viene modificata
l’essenza dello stesso, mediante una manipolazione completa o parziale delle istruzioni
che lo compongono.
La modificazione del programma si ha quando l’intervento abusivo si esaurisce nel
renderlo in tutto o in parte diverso, senza snaturarne le funzioni originarie.
Si verifica invece cancellazione di un programma in presenza di una soppressione
totale o parziale delle istruzioni che compongono il programma medesimo.
Sotto il profilo del funzionamento del sistema informatico o telematico, vi sono
quelle forme di disturbo del processo di elaborazione o di trasmissione a distanza di
dati, che non si concretano in un intervento diretto sul programma interessato.
L'impedimento del funzionamento del sistema si ha ad esempio quando siano
disattivati i collegamenti elettrici e/o elettronici del computer in modo tale da renderne
difficoltosa l’individuazione della causa della disattivazione e/o da rendere molto
difficile il ripristino.
Il turbamento del funzionamento del sistema si ha nel caso di un’azione di
disturbo del regolare svolgimento delle operazioni dell’elaboratore in danno all’utente
del sistema informatico o telematico. Al riguardo si segnala una sentenza della
Pretura di Torino del 15 maggio 1996 con la quale si stabiliva: “deve ritenersi
violenza sulle cose, tale da integrare l'elemento della fattispecie di cui all'art. 392
comma ultimo c.p., il comportamento di un soggetto il quale, al fine di esercitare un
preteso diritto di esclusiva per l'installazione e gestione delle componenti informatiche
di macchinari industriali, altera surrettiziamente il programma di propria produzione
installato sugli stessi, inserendo un file di "blocco data" in grado di interrompere
automaticamente il funzionamento del macchinario - rendendolo del tutto inservibile alla scadenza della data prestabilita”.
Per quanto riguarda l’elemento soggettivo, in generale il reato di esercizio arbitrario
delle proprie ragioni richiede, oltre ad un dolo generico, costituito dalla coscienza e
volontà di farsi ragione da sé, pur potendo ricorrere all’Autorità giudiziaria, anche un
dolo specifico, rappresentato dall’intento di esercitare un preteso diritto nel
ragionevole convincimento della sua legittimità.
5.3. La formulazione originaria dell’art. 420 c.p.: attentato a impianti di
pubblica utilità (rinvio al paragrafo 8)
27
S.Sbordoni "Web, Libertà e Diritto"©
L’art. 420 c.p., nella formulazione originaria, contempla una fattispecie criminosa
nella quale l’elemento oggettivo è dato dalla distruzione o danneggiamento di:
1. impianti di pubblica utilità o di ricerca ed elaborazione dei dati;
2. sistemi informatici o telematici di pubblica utilità;
3. dati, informazioni o programmi contenuti in tali impianti o sistemi ovvero
pertinenti ai medesimi.
Ciò che caratterizza la fattispecie è dunque la “pubblica utilità” (intesa come
destinazione al servizio di una collettività indifferenziata di persone) dei menzionati
impianti e sistemi, la cui aggressione crea, dunque, un problema di pericolo per
l’ordine pubblico.
La legge n. 48 del 18.3.2008 di ratifica della Convenzione di Budapest ha abrogato
il comma 2 ed il comma 3 dell’art. 420 c.p. e previsto le fattispecie di reato agli
articoli 635 ter (Danneggiamento di informazioni, dati e programmi informatici
utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità) e 635
quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità).
Sul punto si rinvia a quanto esposto al paragrafo 8.
6. Il documento informatico e la sua rilevanza penale
Il sempre più elevato utilizzo di sistemi informatici anche nell’ambito degli atti di
manifestazione di volontà o di scienza ha reso necessario un intervento del legislatore
al fine di tutelare l’affidabilità e la certezza dei dati informatici nei rapporti giuridici.
Nell’ambito della disciplina sulla “Falsità in atti”, contemplata dal libro II, titolo VII,
capo III del codice penale, l’art. 491 bis c.p. prevede l’ipotesi di falsità riguardante
un documento informatico pubblico o privato, estendendo la disciplina prevista dallo
stesso capo per gli atti pubblici e le scritture private.
Allo stesso modo, l’art. 621 c.p. riguardante la “Rivelazione del contenuto di
documenti segreti”, al secondo comma precisa che è considerato “documento”
qualunque supporto informatico contenente dati, informazioni o programmi.
