LEGISLAZIONE•RIFORME
Criminalità informatica
La ratifica
della Convenzione Cybercrime
del Consiglio d’Europa
LEGGE 18 MARZO 2008, N. 48
Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica,
fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno.
(G.U. 4 aprile 2008, n. 80, Supplemento ordinario)
La Camera dei deputati ed il Senato della Repubblica hanno approvato
IL PRESIDENTE DELLA REPUBBLICA
Promulga
la seguente legge:
Capo I
RATIFICA ED ESECUZIONE
Art. 1
Autorizzazione alla ratifica
1. Il Presidente della Repubblica è autorizzato a ratificare la Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre
2001, di seguito denominata «Convenzione».
Art. 2
Ordine di esecuzione
1. Piena e intera esecuzione è data alla Convenzione, a decorrere dalla data della sua entrata in vigore in
conformità a quanto disposto dall’articolo 36 della Convenzione stessa.
Capo II
MODIFICHE AL CODICE PENALE
E AL DECRETO LEGISLATIVO 8 GIUGNO 2001,
N. 231
Art. 3
Modifiche al titolo VII del libro secondo del codice penale
1. All’articolo 491-bis del codice penale sono apportate le seguenti modificazioni:
a) al primo periodo, dopo la parola: «privato» sono
inserite le seguenti: «avente efficacia probatoria»;
b) il secondo periodo è soppresso.
2. Dopo l’articolo 495 del codice penale è inserito il
seguente:
696
DIRITTO PENALE E PROCESSO N. 6/2008
«Art. 495-bis. - (Falsa dichiarazione o attestazione
al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri). - Chiunque dichiara o
attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito
con la reclusione fino ad un anno».
Art. 4
Modifica al titolo XII del libro secondo del codice penale
1. L’articolo 615-quinquies del codice penale è sostituito dal seguente:
«Art. 615-quinquies. - (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). - Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni,
i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale,
o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o,
comunque, mette a disposizione di altri apparecchiature,
dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro
10.329».
Art. 5
Modifiche al titolo XIII del libro secondo del codice penale
1. L’articolo 635-bis del codice penale è sostituito
dal seguente:
«Art. 635-bis. - (Danneggiamento di informazioni,
dati e programmi informatici). - Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora,
cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è com-
LEGISLAZIONE•RIFORME
messo con abuso della qualità di operatore del sistema, la
pena è della reclusione da uno a quattro anni e si procede d’ufficio».
2. Dopo l’articolo 635-bis del codice penale sono inseriti i seguenti:
«Art. 635-ter. - (Danneggiamento di informazioni,
dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). - Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi
informatici utilizzati dallo Stato o da altro ente pubblico
o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione, il deterioramento,
la cancellazione, l’alterazione o la soppressione delle
informazioni, dei dati o dei programmi informatici, la
pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la
pena è aumentata.
Art. 635-quater. - (Danneggiamento di sistemi
informatici o telematici). - Salvo che il fatto costituisca
più grave reato, chiunque, mediante le condotte di cui
all’articolo 635-bis, ovvero attraverso l’introduzione o la
trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da
uno a cinque anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la
pena è aumentata.
Art. 635-quinquies. - (Danneggiamento di sistemi
informatici o telematici di pubblica utilità). - Se il fatto
di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi
informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica
utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la
pena è aumentata».
3. Dopo l’articolo 640-quater del codice penale è inserito il seguente:
«Art. 640-quinquies. - (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica). - Il soggetto che presta servizi di certificazione di
firma elettronica, il quale, al fine di procurare a sé o ad
altri un ingiusto profitto ovvero di arrecare ad altri dan-
no, viola gli obblighi previsti dalla legge per il rilascio di
un certificato qualificato, è punito con la reclusione fino
a tre anni e con la multa da 51 a 1.032 euro».
Art. 6
Modifiche all’articolo 420 del codice penale
1. All’articolo 420 del codice penale, il secondo e il
terzo comma sono abrogati.
Art. 7
Introduzione dell’articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231
1. Dopo l’articolo 24 del decreto legislativo 8 giugno 2001, n. 231, è inserito il seguente:
«Art. 24-bis. - (Delitti informatici e trattamento illecito di dati). - 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies,
635-bis, 635-ter, 635-quater e 635-quinquies del codice
penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui
agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui
agli articoli 491-bis e 640-quinquies del codice penale,
salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o
di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati
nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2
si applicano le sanzioni interdittive previste dall’articolo
9, comma 2, lettere b) ed e). Nei casi di condanna per
uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e)».
Capo III
MODIFICHE AL CODICE
DI PROCEDURA PENALE E AL CODICE
DI CUI AL DECRETO LEGISLATIVO
30 GIUGNO 2003, N. 196
Art. 8
Modifiche al titolo III del libro terzo del codice
di procedura penale
1. All’articolo 244, comma 2, secondo periodo, del
codice di procedura penale sono aggiunte, in fine, le seguenti parole: «, anche in relazione a sistemi informatici
o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne
l’alterazione».
2. All’articolo 247 del codice di procedura penale,
dopo il comma 1 è inserito il seguente:
DIRITTO PENALE E PROCESSO N. 6/2008
697
LEGISLAZIONE•RIFORME
«1-bis. Quando vi è fondato motivo di ritenere che
dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure
di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei
dati originali e ad impedirne l’alterazione».
3. All’articolo 248, comma 2, primo periodo, del
codice di procedura penale, le parole: «atti, documenti
e corrispondenza presso banche» sono sostituite dalle
seguenti: «presso banche atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici».
4. All’articolo 254 del codice di procedura penale
sono apportate le seguenti modificazioni:
a) il comma 1 è sostituito dal seguente:
«1. Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito
procedere al sequestro di lettere, pieghi, pacchi, valori,
telegrammi e altri oggetti di corrispondenza, anche se
inoltrati per via telematica, che l’autorità giudiziaria abbia fondato motivo di ritenere spediti dall’imputato o a
lui diretti, anche sotto nome diverso o per mezzo di persona diversa, o che comunque possono avere relazione
con il reato»;
b) al comma 2, dopo le parole: «senza aprirli» sono
inserite le seguenti: «o alterarli».
5. Dopo l’articolo 254 del codice di procedura penale è inserito il seguente:
«Art. 254-bis. - (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni). - 1. L’autorità giudiziaria, quando dispone
il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che
assicuri la conformità dei dati acquisiti a quelli originali
e la loro immodificabilità. In questo caso è, comunque,
ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali».
6. All’articolo 256, comma 1, del codice di procedura penale, dopo le parole: «anche in originale se così è
ordinato,» sono inserite le seguenti: «nonché i dati, le
informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto,».
7. All’articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente:
«Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell’obbligo di impedirne l’alterazione o l’accesso da parte di
terzi, salva, in quest’ultimo caso, diversa disposizione
dell’autorità giudiziaria».
8. All’articolo 260 del codice di procedura penale
sono apportate le seguenti modificazioni:
a) al comma 1, dopo le parole: «con altro mezzo»
698
DIRITTO PENALE E PROCESSO N. 6/2008
sono inserite le seguenti: «, anche di carattere elettronico o informatico,»;
b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su
adeguati supporti, mediante procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla
segreteria».
Art. 9
Modifiche al titolo IV del libro quinto
del codice di procedura penale
1. All’articolo 352 del codice di procedura penale,
dopo il comma 1 è inserito il seguente:
«1-bis. Nella flagranza del reato, ovvero nei casi di
cui al comma 2 quando sussistono i presupposti e le altre
condizioni ivi previste, gli ufficiali di polizia giudiziaria,
adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione,
procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza,
quando hanno fondato motivo di ritenere che in questi
si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi».
2. All’articolo 353 del codice di procedura penale
sono apportate le seguenti modificazioni:
a) al comma 2 sono aggiunte, in fine, le seguenti parole: «e l’accertamento del contenuto»;
b) al comma 3, primo periodo, le parole: «lettere,
pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza» sono sostituite dalle seguenti: «lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza, anche se in forma elettronica o se inoltrati
per via telematica,» e dopo le parole: «servizio postale»
sono inserite le seguenti: «, telegrafico, telematico o di
telecomunicazione».
3. All’articolo 354, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente:
«In relazione ai dati, alle informazioni e ai programmi
informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure
tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e
l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità».
Art. 10
Modifiche all’articolo 132 del codice in materia
di protezione dei dati personali, di cui al decreto legislativo
30 giugno 2003, n. 196
1. Dopo il comma 4-bis dell’articolo 132 del codice
in materia di protezione dei dati personali, di cui al de-
LEGISLAZIONE•RIFORME
creto legislativo 30 giugno 2003, n. 196, sono inseriti i
seguenti:
«4-ter. Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia
informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza,
nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e
transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate
da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e
proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero
per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze,
per una durata complessiva non superiore a sei mesi, può
prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici
ovvero di terzi.
4-quater. Il fornitore o l’operatore di servizi informatici o telematici cui è rivolto l’ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione
dell’adempimento. Il fornitore o l’operatore di servizi
informatici o telematici è tenuto a mantenere il segreto
relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità.
In caso di violazione dell’obbligo si applicano, salvo che
il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale.
4-quinquies. I provvedimenti adottati ai sensi del
comma 4-ter sono comunicati per iscritto, senza ritardo e
comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il
quale, se ne ricorrono i presupposti, li convalida. In caso
di mancata convalida, i provvedimenti assunti perdono
efficacia».
tribunale del capoluogo del distretto nel cui ambito ha
sede il giudice competente».
Art. 11
Competenza
1. All’articolo 51 del codice di procedura penale è
aggiunto, in fine, il seguente comma:
«3-quinquies. Quando si tratta di procedimenti per i
delitti, consumati o tentati, di cui agli articoli 600-bis,
600-ter, 600-quater, 600-quater.1, 600-quinquies, 615-ter,
615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater,
617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater,
640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all’ufficio del pubblico ministero presso il
Art. 14
Entrata in vigore
1. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.
La presente legge, munita del sigillo dello Stato,
sarà inserita nella Raccolta ufficiale degli atti normativi
della Repubblica Italiana. È fatto obbligo a chiunque
spetti di osservarla e di farla osservare come legge dello
Stato.