Con l’art. 491 bis c.p. il falso informatico viene così assimilato al falso documentale,
mediante un’estensione di tutte le fattispecie incriminatrici in tema di falso al
documento informatico, assicurando la tutela e la sanzione penale anche nei confronti
delle diverse forme di falso informatico che in precedenza non erano riconducibili alle
norme sui falsi documentali, posto che il documento informatico nulla aveva a che
vedere
con
il
documento
tradizionale,
28
essendo
privo
delle
caratteristiche
di
S.Sbordoni "Web, Libertà e Diritto"©
quest’ultimo, tra le quali la forma scritta alfabetica.
La stessa estensione si verifica anche con l’introduzione del comma II dell’art. 621
c.p., sempre nell’ottica del legislatore di ampliare una disciplina nella quale si riteneva
mutasse solo l’oggetto materiale del reato, a fronte di un documento non più cartaceo
o comunque fisico ma di tipo informatico.
Va infine rilevato che la legge n. 48 del 18.3.2008 di ratifica della Convenzione di
Budapest ha inserito nell’art. 491 bis le parole “avente efficacia probatoria” riferite
al menzionato documento informatico pubblico o privato, ed ha abrogato il secondo
periodo dell’art. 491 bis, che recitava: “A tal fine per documento informatico si intende
qualunque supporto informatico contenente dati o informazioni aventi efficacia
probatoria o programmi specificamente destinati ad elaborarli”. Sul punto si rinvia a
quanto esposto al paragrafo 8.
6.1 Art. 640 ter c.p.: la frode informatica
L’art. 640 ter punisce la frode informatica ossia l’ipotesi di illecito arricchimento
ottenuto mediante l’impiego fraudolento di un sistema informatico in una
qualunque delle fasi del processo di elaborazione dei dati, sia essa iniziale, di raccolta
ed inserimento dei dati da elaborare (“manipolazione di input”), o intermedia, volta
alla vera e propria elaborazione (“manipolazione di programma”) ovvero finale, di
emissione dei dati elaborati (“manipolazione di output”).
La prima fattispecie disciplinata dalla norma è quella dell’intervento fraudolento
avente ad oggetto il funzionamento di un sistema informatico o telematico e
consistente in una modifica del regolare svolgimento del processo di elaborazione e/o
trasmissione di dati realizzato da un sistema informatico (ai sensi della norma de qua,
costituiscono un sistema informatico anche gli apparati che forniscono beni o servizi e
che sono gestiti da un elaboratore: fotocopiatrici, distributori automatici di banconote
che funzionano mediante carte magnetiche ecc... Non rientrano, invece, nella
fattispecie in esame i sistemi informatici che hanno una funzione di semplice
protezione - al posto delle tradizionali serrature – come nel
caso di congegni
elettronici di apertura e chiusura).
La seconda fattispecie prevista dalla norma è quella dell’intervento senza diritto su
dati, informazioni o programmi intesa come qualsiasi forma di interferenza, diretta e
indiretta, in un processo di elaborazione di dati, diversa dalla alterazione del
29
S.Sbordoni "Web, Libertà e Diritto"©
funzionamento del sistema informatico, consistente in un’alterazione o soppressione
dei dati contenuti nel sistema o su un supporto esterno ovvero nell’introduzione di dati
falsi all’interno del sistema.
Si badi però che l’ipotesi in esame non si concretizza con riferimento ai sistemi
informatici che permettono ad un gruppo circoscritto di persone di effettuare
operazioni di contenuto patrimoniale rilevante mediante l’utilizzo di un apposito
terminale e di un codice personale di accesso, allorché si verifichi il semplice uso non
autorizzato dei dati integranti il codice personale di identificazione altrui: si pensi, a
titolo esemplificativo,
ai servizi di home banking, mediante i quali i clienti di una
banca possono effettuare le operazioni bancarie da un computer; in questo caso, l’uso
indebito del codice di identificazione altrui consente solo l’accesso al sistema
informatico ma non il conseguimento, in modo diretto, di un ingiusto profitto (profitto
che potrebbe invece verificarsi in un secondo momento a seguito di un intervento sui
dati).
Ai fini dell’applicabilità della norma è, comunque, necessario che colui che agisce
procuri a sè o ad altri un ingiusto profitto, al pari di quanto accade con la truffa
tradizionale disciplinata dall’art. 640 c.p. e che l’azione di alterazione dell’elaborazione
dei dati sia tale da incidere direttamente sulla sfera patrimoniale del destinatario
dell’aggressione.
Con riferimento alla frode informatica, la legge n. 48 del 18.3.2008 di ratifica della
Convenzione
di
informatica
del
Budapest
soggetto
ha
introdotto
che
presta
la
specifica
servizi
di
fattispecie
della
certificazione
di
“Frode
firma
elettronica”, di cui all’art. 640 quinquies. Sul punto si rinvia a quanto esposto nel
paragrafo 8.
7. Ingiuria e diffamazione su Internet
La l. n. 547/93, se ha introdotto nel nostro ordinamento la serie di reati descritti in
precedenza e classificati genericamente come "crimini informatici", non ha invece
previsto una specifica fattispecie criminosa riferita alle ipotesi di ingiuria o
diffamazione perpetuate attraverso le reti informatiche o telematiche.
Dunque, anche dopo l’importante intervento operato dalla l. n. 547/93, a fronte di tali
eventi occorre sempre fare riferimento alle norme dettate dagli artt. 594 (ingiuria) e
595 (diffamazione) del codice penale, norme, peraltro, abbastanza generiche da
consentire di ricomprendere nel loro campo di applicazione anche i comportamenti
30
S.Sbordoni "Web, Libertà e Diritto"©
offensivi compiuti attraverso le reti informatiche o più in generale mediante le
moderne tecniche di comunicazione:Chat, Newsletter, SMS ecc.).
Al riguardo, la Corte di Cassazione ha confermato l’applicabilità degli artt. 594 e
595 alle ipotesi in esame, affermando che è addirittura intuitivo che "i reati previsti
dagli articoli 594 e 595 c.p. possano essere commessi anche per via telematica o
informatica; basterebbe pensare alla cosiddetta trasmissione via e-mail, per rendersi
conto che è certamente possibile che un agente, inviando a più persone messaggi atti
ad offendere un soggetto, realizzi la condotta tipica del delitto di ingiuria (se il
destinatario è lo stesso soggetto offeso) o di diffamazione (se i destinatari sono
persone diverse)" (cass. sez. V penale, 27.12.2000, n. 4741).
La Suprema Corte ha inoltre rilevato che il reato di diffamazione si perfeziona nel
momento in cui il messaggio viene percepito da parte di soggetti che siano terzi
rispetto all'agente ed alla persona offesa, non essendo necessaria la contestualità tra
l'offesa e la sua percezione ("ben potendo i destinatari trovarsi persino a grande
distanza gli uni dagli altri, ovvero dall'agente"). Pertanto, tenuto conto di questo
aspetto evidenziato dalla Corte, si può pacificamente affermare che la diffamazione e
l'ingiuria, oltre che per il mezzo dell'e-mail, possono realizzarsi anche attraverso tutti i
diversi servizi della rete: le mailing list, le riviste telematiche, le newsgroup, le pagine
Web e le chat.
8. La legge n. 48 del 18.3.2008 di ratifica della Convenzione di Budapest sul
Cybercrime
Con la legge n. 48 del 18.3.2008 è stata ratificata la Convenzione di Budapest sul
Cybercrime approvata dal Consiglio d’Europa dopo molti anni di lavoro da parte di un
comitato di esperti istituito nel 1996 dal CEPC (Comitato Europeo per i Problemi
Criminali). Con la Convenzione di Bupadest è stata attuata la volontà condivisa
dagli Stati appartenenti alla Comunità Europea di realizzare idonei strumenti di lotta al
Cybercrime, di rendere omogenea la normativa in materia prevista da ogni Stato
membro, di attuare una collaborazione internazionale efficace, anche in termini di
rapidità.
La legge n. 48/08 nel ratificare la Convenzione di Budapest ha inciso in modo
particolare sugli aspetti processuali e sulle previsioni in materia di cooperazione
internazionale, apportando comunque alcune importanti modifiche alla preesistente
normativa penale.
In particolare, con riferimento alle falsità informatiche, è stato soppresso il secondo
31
S.Sbordoni "Web, Libertà e Diritto"©
periodo del comma 1 dell’art. 491bis, in base al quale per documento informatico si
doveva intendere qualunque supporto informatico contenente dati o informazioni
aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.
Ciò in quanto tale definizione, incentrata sui supporti piuttosto che sui contenuti
dichiarativi o probatori trattati con le tecnologie informatiche, non forniva una corretta
nozione di documento informatico (nozione che si ritrovava, invece, in varie norme
extrapenali
quali
il
d.p.r.
n.