Art. 12
Fondo per il contrasto della pedopornografia su internet e
per la protezione delle infrastrutture informatiche di interesse
nazionale
1. Per le esigenze connesse al funzionamento del
Centro nazionale per il contrasto della pedopornografia
sulla rete Internet, di cui all’articolo 14-bis della legge 3
agosto 1998, n. 269, e dell’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione per le esigenze relative alla protezione
informatica delle infrastrutture critiche informatizzate di
interesse nazionale, di cui all’articolo 7-bis del decretolegge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, è istituito, nello
stato di previsione del Ministero dell’interno, un fondo
con una dotazione di 2 milioni di euro annui a decorrere
dall’anno 2008.
2. Agli oneri derivanti dal presente articolo, pari a 2
milioni di euro annui a decorrere dall’anno 2008, si
provvede mediante corrispondente riduzione dello stanziamento iscritto, ai fini del bilancio triennale 20082010, nell’ambito del fondo speciale di parte corrente
dello stato di previsione del Ministero dell’economia e
delle finanze per l’anno 2008, allo scopo parzialmente
utilizzando l’accantonamento relativo al Ministero della
giustizia.
3. Il Ministro dell’economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.
Capo IV
DISPOSIZIONI FINALI
Art. 13
Norma di adeguamento
1. L’autorità centrale ai sensi degli articoli 24, paragrafo 7, e 27, paragrafo 2, della Convenzione è il Ministro della giustizia.
2. Il Ministro dell’interno, di concerto con il Ministro della giustizia, individua il punto di contatto di cui
all’articolo 35 della Convenzione.
DIRITTO PENALE E PROCESSO N. 6/2008
699
LEGISLAZIONE•RIFORME
PROFILI DI DIRITTO PENALE SOSTANZIALE
Lorenzo Picotti
L’obiettivo di dare piena attuazione alla Convenzione Cybercrime, attraverso la “frettolosa” legge di
ratifica 48/2008, appare solo parzialmente raggiunto sul piano del diritto penale sostanziale. Muovendo dalle incriminazioni già introdotte dalla l.
547/1993 contro la criminalità informatica ed operando alcuni interventi rispondenti a mere esigenze
di riforma del diritto interno - soppressione della definizione di “documento informatico” ai fini penali
(art. 491-bis c.p.), introduzione di due nuovi delitti in materia di firme elettroniche (artt. 495-bis e
640-quinquies c.p.) - il legislatore ha riformulato
soltanto i reati di danneggiamento informatico: dal
delitto-ostacolo concernente i “dispositivi” maligni
(art. 615-quinquies c.p.), alle ben quattro ipotesi
incriminatrici distinte a seconda che riguardino dati “privati” (art. 635-bis c.p.) o di “pubblica utilità” (art. 635-ter c.p.), sistemi informatici “privati” (art. 635-quater c.p.) o di “pubblica utilità”
(art. 635-quinquies c.p.). La novella estende infine
a tutti i reati informatici la responsabilità “amministrativa” delle persone giuridiche (ex d.lgs.
231/2001). Ma il complesso che ne risulta presenta
incongruenze tecniche e sistematiche.
1. Introduzione: iter di approvazione della legge
e sguardo d’insieme dei profili sostanziali
La l. 18 marzo 2008 n. 48, che si commenta, è stata
approvata sul finire della scorsa legislatura (1), dopo il
decreto di scioglimento anticipato delle Camere, in
tempi eccezionalmente rapidi e con il consenso pressoché unanime di maggioranza ed opposizione, che ha reso possibile un’improvvisa accelerazione del suo iter parlamentare. Dopo la presentazione del disegno di legge
governativo nel giugno 2007, che recuperava - con notevoli sviste ed approssimazioni - una parte dei risultati
cui era giunta la precedente commissione interministeriale incaricata di redigerlo (2), ben poco cammino era
invero stato fatto nelle due sole sedute preliminari delle
Commissioni Giustizia ed Affari esteri della Camera, tenutesi nell’autunno di quell’anno (3).
Poi, in un sol giorno (19 febbraio 2008), è stato
concluso l’esame in sede referente e trasmesso il testo all’aula, con un unico emendamento (4); ed il giorno successivo vi è stata l’approvazione e trasmissione al Senato, che a sua volta esauriva in poche ore, fra passaggio
nelle commissioni ed in aula, sia l’esame che il voto finale, intervenuto senza modifiche il 27 febbraio 2008.
Maggior tempo occorreva per la promulgazione definitiva e la pubblicazione nella Gazzetta ufficiale (5).
In tanta fretta, non c’è da stupirsi se - nonostante la
700
DIRITTO PENALE E PROCESSO N. 6/2008
“delicatezza” della materia, sottolineata dal relatore al Senato, nominato peraltro il medesimo giorno ed autorizzato alla sola relazione orale (6) - sono state approvate
norme con formulazioni delle cui “incongruenze” i parlamentari stessi si sono dichiarati consapevoli, salvo trincerarsi dietro l’auspicio che la magistratura le avrebbe sapute superare in sede interpretativa, essendo da tutti
considerata preminente l’esigenza di non apportare modifiche che rallentassero od impedissero l’approvazione
finale, nel condiviso “fine di consentire l’adeguamento dell’ordinamento italiano alla normativa internazionale” (7)
mediante l’autorizzazione alla ratifica della Convezione
Cybercrime del Consiglio d’Europa, aperta alla firma a
Budapest il 23 novembre 2001 e già allora sottoscritta
dall’Italia.
Note:
(1) La legge è stata approvata definitivamente dal Senato della Repubblica nella seduta del 27 febbraio 2008 e quindi pubblicata in Gazz. Uff.
il 4 aprile 2008, n. 80, Suppl. ord., entrando in vigore - ai sensi del suo art.
14 - il giorno successivo. Non risulta tuttora depositato l’atto formale di
ratifica. Va in questa sede segnalata la pessima qualità della traduzione
(non ufficiale)in italiano della Convenzione, allegata al testo legislativo,
che addirittura tradisce il significato di alcuni termini tecnici di fondamentale importanza: quale ad es. il concetto di “traffic data” (nel testo ufficiale inglese) e “données relatives au trafic” (in quello francese), definito
esplicitamente dalla lett. d) dell’art. 1 Convenzione, ma tradotto con la
forviante locuzione “trasmissione di dati” [sic!]; altrettanto dicasi per
quello di “devices” (nel testo ufficiale inglese) e “dispositifs” (in quello francese), il cui complesso contenuto è ricavabile dalla formulazione dell’art.
6 (cfr. infra, par. 3-a), ma tradotto riduttivamente come “apparecchiature”.
(2) Per riferimenti critici al tortuoso cammino dei lavori per la predisposizione del disegno di legge di ratifica si veda già C. Sarzana di Sant’Ippolito, Sicurezza informatica e lotta alla cybercriminalità: confusione di competenze e sovrapposizione di iniziative amministrative e legislative, in Dir. Internet, 2005, n. 5, 437 s., in specie 441-444.
(3) Il d.d.l. governativo n. 2087 è stato presentato alla Camera dei Deputati il 19 giugno 2007 ed assegnato alle Commissioni Giustizia (2^) ed
Affari esteri e comunitari (3^), che ne hanno iniziato l’esame il 25 settembre ed il 3 ottobre 2007, riprendendolo poi solo il 19 febbraio 2008 e
concludendolo in un giorno, quando è stato trasmesso all’aula con tutti i
pareri favorevoli (si veda il relativo resoconto in www.camera.it - A.C.
2807).
(4) Relativo all’art. 4 della legge, portante la nuova formulazione dell’art.
615-quinquies c.p., da cui - su proposta condivisa del “Comitato dei diciotto” - è stato espunto dagli elementi del reato il fine specifico di “profitto”, per lasciare solo lo “scopo di danneggiare illecitamente” così da colpire soltanto chi voglia “assaltare o aggredire un sistema” non anche “le aziende e le altre realtà che producono software per la sicurezza” (intervento dell’on. Pietro Folena in appoggio alla proposta annunciata dal Relatore per
la III Commissione Affari esteri, on. Pietro Zacchera), nel resoconto cit.
(5) Cfr. nota 1.
(6) Cfr. resoconto della seduta del 27 febbraio 2008 (durata dalle 14.10
alle 14.40) delle Commissioni riunite Giustizia (2^) ed Affari esteri (3^)
del Senato, reperibile al sito ufficiale www.senato.it (atto n. 2012).
(7) Cfr. intervento del Relatore sen. Felice Casson in replica ai rilievi del
sen. Centaro, in resoconto della seduta del 27 febbraio 2008 cit. alla nota precedente.
LEGISLAZIONE•RIFORME
Ma la “piena ed intera esecuzione”, che ai sensi dell’art. 2 l. 48/2008 le è stata formalmente data - ed avrà
pieno effetto per i profili di diritto internazionale soltanto dal momento del formale deposito dell’atto di ratifica
- non trova soddisfacente riscontro nelle norme sostanziali e processuali ora introdotte nel nostro ordinamento.
Limitandosi in questa sede alle prime - artt. da 3 a 7
costituenti il Capo II della legge in esame - si riscontra,
in primo luogo, l’inserimento o la modifica di fattispecie
penali che non appaiono affatto esecutive della Convenzione, rispondendo piuttosto ad autonome scelte del legislatore nazionale, il quale sembra aver colto l’occasione della legge in questione per rivedere alcune parti controverse della disciplina già vigente in materia. Emblematica è al riguardo la modifica dell’art. 491-bis c.p.,
contenente la definizione di “documento informatico”
(cfr. infra par. 2-a); ma ancor più autonoma rispetto alle
esigenze di armonizzazione connesse alla ratifica è l’introduzione dei due nuovi delitti di cui all’art. 495-bis c.p.,
che punisce la “falsa dichiarazione o attestazione al certificatore di firma elettronica” (cfr. infra par. 2-b), ed all’art. 640-quinquies c.p., che punisce la “frode informatica del soggetto che presta servizi di certificazione di firma elettronica” (cfr. infra par. 2-c).