513/97,
il
Testo
Unico
della
Documentazione
Amministrativa di cui al d.p.r. n. 445/2000 ed il Codice dell’Amministrazione Digitale
di cui al d.l.gs. n. 82/2005, norme che correttamente definivano il documento
informatico come la rappresentazione informatica di atti, fatti o dati aventi rilevanza
giuridica).
Il concetto di documento informatico prescinde, infatti, dal supporto materiale che lo
contiene e si incentra piuttosto sull’efficacia probatoria del medesimo, tanto che il
Codice dell’Amministrazione Digitale (art. 1 lett. p) definisce il documento
informatico come la “rappresentazione informatica di atti, fatti o dati giuridicamente
rilevanti”10.
Inoltre, la legge n. 48/08 ha introdotto delle nuove forme di reato come quella
prevista dall’art. 495 bis riguardante la “Falsa dichiarazione o attestazione al
certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri”;
reato comune, realizzabile cioè da chiunque renda al certificatore delle dichiarazioni o
attestazioni false, tanto nel caso in cui integrino un falso ideologico quanto nell’ipotesi
in cui integrino un falso materiale.
E ancora, la l. n. 48/08 ha introdotto l’art. 640 quinquies che disciplina la “Frode
informatica del soggetto che presta servizi di certificazione di firma elettronica” al fine
di colpire alcune condotte tipiche che parrebbero non rientrare nella fattispecie della
frode informatica disciplinata dall’art. 640bis del codice penale.
In ordine ai danneggiamenti informatici il legislatore, seguendo le indicazioni della
Convenzione di Budapest,
ha operato una distinzione tra danneggiamenti di dati e
danneggiamenti di sistemi.
10
Sul punto si deve comunque evidenziare che il documento informatico privo di firma elettronica non ha efficacia
probatoria e può al limite rilevare sotto il profilo del requisito legale della forma scritta. Quanto al documento che reca
una firma elettronica semplice e cioè non qualificata, l’efficacia probatoria può essere valutata discrezionalmente
tenendo conto delle caratteristiche oggettive di non modificabilità, di sicurezza di qualità e di integrità del medesimo.
Dunque, solo il documento informatico munito di firma digitale (o comunque di firma elettronica qualificata) assume
l’efficacia di una scrittura privata ai sensi dell’art. 2702 c.c. e, pertanto, fa piena prova, fino a querela di falso della
provenienza delle dichiarazioni da chi l'ha sottoscritto, se colui contro il quale il documento è prodotto ne riconosce la
sottoscrizione.
32
S.Sbordoni "Web, Libertà e Diritto"©
E' stato modificato l’art. 615quinquies c.p. sulla “Diffusione di apparecchiature,
dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico” con l'inserimento di nuove condotte in precedenza escluse
dal raggio d'azione della norma (“si procura, produce, riproduce, importa”) nonché
con la previsione, sotto il profilo dell'elemento soggettivo, del dolo specifico, posto che
l’agente deve commettere il fatto “allo scopo di danneggiare illecitamente un sistema
informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad
esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del
suo funzionamento” (mentre nella precedente formulazione della norma era richiesto
solo un dolo generico).
Allo stesso modo, con riferimento all'art. 635bis c.p., il cui titolo è stato mutato da
“Danneggiamento
di
sistemi
informatici
e
telematici”
in
“Danneggiamento
di
informazioni, dati e programmi informatici” sono state previste nuove condotte
punibili ed e' stata introdotta la procedibilità solo a querela di parte.
Il danneggiamento dei sistemi informatici è ora punito in modo autonomo e più
grave dall’art. 635quater, intitolato “Danneggiamento di sistemi informatici o
telematici”.
La normativa prevede, oltre alle condotte indicate nell’art. 635bis, anche la punibilità
di chi introduce o trasmette dati, informazioni o programmi.; il tutto al fine di punire
i danneggiamenti realizzabili anche a distanza mediante malware introdotti o fatti
circolare sulla rete.
Il legislatore ha inoltre abrogato i commi 2 e 3 dell’art. 420 c.p. e previsto due
nuove fattispecie di reato agli articoli 635ter (Danneggiamento di informazioni,
dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque
di pubblica utilità) ed all'art. 635quinquies (Danneggiamento di sistemi informatici o
telematici di pubblica utilità), distinte sotto il profilo dell'oggetto passivo del reato:
informazioni, dati e programmi nel caso dell’art. 635ter e i sistemi informatici o
telematici nel caso dell’art.635 quinquies.
Tali nuove figure sono state quindi inserite non già tra i delitti contro l’ordine pubblico
bensì tra i delitti contro il patrimonio. Per entrambi i reati è prevista la stessa
aggravante dell’effettivo danneggiamento.
Altra
novità
introdotta
dalla
legge
n.
48/08
è
stata
l'estensione
della
responsabilità degli enti per gli illeciti amministrativi da reato anche alle
ipotesi di reati informatici (salvo poche esclusioni).
33
S.Sbordoni "Web, Libertà e Diritto"©
Previsione importante, tenuto conto che il d.l.gs n. 231/2001 ha previsto la
responsabilità degli enti forniti di personalità giuridica e delle società e associazioni
anche prive di personalità giuridica per i reati commessi nel suo interesse o a suo
vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione
o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia
finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione
e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di
uno dei soggetti di cui alla lettera a).
Inoltre, tale intervento normativo si è affiancato all'inserimento di nuovi commi e
articoli nel codice di procedura penale, ad esempio con riferimento alle ispezioni, alle
perquisizioni ed ai sequestri.
9. La legge n. 12 del 15 febbraio 2012: “Norme in materia di misure per il
contrasto ai fenomeni di criminalità informatica”
La legge 15 febbraio 2012, n. 12 (pubblicata in G.U. 23.02.2012) disciplina nuove
misure per il contrasto ai fenomeni di criminalità informatica e prevede al
primo comma un’importante modifica dell’art. 240 del c.p. introducendo la confisca
dei beni e degli strumenti informatici o telematici che risultino essere stati in
tutto o in parte utilizzati per la commissione dei reati introdotti con le leggi n.
547/1993 e n. 48/2008 (di cui agli articoli 615-ter, 615-quater, 615-quinquies, 617bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater,
635-quinquies, 640-ter e 640-quinquies).
L’art. 2 della legge n. 12/2012 introduce anche l’art. 86-bis del d.lgs. n. 271/1989
(norme di attuazione, di coordinamento e transitorie del codice di procedura penale)
stabilendo che i beni e gli strumenti informatici o telematici oggetto di sequestro che,
a seguito di analisi tecnica forense, risultino essere stati in tutto o in parte utilizzati
per la commissione dei reati di cui agli articoli 473, 474, 615-ter, 615-quater, 615quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter,
635-quater, 635-quinquies, 640-ter e 640-quinquies del codice penale, siano affidati
dall'autorità giudiziaria in custodia giudiziale con facoltà d'uso, salvo che vi ostino
esigenze processuali, agli organi di polizia che ne facciano richiesta per l'impiego in
attività di contrasto ai crimini informatici ovvero ad altri organi dello Stato per finalità
di giustizia.
La legge prevede inoltre che gli stessi beni e strumenti acquisiti dallo Stato a seguito
di procedimento definitivo di confisca possano essere assegnati alle amministrazioni
che ne facciano richiesta e che ne abbiano avuto l'uso ovvero, qualora non vi sia stato
34
S.Sbordoni "Web, Libertà e Diritto"©
un precedente affidamento in custodia giudiziale, agli organi di polizia che ne facciano
richiesta per l'impiego in attività di contrasto ai crimini informatici o ad altri organi
dello Stato per finalità di giustizia.
Ne consegue che per i menzionati reati (accesso abusivo ad un sistema informatico o
telematico; detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici; diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico; installazione di
apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni
telegrafiche o telefoniche; falsificazione, alterazione o soppressione del contenuto di
comunicazioni o conversazioni telegrafiche o telefoniche; intercettazione, impedimento
o interruzione illecita di comunicazioni informatiche o telematiche; installazione di
apparecchiature
atte
ad
intercettare,
impedire
od
interrompere
comunicazioni
informatiche o telematiche; falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche; danneggiamento di sistemi informatici e
telematici; danneggiamento di informazioni, dati e programmi informatici utilizzati
dallo Stato o da altro ente pubblico o comunque di pubblica utilità; danneggiamento di
sistemi informatici o telematici; frode informatica), oltre alle sanzioni previste dalle
specifiche disposizioni normative che li riguardano specificamente, si aggiunge come
pena accessoria la confisca degli stessi beni che collegati all’esecuzione di fatti
criminosi potrebbero essere nuovamente utilizzati per compiere ulteriori reati
informatici. Il tutto, dunque, anche con la chiara finalità di impedire che la
disponibilità di materiale funzionale o conseguente al reato possa indurre il reo a
delinquere nuovamente.
35