In secondo luogo, quanto alle norme di diritto penale sostanziale effettivamente introdotte o modificate
per dare esecuzione alla Convenzione, esse si riducono a
quelle contenute negli artt. 4 e 5 l. 48/2008, che presentano rilevanti manchevolezze tecniche e sistematiche.
La prima disposizione ha sostituito l’originaria formulazione dell’art 615-quinquies c.p., con una nuova tipizzazione del delitto che avrebbe dovuto renderlo più
aderente al testo dell’art. 6 Convenzione Cybercrime secondo cui deve sanzionarsi penalmente il c.d. “abuso
di dispositivi” - punendo più ampiamente la “diffusione
di apparecchiature, dispositivi e programmi informatici
diretti a danneggiare o interrompere un sistema informatico o telematico” (cfr. infra par. 3-a).
La seconda disposizione, composta di numerosi
commi, ha invece riscritto l’intero ‘sistema’ delle fattispecie di danneggiamento informatico, non solo modificando la preesistente incriminazione del “danneggiamento di informazioni, dati e programmi informatici”
(corsivo aggiunto alla rubrica dell’art. 635-bis c.p., su cui
cfr. infra par. 3-b), ma introducendo accanto ad essa addirittura tre nuove ipotesi delittuose, consistenti rispettivamente nel “danneggiamento di sistemi informatici o
telematici” (corsivo aggiunto alla rubrica del nuovo art.
635-quater c.p., su cui cfr. infra par. 3-c) e nei due ‘paralleli’ delitti di “danneggiamento di informazioni, dati e
programmi informatici utilizzati dallo Stato o da altro
ente pubblico o comunque di pubblica utilità” (corsivi aggiunti alla rubrica del nuovo art. 635-ter c.p.), nonché di
“sistemi informatici o telematici di pubblica utilità” (corsivi aggiunti alla rubrica del nuovo art. 635-quinquies c.p.,
su cui cfr. infra par. 3-d).
La novella è completata, sul punto, dalla contem-
poranea abrogazione - ad opera dell’art. 6 l. 48/2008 - dei
commi secondo e terzo dell’art. 420 c.p., che punivano
rispettivamente la fattispecie di “attentato ad impianti
di pubblica utilità” concernente “sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o
programmi in essi contenuti o ad essi pertinenti” (corsivi aggiunti), nonché l’ipotesi aggravata dall’effettiva “distruzione o […] danneggiamento […] ovvero […] interruzione anche parziale del funzionamento dell’impianto
o del sistema” (corsivo aggiunto; cfr. infra par. 3-d).
Completa, infine, le modifiche di diritto sostanziale
“punitivo” l’art. 7 l. 48/2008, che in adempimento degli
artt. 12 e 13, par. 2, Convenzione Cybercrime - ed in
conformità con l’art. 9 Decisione quadro UE
2005/222/GAI contro gli attacchi informatici (8), riguardante peraltro i soli delitti di accesso abusivo ad un
sistema informatico ed i danneggiamenti di dati e sistemi informatici - ha aggiunto al d.lgs. 8 giugno 2001, n.
231, un nuovo art. 24-bis che ha esteso la responsabilità
“amministrativa” da reato delle persone giuridiche e degli enti a tutte le nuove fattispecie delittuose in materia
di criminalità informatica introdotte nel nostro codice
penale sia dalla legge di ratifica in esame (con esclusione
del solo art. 495-bis c.p., concernente la falsa attestazione al certificatore), sia dalla precedente l. 547/1993, salva l’anomala esclusione del delitto di frode informatica,
di cui all’art. 640-ter c.p., se non “commesso in danno dello Stato o di altro ente pubblico”, cui tuttora si limita la previsione dell’art. 24 d.lgs. 231/2001, mantenuta stranamente nell’originaria formulazione (cfr. infra par. 4).
2. Le novelle in materia di falsità informatiche
e di certificazioni relative alle firme elettroniche
Il primo gruppo di modifiche riguarda la materia
delle falsità informatiche, cui si deve ricondurre anche la
nuova disciplina penale concernente il sistema di certificazioni delle firme elettroniche. Benché si tratti di disposizioni collocate dal legislatore del 2008 in tre capi diversi del codice penale, ed anzi una addirittura nel titolo
XIII fra i delitti contro il patrimonio - perché configurata come ipotesi di “frode” (art. 640-quinquies c.p.): il che
ha determinato la sua introduzione ad opera dell’art. 5,
anziché dell’art. 2 l. 48/2008 - la loro stretta connessione
concettuale e la comune pertinenza alla tutela della ‘fede pubblica’ ne suggerisce una trattazione ravvicinata.
a) Le modifiche alla definizione di “documento
informatico” ai fini penali (art. 491-bis c.p.).
Il primo intervento concerne l’art. 491-bis c.p., di
cui è stato soppresso (art. 3, comma 1, lett. b) l. 48/2008)
il secondo periodo del comma 1, contenente la definiNota:
(8) Pubblicata in Gazz. Uff. UE del 16 marzo 2005 L 69/67 s., stabiliva il
termine del 16 marzo 2007 per la sua attuazione. Per un veloce raffronto
fra le previsioni della menzionata Decisione quadro e quelle della Convenzione Cybercrime sia consentito rinviare a L. Picotti, Internet e diritto
penale: il quadro attuale alla luce dell’armonizzazione internazionale, in Diritto dell’Internet, 2005, n. 2, 189 s.
DIRITTO PENALE E PROCESSO N. 6/2008
701
LEGISLAZIONE•RIFORME
zione normativa di “documento informatico”, essendosene finalmente riconosciuta la “sopravvenuta inadeguatezza” (9).
La norma era stata introdotta dalla citata l.
547/1993 contro la criminalità informatica, per rendere
più certo l’ambito di estensione applicativa dei delitti di
“falsità documentale” ai nuovi oggetti di tutela, stabilito
dalla prima parte del medesimo comma 1, che richiamava tutte (e sole) le disposizioni “concernenti rispettivamente gli atti pubblici e le scritture private” (art. 491-bis, comma
1, primo periodo, c.p.)
Il legislatore italiano aveva perciò coniato un’“originale” nozione ad hoc, pur in assenza di specifica disciplina ed addirittura di qualsivoglia definizione giuridica
di “documento informatico” ai fini civili od amministrativi, invertendo logicamente i rapporti fra diritto penale
ed ordinamento extrapenale. Ma oggi ha finalmente abbandonato la criticata prospettiva “autonomista” seguita
15 anni or sono, che non trovava riscontro nell’esperienza comparatistica e neppure nelle fonti internazionali, salvo l’indiretto spunto proveniente dalla formulazione delle Raccomandazioni del Consiglio d’Europa del
1989.
Queste infatti richiamavano, a proposito della “falsità informatica” prevista alla lettera b) della c.d. lista minima delle incriminazioni da introdurre, generiche condotte di “ingerenza” in un trattamento informatico, qualificate da una sorta di clausola di equivalenza, per la
quale esse “secondo il diritto nazionale costituirebbero
reato di falso, se riguardassero un oggetto tradizionale di
questo tipo di infrazione” (10).
Ma come già rilevato fin dal primo commento, questa formula era meramente ipotetica, escludendo a contrario la (necessità di) coincidenza effettiva fra documento (tradizionalmente inteso) ed ‘oggetto’ da tutelare
nei casi di falsità informatica (11). In ogni caso, la formulazione introdotta dalla l. 547/1993 si presentava intrinsecamente inadeguata alla realtà da regolare, perché
poneva l’accento sul “supporto” - “informatico” anziché
cartaceo - che avrebbe caratterizzato il “documento
informatico”, concepito in troppo stretta analogia con la
comune nozione di “documento”, elaborato da una risalente tradizione giuridica extrapenale, fino a presupporre addirittura che, al pari di questo, dovesse “incorporare” (o “contenere”, secondo la terminologia del legislatore del 1993), la dichiarazione di volontà o di scienza
che lo costituisce.
Tanto che la giurisprudenza, seguendo un’interpretazione in chiave di accentuata continuità con il passato
- cui non è stata estranea l’esigenza contingente di garantire la punibilità di falsità commesse prima dell’entrata in vigore della nuova disciplina - ha affermato addirittura, a più riprese, che la definizione di documento informatico introdotta ai fini penali nel 1993 non avrebbe
avuto carattere innovativo o costitutivo, ma solo “interpretativo” od esplicativo dell’estensione, anche alle
nuove modalità di formazione e memorizzazione su sup-
702
DIRITTO PENALE E PROCESSO N. 6/2008
porti informatici, della nozione unitaria di “documento”
(12), concepita come categoria perdurante nel tempo, di
cui quello “informatico” rappresenterebbe al più una species, anziché un quid novum in rapporto, piuttosto, di mera analogia con il concetto tradizionale (13).
Quest’approccio, basato sull’argomento dell’eadam
ratio che sorregge l’estensione sostanzialmente analogica
della portata della norma, seppur criticabile per l’erosione dei fondamentali principi di tassatività ed irretroattività in materia penale, ha però anche fatto emergere la
condivisibile esigenza di valorizzare il contenuto funzionale e normativo della nozione di “documento”, che rinviando alle discipline dei diversi rami dell’ordinamento
giuridico in cui si è sviluppato, a partire da quello civile
ed amministrativo, avrebbe dovuto emanciparsi dall’angusto contenuto della formula fissata dal legislatore del
1993 al solo “fine” di rendere applicabili le fattispecie incriminatrici in materia di falsità documentale (14).
Mentre sul piano tecnico, l’imponente sviluppo - rispetto ai primi anni ‘90 - delle comunicazioni telematiche e delle connessioni in rete, in cui i dati non devono
Note:
(9) Così si legge nella Relazione d’accompagnamento al d.d.l. n. 2807, 5.
(10) Conseil de l’Europe, Raccomandation N. R (89) 9 contre la criminalité
informatique (corsivo agg.). Per una più approfondita analisi critica di
questa formulazione ed alcuni spunti di comparazione giuridica, specie
con la nuova legislazione tedesca in materia, si veda L. Picotti, Studi di diritto penale dell’informatica, Verona, 1992, in specie 95 s.; e già Id., Problemi penalistici in tema di falsificazione di dati informatici, in Dir. inf., 1985, 939
s., nonché - con aggiornamenti ed integrazioni - in F. Ferracuti (cur.),
Trattato di criminologia, medicina criminologica e psichiatria forense, vol. X,
Milano, 1988, cap. 10.2, 21 s.
(11) L. Picotti, Commento all’art. 3 L. 23/12/1993 N. 547, in Leg. pen.,
1996, 62 s., in specie 73-74; nonché Id., Reati informatici, in Enc. Giur.
Treccani, vol agg. VIII, Roma 1999, 10 s.; in senso adesivo a tali critiche
G. Pica, Diritto penale delle tecnologie informatiche, Torino 1999, 115 s., in
specie 119-124; Id., voce Reati informatici e telematici, in Dig. pen., vol,
agg. I, Torino 2000, 521 s., in specie 537-539.
(12) Cass., Sez. V, 24 novembre 2003, Russello, in Foro it., 2005, II, c.
324 s., con motivazione e nota di richiami a precedenti sull’asserita natura “interpretativa” e non innovativa, della norma in questione: fra cui
Cass., Sez. V, 14 marzo 2003-12 maggio 2003, Sciamanna, in D&G,
2003, n. 22, 50, con nota di M. Fumo, I database informatici della PA sono
pur sempre pubblici registri. Per un quadro in materia cfr. M. Grotto, Regime giuridico del falso informatico e dubbi sulla funzione interpretativa dell’art.
491-bis c.p., in Dir. inf., 2006, 589 s.
Ma la stessa giurisprudenza ha poi dovuto riconoscere che il concetto
avrebbe quantomeno una seconda “articolazione”, necessariamente innovativa, perché riguardante i “programmi destinati ad elaborare” i dati informatici come tali (Cass., Sez. V, 21 settembre 2005, dep. 14 dicembre 2005, n. 45313/2005, CED Cass. pen. 2005, 232735, edita in
Dir. Internet, 2006, n. 3, 255 s., con nota di G. Pica, Osservazioni sui problemi del falso informatico).
(13) In tal senso si rinvia sinteticamente a L. Picotti, Sistematica dei reati
informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id.
(cur.), Il diritto penale dell’informatica nell’epoca di Internet, Padova 2004,
61-65; più di recente M. Grotto, Regime giuridico, cit., 615-619.
(14) Per ulteriori notazioni critiche sui limiti sistematici anche di tale
clausola, che pareva ignorare qualsiasi altra fattispecie di falsità estranea
al Capo III del Titolo VII contenente i delitti contro la fede pubblica (viceversa presenti in molte altre parti del codice e nella legislazione speciale), si veda ancora L. Picotti, Commento all’art. 3, cit., 91 s.
LEGISLAZIONE•RIFORME
e per lo più non sono affatto “incorporati” o “contenuti”
stabilmente in un supporto determinato, ma anzi hanno
lo specifico pregio di poter essere riprodotti, trattati, venir trasmessi a distanza, circolare, ecc. a prescindere dalle
sorti di quello in cui pur siano momentaneamente, parzialmente od anche stabilmente memorizzati (o “contenuti”), hanno dato chiara dimostrazione dell’inidoneità
di una tutela penale concepita come avente ad oggetto i
“supporti” (15), anziché direttamente i contenuti dichiarativi o probatori trattati con le tecnologie informatiche.
Le loro specifiche caratteristiche - specie nel caso di
trasmissioni via internet, satellitari, wireless, ecc. - consentono o richiedono di “recuperare” e “trattare” i contenuti informativi e dichiarativi di dati visualizzabili e riproducibili anche a stampa come atti unitari, da distinti
“supporti”, memorie o fonti, che solo in via elettronica
sono connessi in un’unità logica, escludendo definitivamente che la protezione dei “documenti informatici”, se
così li si vuole continuare a chiamare nel nostro ordinamento, possa ridursi o basarsi su quella dei relativi “supporti”.
In ogni caso, la formulazione dell’art. 7 Convenzione Cybercrime - collocato nel Capitolo I, titolo 2, riguardante le “infrazioni informatiche” per così dire ‘classiche’, che comprendono anche la “frode informatica”
(art. 8) - prescrive l’incriminazione della “falsità informatica” nei seguenti termini: “l’introduzione, l’alterazione, la cancellazione o la soppressione intenzionali e senza diritto di dati informatici, che generino dati non autentici, nell’intenzione che essi siano presi in conto o
utilizzati a fini giuridici come se fossero autentici, che
siano o no direttamente leggibili od intelligibili” (corsivo agg.). Nell’ultima parte della disposizione la Convenzione lascia agli Stati parte di esigere altresì, per la punibilità, un’intenzione “fraudolenta” o “delittuosa similare”.
Dunque, non occorre affatto ricondurre l’oggetto
della “falsificazione” alla nozione giuridica di “documento” tradizionalmente inteso, essendo essenziale soltanto
che sia punita la violazione del requisito dell’“autenticità” dei dati o del loro trattamento, quando abbiano
specifica rilevanza nel traffico giuridico, a prescindere
dalla loro diretta “leggibilità” per l’uomo.
Di conseguenza, appare senz’altro opportuna la definitiva soppressione, da parte del legislatore italiano,
della criticata nozione - esclusivamente ‘penalistica’ - di
“documento informatico”, con logico rinvio alla nozione generale nel frattempo sviluppatasi nell’ordinamento
extrapenale e suscettibile di ulteriore evoluzione, a partire dalla definizione offerta dall’art. 1, lett. a) d.p.r. 10 novembre 1997, n. 513 (cui fa espresso richiamo la Relazione d’accompagnamento al d.d.l. n. 2087 del 2007),
recepita poi nel T.U. in materia di documentazione amministrativa approvato con d.p.r. 28 dicembre 2000, n.
445 e confluita infine nell’art. 1, lett. p) del Codice dell’amministrazione digitale, approvato con d. lgs. 7 marzo
2005, n. 82 e da ultimo modificato dal d.lgs. 4 aprile
2006, n. 159.
Secondo questa definizione è “documento informatico: la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti” (corsivi agg.). Due sono gli essenziali elementi elastici, di cui occorre sottolineare la
funzione adeguatrice alla mutevole realtà odierna: quello che rinvia all’evoluzione della tecnologia “informatica” e quello che richiama la pluralità delle diverse fonti
normative, da cui dipende la rilevanza “giuridica” dei
singoli “atti, fatti o dati” oggetto di una siffatta forma di
“rappresentazione, senza che vi sia più alcun richiamo al
relativo supporto.
In tal modo la nozione può costantemente corrispondere alle esigenze dei diversi ambiti dell’ordinamento giuridico, da quello civile (16), a quello amministrativo, fino a quello fiscale, penale, ecc., secondo le specifiche disposizioni rispettivamente rilevanti e modificabili,
nonché l’evoluzione tecnica futura.
Il concetto, di natura squisitamente normativa, trova importante completamento nella disciplina delle “firme elettroniche” (sui cui specifici profili penali si tornerà nel successivo paragrafo), confluita nel medesimo
Codice dell’amministrazione digitale, che stabilisce importanti regole - basate su disposizioni comunitarie - per
l’attribuzione della paternità dei “documenti informatici” al loro autore apparente, condizione decisiva per la
correlativa tutela della loro “autenticità” oltre che “genuinità” (17).
Note:
(15) Nel senso criticato la Relazione d’accompagnamento al d.d.l. n. 2773
presentato alla Camera dei Deputati l’11marzo 1993, 9 (in Atti parlamentari - XI Legislatura), in cui si parla esplicitamente del “supporto informatico” quale “oggetto del reato”. In senso analogo si è orientata anche la
dottrina italiana dell’epoca: C. Sarzana di Sant’Ippolito, Informatica e diritto penale, Milano 1994, 209; M. Petrone, Le recenti modifiche del codice
penale in tema di documento informatico: problemi e prospettive, in Dir. inf.,
1995, 259 s., in specie 262-263; successivamente anche C. Parodi, Il documento informatico nel sistema normativo penale, in questa Rivista, 1998, n.
3, 369 s.; C. Pecorella, Il diritto penale dell’informatica, Padova 2000 (rist.
2006), 145 s.
(16) Ad es. con riferimento al requisito della “forma scritta” nelle diverse specie di atti per cui è richiesta dal codice civile (art. 20, comma 2, con
riferimento all’art. 1350 c.c.), oppure con riferimento al valore delle riproduzioni (art. 2172 c.c., modificato ai sensi dell’art. 23, comma 1, Codice cit.) e copie (art. 23, comma 3, Codice cit., con riferimento agli artt
2714 e 2715 c.c.).
(17) La complessa disciplina introdotta dal d.lgs. 23 gennaio 2002, n.
10, in attuazione della Direttiva 1999/93/CE del 13 dicembre 1999,
porta a distinguere esplicitamente l’efficacia o “valore probatorio” del
documento informatico a seconda della “tipologia” della stessa firma
elettronica (semplice, “digitale” o “qualificata”): cfr. oggi l’art. 20, comma 2, Codice cit., secondo cui “Il documento informatico sottoscritto con
firma elettronica qualificata o con firma digitale, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, si presume riconducibile al titolare del dispositivo di firma ai sensi dell’articolo 21, comma
2, e soddisfa comunque il requisito della forma scritta, anche nei casi previsti,
sotto pena di nullità, dall’articolo 1350, primo comma, numeri da 1 a 12 del
codice civile”; ed il successivo art. 21, in specie commi 1 e 2, secondo cui
(segue)
DIRITTO PENALE E PROCESSO N. 6/2008
703
LEGISLAZIONE•RIFORME
Infatti le “alterazioni” o “contraffazioni” - corrispondenti alla tradizionale nozione di falsità “materiale”
(18) - realizzate o meno con manipolazioni o ‘tecniche’
informatiche, sono chiaramente individuabili e dunque
eventualmente punibili, alla stregua di dette regole, anche in assenza di qualsivoglia intervento fisico sulla res
(supporto) che ‘incorpori’ più o meno stabilmente il
contenuto dichiarativo o rappresentativo e l’eventuale
sottoscrizione, a prescindere dalla formulazione in una
scrittura o linguaggio “direttamente leggibili od intelligibili”
dall’uomo.
Accanto all’opportuna abrogazione del secondo periodo del comma 1 dell’art. 491-bis c.p., l’art. 3, comma
1, lett. a) l. 48/2008 ha invece inteso mantenere in vita
la locuzione “avente efficacia probatoria”, anticipandola
nel primo periodo, dopo la frase d’esordio: “Se alcuna delle falsità previste dal presente capo riguarda un documento
informatico pubblico o privato”.
Si potrebbe ritenere che si tratti di un requisito in
realtà implicito nel concetto stesso di “documento informatico” offerto dall’esaminata definizione extrapenale, o
che addirittura si ponga in contraddizione con questa,
per la diversità della più generica locuzione “giuridicamente rilevanti” ivi contenuta.
Ma proprio la disciplina extrapenale, regolando in
modo differenziato il “valore probatorio” dei documenti
informatici e mantenendo fermo il principio della “libera valutabilità in giudizio” anche in caso di sottoscrizione (art. 21, comma 1, Codice cit.), salvi i casi riconducibili al sistema di presunzioni in materia, ne attesta la differente “efficacia” che ad essi può venir riconosciuta, in
funzione soprattutto delle “caratteristiche oggettive di
qualità, sicurezza, integrità e immodificabilità” (art. 21,
comma 2, Codice cit.) che li connotino, nonché delle
diverse tipologie di firma elettronica di cui siano o meno
muniti (cfr. art. 20, in specie comma 2 Codice dell’amministrazione digitale).
Dato questo articolato contesto di disciplina, che
investe ogni settore del diritto - a partire da quello civile
ed amministrativo - l’elemento dell’“efficacia probatoria” non va inteso in chiave meramente processuale, ma
nel più ampio significato di funzione o rilevanza probatoria
che assumono in concreto i dati ed i trattamenti informatici, rispondonenti - nell’odierna società informatizzata - a quelle medesime esigenze di certezza ed affidamento nella ‘rappresentazione’ (tramite atti, fatti e dati)
dei rapporti rilevanti nel traffico giuridico (19), per cui
meritano una protezione penale del tutto “equivalente” non per questo identica - a quella apprestata ai documenti tradizionalmente intesi.
Il requisito in questione non è dunque superfluo,
dovendo invece guidare l’interprete nella spesso sottile
distinzione fra la molteplicità di dati e trattamenti informatici, che pur possono venire in rilievo anche a specifici fini giuridici, ma senza godere di una siffatta tutela,
perché privi di funzione o rilevanza probatoria, benché
possano eventualmente goderne una diversa, anche pe-
704
DIRITTO PENALE E PROCESSO N. 6/2008
nale, qual è ad es. quella stabilita contro i danneggiamenti informatici (di cui si tratterà infra, par. 3) ovvero
contro le violazioni concernenti la disciplina dei dati
personali, se ne abbiano i requisiti (20).
b) Il nuovo delitto di false dichiarazioni al
certificatore (art. 495-bis c.p.)
Completano le modifiche in materia di tutela penale della fede pubblica “informatica” le due nuove fattispecie incriminatrici, che - senza alcun riferimento alle previsioni della Convenzione Cybercrime - puniscono
comportamenti illeciti consistenti nella violazione di regole relative alla disciplina italiana delle c.d. firme elettroniche (21), concernenti in particolare i rapporti fra
gli utenti ed il soggetto che esercita servizi di certificazione. Si tratta di norme penali che vanno dunque lette
in stretta connessione con le relative disposizioni extrapenali, oggi contenute nel citato Codice dell’amministrazione digitale (in specie nella Sezione II del Capo I,
artt. da 24 a 37).
Da un lato, viene introdotto fra i delitti contro la
fede pubblica, di cui al titolo VII del libro II del codice penale - ma nel capo IV dedicato alla “falsità personale” anziché nel III dedicato alla “falsità in atti” in
cui si collocano quelle “informatiche” appena esaminate - il nuovo delitto di “falsa dichiarazione o attestazione al certificatore di firma elettronica sull’idenNote:
(continua nota 17)
“1. Il documento informatico, cui è apposta una firma elettronica, sul piano
probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. 2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma
elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria.”
(18) Come già sottolineato fin dal nostro primo commento all’art. 491bis c.p., non pone invece speciali problemi - ulteriori rispetto a quello dell’individuazione della nozione di documento informatico - la condotta di
falsità ideologica, che offendendo il diverso bene della “veridicità” del
contenuto ideale del documento, non si differenzia essenzialmente da
quella relativa ad un documento tradizionale, avendo come comune parametro di riferimento la realtà oggettiva esterna, che rappresenta il contenuto dell’“attestazione” da parte del soggetto tenuto al relativo obbligo
(L. Picotti, Commento all’art. 3, cit., 94).
(19) Per l’interpretazione in tal senso della locuzione che già compariva
nel secondo periodo del comma 1 art. 491-bis c.p. si rinvia ancora a L. Picotti, Commento all’art. 3, cit., 76 s.
(20) Per più ampi riferimenti al riguardo, che fondano ad es. la differente
repressione del falso per soppressione rispetto al danneggiamento informatico, benché la condotta materiale che li integra possa essere del tutto
identica, sia consentito rinviare a L. Picotti, Studi, cit., 99 s., nonché 64 s.
con riguardo al corrispondente sistema penale tedesco.
(21) Non è questa la sede per analizzare e considerare criticamente le tormentate scelte del legislatore nazionale al riguardo, che secondo alcuni
punti di vista critici avrebbero eccessivamente reso complessa la disciplina, senza nel contempo garantire sufficiente efficienza all’intero sistema.
Per un quadro di sintesi si veda G. Navone, La firma digitale ed il sistema di
certificazione quale nuovo strumento di pubblicità legale, in Diritto dell’Internet, 2008, n. 2, 113 s., cui si rinvia anche per aggiornati richiami bibliografici in materia.
LEGISLAZIONE•RIFORME
tità o qualità personali proprie o di altri” (nuovo art.
495-bis c.p.).
Dall’altro è collocato addirittura fra i “delitti contro
il patrimonio mediante frode” di cui al capo II del titolo
XIII della parte speciale del codice penale, il nuovo reato proprio di “frode informatica del soggetto che presta
servizi di certificazione di firma elettronica” (art. 640quinquies c.p.: cfr. infra sub c).
Nel primo caso, ora in esame, si tratta invece di un
reato comune, realizzabile da chiunque rilasci al certificatore una “dichiarazione” od “attestazione” falsa ideologicamente (perché non veridica) o materialmente (perché non genuina) sull’identità o lo stato o altre qualità
personali, visto che nel “certificato qualificato” - necessario per generare la firma digitale - si devono rilevare,
secondo le regole tecniche stabilite con appositi decreti
ministeriali, oltre alla validità del certificato stesso, “gli
elementi identificativi del titolare” e del certificatore e
gli eventuali limiti d’uso (art. 24, comma 4, Codice dell’amministrazione digitale).
Si deve ritenere che siano oggetto dell’obbligo di
veridica dichiarazione od attestazione penalmente sanzionato non solo tutti i dati elencati come “obbligatori”
dai commi 1 e 2 dell’art. 28 Codice cit., ma anche quelli meramente “facoltativi”, di cui al comma 3, che riguardano informazioni rilevanti, ed anzi assai importanti nel traffico giuridico, quali le qualifiche specifiche del
titolare (appartenenza ad ordini o collegi professionali,
qualifica di pubblico ufficiale, iscrizione ad albi o possesso di altre abilitazioni professionali, poteri di rappresentanza), i limiti d’uso del certificato, i limiti del valore degli atti unilaterali e dei contratti per i quali il certificato
può essere usato (22).
Pur essendo rimessa al titolare od al terzo interessato la facoltà di richiedere che il certificato contenga le
predette informazioni, vi è infatti un generale obbligo di
comunicare tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto di tutte le
informazioni di cui all’intero art. 28 cit., siano esse obbligatorie ovvero facoltative. Ed è anzi proprio in relazione a queste ultime che appare importante la previsione sanzionatoria che si commenta, potendo altrimenti
restare la loro falsa attestazione o dichiarazione del tutto
priva di sanzione penale, mentre in relazione alle altre
potrebbe ipotizzarsi anche il delitto di cui all’art. 494
c.p., se non quelli di cui agli artt. 495 e 496, ove si voglia
ritenere sussistente una qualifica pubblicistica del certificatore ai fini penali.
Il nuovo delitto è punito con la sanzione relativamente lieve della “reclusione fino ad un anno”, pari a
quella della menzionata “sostituzione di persona” di cui
all’art. 494 c.p., quindi inferiore a quella della “falsa attestazione o dichiarazione a un pubblico ufficiale sull’identità o qualità personali proprie o di altri”, di cui all’art.
495 c.p., dopo il quale è stato immediatamente inserito
e che sembra costituirne il paradigma normativo, come
emerge anche dalla rubrica di quello nuovo, formulata
in termini identici salvo che per la diversa qualità del destinatario della falsa attestazione: non “pubblico ufficiale”, ma “certificatore di firma elettronica”.
Mentre però il delitto di cui all’art. 495 c.p. si deve
altresì consumare “in un atto pubblico” (comma 1) od
“in una dichiarazione destinata a essere riprodotta in un
atto pubblico” (comma 2 della stessa norma), quello di
nuovo conio prevede soltanto che la dichiarazione o attestazione falsa sia “al soggetto che presta servizi di certificazione delle firme elettroniche”.
Si potrebbe dedurre da questa scelta la volontà legislativa di escludere ogni qualificazione pubblicistica dall’attività di certificazione delle firme elettroniche, che
può essere, ed anzi è di regola esercitata da “soggetti” privati, come testualmente prevede, anche nel caso di certificatori “accreditati”, l’art. 29, comma 3, Codice dell’amministrazione digitale.
Nondimeno qualche dubbio permane, perché essa
appare non solo regolata da “norme di diritto pubblico e
da atti autoritativi” - quali sono ad es. i provvedimenti
dell’autorità di controllo (individuata nel CNIPA: Centro Nazionale per l’Informatica nella Pubblica Amministrazione), che può anche disporre il divieto di prosecuzione dell’attività e la rimozione dei suoi effetti: art. 27,
comma 4, Codice cit. - ma anche caratterizzata dal suo
svolgersi per mezzo di “poteri certificativi” tipici della
Nota:
(22) Ai sensi dell’art. 28 cit. “i certificati qualificati devono contenere almeno le seguenti informazioni: a. indicazione che il certificato elettronico rilasciato è un certificato qualificato; b. numero di serie o altro codice
identificativo del certificato; c. nome, ragione o denominazione sociale
del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; d. nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato; e. dati per la verifica
della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati
per la creazione della stessa in possesso del titolare; f. indicazione del termine iniziale e finale del periodo di validità del certificato; g. firma elettronica qualificata del certificatore che ha rilasciato il certificato realizzata in conformità alle regole tecniche ed idonea a garantire l’integrità e la
veridicità di tutte le informazioni contenute nel certificato medesimo”.
In aggiunta alle elencate informazioni (di cui al comma 1), in base al capoverso “fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all’estero cui non risulti attribuito il codice fiscale, si deve
indicare il codice fiscale rilasciato dall’autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio
un codice di sicurezza sociale o un codice identificativo generale”. Infine,
nel comma 3, sono elencate le informazioni facoltative, stabilendosi che
“Il certificato qualificato può contenere (corsivo agg.), ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo
scopo per il quale il certificato è richiesto: a. le qualifiche specifiche del
titolare, quali l’appartenenza ad ordini o collegi professionali, la qualifica
di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni
professionali, nonché poteri di rappresentanza; b. i limiti d’uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di
rappresentanza di cui alla lettera a) ai sensi dell’art. 30, comma 3; c. limiti del valore degli atti unilaterali e dei contratti per i quali il certificato
può essere usato, ove applicabili”. La norma si conclude comunque con
un obbligo generale di comunicazione del seguente tenore: “Il titolare,
ovvero il terzo interessato se richiedente ai sensi del comma 3, comunicano tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto delle informazioni di cui al presente articolo” (corsivi agg.).
DIRITTO PENALE E PROCESSO N. 6/2008
705
LEGISLAZIONE•RIFORME
pubblica funzione amministrativa in senso oggettivo, ai
sensi dell’art. 357, comma 2, c.p.
Ed alla stregua della menzionata disciplina giuridica, l’attività dei certificatori presenta chiare finalità di
interesse pubblico, con connotazioni e contenuti pubblicistici, specie se si tratta di quella dei certificatori qualificati ed accreditati che vengono in rilievo nelle incriminazioni in esame, poiché richiede, oltre a requisiti soggettivi per l’esercizio, condizioni organizzative e modalità predeterminate di svolgimento dell’attività, nonché
controlli penetranti da parte della pubblica autorità, cui
competono specifiche funzioni di vigilanza, per l’appunto, sui certificatori qualificati ed accreditati (ex art. 29
Codice dell’amministrazione digitale), fino al potere di
disporre, se del caso, il menzionato divieto di prosecuzione dell’attività e la rimozione dei suoi effetti (art. 27,
comma 4, Codice cit.). Scopo della disciplina, infatti, è
la “pubblicità legale” da garantire alle chiavi pubbliche necessarie per apporre la firma digitale ai documenti
informatici - mediante “certificazione” della loro titolarità in capo ad un determinato soggetto, con tenuta obbligatoria dei relativi elenchi accessibili al pubblico. Per
cui, come è stato rilevato anche da un punto di vista extrapenale, vi è una molteplicità di profili ed interessi da
proteggere, e non si può formulare una risposta unitaria
o monistica al quesito sulla sua natura (23).
In definitiva, non si può escludere che rispetto a
singoli atti e adempimenti, attinenti in particolare al rilascio e alla gestione dei certificati “qualificati”, possano
convergere discipline differenziate anche sotto il profilo
penale.
La nuova fattispecie è del resto punita più gravemente di quella di cui all’art. 496 c.p., che sanziona con la reclusione fino ad un anno ovvero con la sola multa fino
ad euro 516 la “falsa dichiarazione sulla identità o su qualità personali proprie o di altri” da parte di chi - “fuori dei
casi indicati negli articoli precedenti”: e dunque anche fuori
dell’ipotesi speciale in esame - “interrogato” su tali circostanze renda “mendaci dichiarazioni a un pubblico ufficiale o a un incaricato di pubblico servizio, nell’esercizio delle
funzioni o del servizio” (corsivi agg.).
Non si giustificherebbe una punizione più severa di
quella applicabile alla condotta da ultimo richiamata,
che va posta in essere nei confronti di un pubblico ufficiale o di un incaricato di pubblico servizio “nell’esercizio delle funzioni o del servizio”, se la qualifica soggettiva
del certificatore, cui siano rese le false attestazioni o dichiarazioni in esame, o meglio la sua attività, fosse di natura esclusivamente privatistica, pur non richiedendo la
legge, quale elemento del reato, che il certificatore rivesta necessariamente una qualifica pubblicistica.
Sul piano dell’interpretazione sistematica bisogna
del resto considerare anche il menzionato delitto proprio
della “frode” del certificatore, di cui al nuovo art. 640quinquies c.p., che appresso si esaminerà, e che implicitamente esclude, alla stregua del principio di specialità
(art. 15 c.p.), l’applicabilità del delitto di cui all’art. 323
706
DIRITTO PENALE E PROCESSO N. 6/2008
c.p. (abuso d’ufficio che procuri un ingiusto vantaggio
patrimoniale o cagioni un danno ingiusto), peraltro punito in modo solo lievemente più grave della predetta
“frode”.
c) Il nuovo delitto di frode informatica del
certificatore (art. 640-quinquies c.p.)
Già si è visto come l’art. 5, ultimo comma, l.
48/2008 configuri un nuovo reato proprio del “fornitore
dei servizi di certificazione di firma elettronica” nel caso
in cui violi “gli obblighi previsti della legge per il rilascio di un
certificato qualificato”, “al fine di procurare a sé o ad altri
un ingiusto profitto ovvero di arrecare ad altri un danno”.
La sanzione, della reclusione fino a tre anni e della
multa da 51 a 1032 euro, è identica a quella della comune truffa patrimoniale, dopo la quale è collocata, e solo
leggermente meno grave di quella dell’abuso d’ufficio,
con cui il delitto potrebbe apparentemente concorrere.
Sicuramente non può dirsi che il legislatore abbia
realizzato il dichiarato intento di introdurre una nuova
figura di truffa, fondato dalla Relazione d’accompagnamento al d.d.l. n. 2807 sul solo rilievo che non sarebbe
stata sufficiente la fattispecie di frode informatica di cui
all’art. 640-bis c.p., in quanto nel caso dell’attività di certificazione potrebbero non ricorrere le condotte di “alterazione del funzionamento di un sistema” o di “intervento senza diritto su dati, informazioni o programmi” (24).
Non solo un rilievo meramente ‘negativo’ non giustifica la creazione, denominazione e collocazione del
nuovo delitto quale ipotesi qualificata di truffa, di cui
non è comprensibile il fondamento; ma l’intento dichiarato è anche palesemente smentito dal fatto che la
stessa fattispecie legale è priva di qualsiasi requisito di
“fraudolenza”, che dovrebbe invece caratterizzare le
condotte di truffa, consistendo piuttosto nella mera violazione degli obblighi extrapenali, stabiliti in particolare
dall’art. 32, commi 2 ss., Codice dell’amministrazione
digitale (25).
Note:
(23) Per una simile conclusione problematica, al termine di una recente
analisi del sistema, cfr. G. Navone, La firma digitale, cit., 119.
(24) Relazione al d.d.l. 2807, cit., 5.
(25) Estremamente ampio è il ventaglio degli obblighi gravanti sui certificatori, che oltre ad essere tenuti “ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi” (incorrendo altrimenti nella responsabilità civile aggravata ex art. 30 dello stesso Codice), quando
rilasciano “certificati qualificati” devono altresì: provvedere con certezza
alla identificazione della persona che fa richiesta della certificazione; rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle regole tecniche di cui all’art. 71, nel rispetto del d.lgs. 30 giugno 2003, n. 196, e successive modificazioni; specificare, nel certificato
qualificato su richiesta dell’istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all’attività professionale
o a cariche rivestite, previa verifica della documentazione presentata dal
richiedente che attesta la sussistenza degli stessi; attenersi alle regole tecniche di cui all’art. 71; informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per ac(segue)
LEGISLAZIONE•RIFORME
Se da un lato non è richiesto alcun requisito di artificiosità o di simulazione di una falsa apparenza, dall’altro non è neppure richiesto un qualsivoglia evento consumativo di lesione patrimoniale, come è invece quello
duplice di “ingiusto profitto con altrui danno”, previsto
dal comune art. 640 c.p. e riprodotto anche nelle figure
qualificate di cui all’art. 640-bis (truffa aggravata per il
conseguimento di erogazioni pubbliche), che al medesimo fatto tipico rimanda, nonché all’640-ter (frode informatica), che richiede gli identici eventi consumativi.
La fattispecie di nuovo conio è invece formulata
con la diversa tecnica del dolo specifico, ed il fine di
“procurare a sé o ad altri un ingiusto profitto” è previsto in
termini addirittura alternativi rispetto a quello di “arrecare ad altri di danno”, in nessun caso connotato in termini ‘patrimoniali’.
La mera ‘strumentalità’ della violazione di uno degli
obblighi extrapenali sopra menzionati al perseguimento
di un generico interesse di parte (profitto proprio o di
terzi ovvero danno di altri) è dunque sufficiente alla
consumazione del fatto tipico, con forte anticipazione
della sua soglia di punibilità (26).
Si deve concludere, che al di là della sua formale denominazione e collocazione, e dei dichiarati intenti legislativi, la fattispecie incriminatrice in esame è assai lontana dal paradigma di un delitto patrimoniale ed assai vicina, invece, nella sua struttura, ad un’incriminazione
meramente “sanzionatoria” della violazione di obblighi
extrapenali, gravanti in specie su soggetti qualificati, secondo il paradigma dell’abuso d’ufficio, di cui all’art. 323
c.p. sopra menzionato, che è sì punito con una pena di
poco superiore - solo nel minimo edittale di sei mesi di
reclusione, assente nel delitto in esame, che però richiede una multa congiunta alla pena detentiva, non prevista nel delitto contro la pubblica amministrazione - ma
richiede altresì l’oggettivo verificarsi dell’evento consumativo di “ingiusto vantaggio patrimoniale” o di “danno
ingiusto”.
In altri termini, pur mancando una formale qualifica pubblicistica del certificatore, la realizzazione del descritto “fatto” è assai simile a quella del delitto proprio del
pubblico ufficiale, rispetto a cui anzi “anticipa” la soglia
di punibilità: fermi, dunque, i dubbi sull’effettiva natura,
ai fini penali, dei servizi di certificazione delle firme elettroniche e delle differenti attività in cui si articolano,
emerge la scarsa attenzione del nostro legislatore al contesto sistematico nel quale interviene, moltiplicando fattispecie incriminatrici senza adeguata precisione né piena consapevolezza tecnico-giuridica.
3. Le novelle in materia di delitti
contro la sicurezza e l’integrità di dati e sistemi
La maggior parte delle nuove fattispecie di diritto
penale sostanziale riguarda la materia dei danneggiamenti informatici, bipartiti - in conformità con le scelte
del legislatore sopranazionale - fra danneggiamenti di dati (art. 4 Convenzione Cybercrime, cui corrisponde so-
stanzialmente l’art. 4 Decisione quadro 222/2005/GAI)
e danneggiamenti di sistemi (art. 5 Convenzione Cybercrime, cui corrisponde sostanzialmente l’art. 3 Decisione
quadro 222/2005/GAI). Entrambi, poi, per scelta autonoma del legislatore nazionale, sono distinti anche fra
danneggiamenti su dati e sistemi privati e su dati e sistemi di pubblica utilità. Questa astratta “esigenza di simmetria”, esplicitamente perseguita dai redattori della legge
(27), ha fatto sì che il codice penale italiano conosca ora
ben quattro “nuovi” delitti di danneggiamento informatico, che si aggiungono al danneggiamento comune di
“cose”, assorbendo solo in parte le ipotesi prima delineaNote:
(continua nota 25)
cedervi e sulle caratteristiche e sulle limitazioni d’uso delle firme emesse
sulla base del servizio di certificazione; non rendersi depositari di dati per
la creazione della firma del titolare; procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di
richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell’autorità, di acquisizione della
conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo quanto previsto dalle regole tecniche di cui all’art. 71; garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente,
puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati; assicurare la precisa determinazione della data e dell’ora di rilascio, di revoca e di sospensione dei certificati elettronici; tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato
qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti
giudiziari; non copiare, né conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione; predisporre
su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti
che richiedono il servizio di certificazione, tra cui in particolare gli esatti
termini e condizioni relative all’uso del certificato, compresa ogni limitazione dell’uso, l’esistenza di un sistema di accreditamento facoltativo e le
procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell’accordo tra il richiedente il servizio ed il certificatore; utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche,
che l’autenticità delle informazioni sia verificabile, che i certificati siano
accessibili alla consultazione del pubblico soltanto nei casi consentiti dal
titolare del certificato e che l’operatore possa rendersi conto di qualsiasi
evento che comprometta i requisiti di sicurezza. Su richiesta, elementi
pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato. I certificatori sono inoltre responsabili
dell’identificazione del soggetto che richiede il certificato qualificato di
firma anche se tale attività è delegata a terzi e devono raccogliere i dati
personali solo direttamente dalla persona cui si riferiscono o previo suo
esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l’informativa prevista dall’art. 13 del
d.lgs. 30 giugno 2003, n. 196. I dati infine non possono essere raccolti o
elaborati per fini diversi senza l’espresso consenso della persona cui si riferiscono.
(26) Sulle caratteristiche strutturali delle fattispecie a dolo specifico, che
determinano una peculiare tipizzazione dello stesso fatto oggettivo costitutivo del reato, incidente sul momento consumativo e sulle caratteristiche dell’offesa al bene giuridico, e solo di riflesso sull’oggetto e l’intensità
dell’elemento soggettivo, sia consentito rinviare a L. Picotti, Il dolo specifico. Un’indagine sugli ‘elementi finalisitici’ delle fattispecie penali, Milano
1993.
(27) Cfr. Relazione al d.d.l. 2807, cit., 5.
DIRITTO PENALE E PROCESSO N. 6/2008
707
LEGISLAZIONE•RIFORME
te dai commi 2 e 3 dell’art. 420 c.p., contestualmente
abrogati.
Prima di esaminare questo insieme di reati, occorre
però considerare la riformulazione della fattispecie prodromica alla tutela della sicurezza ed integrità dei dati e
dei sistemi informatici, rappresentata dal delitto di cui
all’art. 615-quinquies c.p., che completa questo vero e
proprio “microsistema” posto a tutela di tale nuovo bene
giuridico (28), benché le relative fattispecie siano distribuite fra i delitti contro il patrimonio, per quanto concerne le quattro di danneggiamento, e contro l’inviolabilità del domicilio, per quanto concerne quest’ultima.
a) La riformulazione del delitto di diffusione di
dispositivi o programmi diretti a danneggiare o
interrompere un sistema informatico (art. 615-quinquies c.p.)
L’art. 615-quinquies c.p. ha rappresentato una delle
più innovative fattispecie create dal legislatore del 1993,
in quanto - per contrastare i nuovi fenomeni dei programmi virus o maligni, che si affacciavano all’inizio degli anni ‘90 - la sua formulazione è stata del tutto indipendente dai modelli di reato vigenti, a differenza di
quanto è avvenuto per la maggior parte delle altre norme redatte invece seguendo molto strettamente criteri
di analogia con quelle più simili già esistenti (si pensi all’artt. 635-bis sul danneggiamento informatico, rispetto
all’art. 635 c.p. sul danneggiamento comune di cose; od
all’art. 640-ter sulla frode informatica, rispetto all’art.
640 c.p. sulla truffa comune), se non meramente estensive di formule definitorie (come nel caso della “corrispondenza” estesa a quella “informatica e telematica”
dall’ultimo comma dell’art. 616 c.p.) ovvero creative di
nuove nozioni, che consentissero l’applicazione più estesa di norme comunque esistenti (come nell’esaminato
caso delle falsità informatiche, ex art. 491-bis c.p.) (29).
La previsione di uno specifico intervento penale,
che anticipasse la soglia di punibilità rispetto all’effettivo
“danneggiamento” di dati o di sistemi, era andata oltre le
stesse Raccomandazioni del Consiglio d’Europa del
1989, prendendo spunto dall’esperienza legislativa olandese e di alcuni degli Stati americani in materia (30).
Accanto a tali meriti, la fattispecie presentava però
anche gravi carenze, innanzitutto di collocazione sistematica nell’ambito dei delitti contro l’inviolabilità del
domicilio (Sezione IV del Capo III del Titolo XII - dedicato ai delitti contro la persona - della parte speciale del
codice), tuttora mantenuta pur trattandosi di delitto
prodromico al “danneggiamento”, come emerge dal testo stesso della norma, e non all’accesso abusivo di cui al
nuovo art. 615-ter c.p., cui è invece dedicato il coevo ed
immediatamente precedente art. 615-quater, che punisce la detenzione e diffusione abusiva di codici di accesso
(corsivo agg.) (31).
Inoltre, e soprattutto, era criticabile la formulazione
alquanto complessa e, nel contempo, insufficiente a delimitare con precisione i contenuti d’illiceità penale del
fatto.
708
DIRITTO PENALE E PROCESSO N. 6/2008
Sotto il profilo della condotta mancava l’incriminazione di chi “si procura” o “riproduce”, invece prevista
nel citato art. 615-quater c.p., forse per non anticipare
eccessivamente la soglia della punibilità, ma in palese
contraddizione con l’esigenza stessa di creare un reato
ostacolo o di mero pericolo, che per essere efficace si sarebbe dovuto riferire ad uno stadio preventivo rispetto alla “diffusione” o comunque “circolazione” di siffatti programmi, non bastando - proprio per le loro caratteristiche replicanti e di autoesecuzione, una volta installati
nel sistema o nel programma bersaglio - l’anticipazione
della punibilità rispetto al solo evento finale di “danneggiamento” effettivo di sistemi o di dati: essa avrebbe anzi potuto considerarsi in questi termini superflua, stante
la già autonoma punibilità del tentativo di danneggiamento informatico, ex artt. 56 e 635-bis c.p., salvo quanto di seguito si osserverà.
Sotto il profilo della definizione dell’oggetto della
condotta, descritto con riguardo allo “scopo od effetto”
del programma maligno, vi era un’apprezzabile estensione al profilo funzionale della mera “alterazione del funzionamento”, ulteriore rispetto al vero e proprio danneggiamento, cui si limitava la formulazione dell’art. 635-bis
c.p (32).
Ma nel contempo si apriva un ampio margine di
ambiguità circa i precisi limiti fra lecito ed illecito penale, considerando l’esigenza (e la prassi) di creare sperimentalmente e soprattutto utilizzare programmi di contrasto ai programmi-virus ovvero per aggredire sistemi da
cui partano attacchi informatici, con condotte che potrebbero astrattamente ricadere nell’ambito applicativo
della fattispecie incriminatrice, pur non dovendolo (33),
data la mancanza di un fine tipizzato come illecito, capaNote:
(28) Per l’enucleazione del bene giuridico dell’“integrità e sicurezza informatica” quale nuovo interesse meritevole di tutela penale, nato dall’applicazione e diffusione delle nuove tecnologie nei rapporti economici e
sociali, cfr. L. Picotti, Sistematica, cit., 70 s.
(29) Per tali suddistinzioni si veda già L. Picotti, voce Reati informatici,
cit., 3-6; e più approfonditamente Id., Sistematica, cit., 47 s.
(30) Si tratta dell’art. 350 a c.p. dei Paesi Bassi, introdotto dalla l. 23 dicembre 1992, che punisce il fatto anche a titolo di colpa. Per riferimenti
comparatistici, anche alla legislazione svizzera e statunitense, si veda C.
Pecorella, Il diritto penale, cit., 238 s.
(31) La critica è condivisa in dottrina: cfr. F. Mantovani, Diritto penale.
Parte sp., vol. I, Delitti contro la persona, 2^ ed., Padova 2005, 506; G. Pica, Diritto penale, cit., 109; C. Pecorella, Il diritto penale, cit., 235.
(32) Sugli incerti rapporti tra veri e propri danneggiamenti ed aggressioni invece al mero funzionamento, nonché fra manipolazioni ed alterazioni di dati e sistemi informatici, rispetto alla distinzione tradizionale fra
violenza e frode, si rinvia a L. Picotti, Sistematica, cit., 71-74; più in generale sulla “caotizzante difformità di linguaggio” del legislatore del 1993,
emergente in specie dal raffronto fra artt. 392, comma 3, 420, comma 2,
615-ter, comma 3, 635-bis c.p., si vedano le taglienti critiche di F. Mantovani, Diritto penale. Parte sp., vol. I, cit., 506 e passim.
(33) Conclusione pacifica in dottrina. Per rilievi critici nella direzione
indicata cfr. già C. Sarzana, Comunità virtuale e diritto: il problema dei Bulletin Board System, in questa Rivista, 1995, 375 s.; P. Galdieri, Teoria e pratica nell’interpretazione del reato informatico, Milano 1997, 162.
LEGISLAZIONE•RIFORME
ce di selezionare i fatti di reato da quelli non punibili:
tanto che parte della dottrina aveva richiesto la trasformazione della fattispecie in delitto a dolo specifico (34),
pur se sarebbe stato meglio valorizzare il requisito di antigiuridicità speciale espresso dall’avverbio “illecitamente”, riferito in modo anomalo allo “scopo” od “effetto” di
danneggiamento dei programmi stessi, anziché alle condotte (come è per l’avverbio “abusivamente” previsto
dal citato art. 615-quater c.p.).
Il legislatore del 2008 non è riuscito a dare un’adeguata risposta a tali questioni.
Nel modificare la norma, con il presunto intento di
renderla “perfettamente” adeguata alle previsioni della
Convenzione, l’ha senz’altro estesa sotto il profilo oggettivo ed ha, nel contempo, riformulato anche l’elemento
soggettivo richiesto “nei termini del dolo specifico”
(35): ma nonostante il frettoloso emendamento inserito
nel corso dei lavori preparatori (36), con cui si è cercato
di porre un tampone alla ancor più grave indeterminatezza della formulazione del disegno di legge originario,
non è stata affatto raggiunta una formulazione tecnicamente e contenutisticamente adeguata, che oltre ad offrire rimedio alle difficoltà interpretative sollevate dalla
norma del 1993 desse altresì corretta attuazione alle previsioni della Convenzione Cybercrime.
L’art. 6 di quest’ultima, sotto la rubrica “abuso di dispositivi”, comprende in effetti un’ampia gamma di condotte, che vanno dalla “produzione” alla “vendita”, al
“procurarsi per utilizzare”, fino all’“importazione”, “distribuzione” ed “ogni altra forma di messa a disposizione”
(par. 1.a) (37), aventi per oggetto (punto i) “un dispositivo, ivi compreso un programma informatico, principalmente concepito o adattato per permettere la commissione di uno dei reati informatici” previsti dagli artt. 2-5
della stessa Convenzione (corsivo agg.).
Al successivo punto ii) la Convenzione indica invece oggetti che meglio sono riconducibili all’ambito di
previsione del nostro art. 615-quater c.p., in quanto finalizzati al solo accesso abusivo: vale a dire: “una parola
chiave o un codice d’accesso, o dati simili che permettono l’accesso ad un sistema informatico o ad una sua parte”.
In entrambi i casi è prevista, oltre al dolo, la necessità di una specifica “intenzione che siano utilizzati” (anche da altri) per commettere uno dei predetti reati. Ed in
aggiunta, nel par. 2, è ribadito espressamente che - in assenza del menzionato fine delittuoso - non devono essere
incriminate le condotte sopra enunciate, “come nel caso
di test autorizzato o di protezione di un sistema informatico”.
La nuova formulazione dell’art. 615-quinquies c.p.,
che in forza dell’art. 4 l. 48/2008 ne ha “sostituito” la rubrica ed il testo (38), non si è affatto allineata compiutamente a queste direttive.
Sul piano degli elementi oggettivi, vi è stata la condivisibile estensione delle condotte punibili (39), mediante l’aggiunta delle nuove locuzioni “si procura, pro-
duce, riproduce, importa” prima di quelle originariamente previste di chi “diffonde, comunica, [o] consegna”, ed il completamento con quella finale di chiusura
“o, comunque, mette a disposizione di altri”, in piena
conformità con il disposto del citato art. 6 Convenzione
Cybercrime.
Ma quanto all’oggetto di tali condotte, pur essendo
stati aggiunti, sia alla rubrica che al testo della fattispecie
- prima del termine originariamente unico: “programmi”
- i sostantivi “apparecchiature” e “dispositivi” (40) (oltre
all’aggettivo “informatici”) è stata lasciata solo nella rubrica la loro qualificazione di dannosità, con l’originaria
formula che siano “diretti a danneggiare o interrompere
un sistema informatico o telematico” (corsivo agg.).
Questo essenziale requisito di tipicità dell’oggetto
della condotta è invece scomparso nel testo della nuova
norma, essendo stato trasformato in mero oggetto del
c.d. dolo specifico dell’agente tutto il contenuto della
complessa proposizione, che prima serviva alla qualificazione di dannosità o pericolosità oggettive dei “programmi” - come loro “scopo” od “effetto”: è ora il fine o scopo
dell’agente, che deve essere “di danneggiare illecitamente
un sistema informatico o telematico, le informazioni, i
dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o
l’alterazione del suo funzionamento” (corsivi agg.).
Trasformato nel contenuto della finalità “soggettiva” dell’agente, la tipizzazione degli elementi oggettivi di
Note:
(34) Fautore di tale soluzione G. Pica, Diritto penale, cit., 103 s.
(35) Relazione al d.d.l., cit., p. 6.
(36) Cfr. supra nota 4.
(37) Alla lett. b) del par. 1 è prevista altresì l’incriminazione del mero
“possesso” di tali programmi o dati, nell’intenzione di farne uso per commettere i reati informatici previsti dagli artt. 2-5 Convenzione, ma vi è la
possibilità che il diritto interno richieda in tal caso che la detenzione riguardi un certo numero di siffatti elementi. Più in generale è consentito
dal par. 3 di formulare riserva di non applicare tutte le incriminazioni di
cui al par. 1 (lett. a e b), purché siano comunque punite le condotte “vendita”, “distribuzione” ed “ogni altra forma di messa a disposizione” dei dispositivi di cui alla lettera a), punto ii.
(38) Identica è rimasta la pena della reclusione fino a due anni e, congiuntamente, della multa sino a euro 10.329.
(39) Sulla distinzione fra le condotte di “diffusione” (da intendere quale
“messa a disposizione” di una pluralità di destinatari “indeterminati”) e di
“comunicazione” (da intendere invece quale “messa a disposizione” di un
singolo od anche più destinatari, però “determinati”), che si può desumere dalle precise definizioni offerte dalla legislazione in materia di protezione dei dati personali, di cui alla legge 31 dicembre 1996, n. 675, oggi
sostituita dal c.d. codice della privacy, approvato con d.lgs. 30 giugno
2003, n. 196, in specie art. 4, comma 1, lett. m) ed l), si veda già L. Picotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inf., 1999,
283 s., in specie 299-301, e da ultimo, con riguardo allo specifico delitto
di “diffusione” di pornografia minorile Id., Commento all’art. 600-ter, III
comma c.p., in A. Cadoppi (cur.), Commentario delle norme contro la violenza sessuale e contro la pedofilia, 4^ ed., Padova 2006, in specie 194 s.
(40) L’incerta terminologia sembra riflettere le già menzionate gravi imprecisioni della traduzione (non ufficiale) in italiano della Convenzione,
allegata alla legge di ratifica come già al relativo disegno di legge: cfr. supra, nota 1.
DIRITTO PENALE E PROCESSO N. 6/2008
709
LEGISLAZIONE•RIFORME
descrizione del reato è stata radicalmente impoverita e
tutto il peso della delimitazione dei comportamenti leciti da quelli penalmente illeciti è stato spostato sul predetto dolo specifico.
La stessa locuzione “illecitamente” - rimasta nella
norma, ma nei termini di qualificazione dello “scopo” di
danneggiare od alterare - ha perso incidenza oggettiva,
accentuando anziché colmando la disomogeneità dalla
fattispecie ‘gemella’ di cui all’art. 615-quater c.p., in cui
l’avverbio “abusivamente” è invece elemento di diretta
qualificazione della condotta oggettiva, in conformità
con le previsioni dell’art. 6 Convenzione Cybercrime, sopra riportato.
La nuova formulazione dell’art. 615-quinquies c.p. è
dunque andata nella direzione diametralmente opposta
a quella tracciata dalla Convenzione, che richiederebbe
di arricchire la qualificazione oggettiva di antigiuridicità
speciale del fatto, in conformità con la clausola generale
“senza diritto” che compare in questa come in tutte le altre previsioni incriminatrici da essa previste (41).
Viceversa l’attuale fattispecie del codice italiano finisce per tipizzare condotte in sé perfettamente lecite,
dal punto di vista oggettivo, ed anzi usuali nell’attività di
ogni operatore commerciale o privato (“procurarsi, produrre, riprodurre, importare, diffondere, comunicare,
consegnare, mettere a disposizione di altri”), riferite ad
“apparecchiature, dispositivi e programmi informatici” a
loro volta non connotati in alcun modo come in sé dannosi o pericolosi. È solo il fine dell’agente (c.d. dolo specifico) che rende penalmente illecito il fatto.
Una tale tecnica di tipizzazione appare inaccettabile, sotto il profilo della buona legislazione prima ancora
che sotto quello della legittimità costituzionale, ledendo
i principi cardine di certezza, tassatività ed offensività
delle fattispecie incriminatrici (42), oltre alle esigenze
parimenti costituzionali di corretta conformazione al diritto internazionale.
Come si era già sottolineato commentando l’art. 6
Convenzione Cybercrime (43) ed emerge dalle argomentazioni espresse nel “Rapporto esplicativo” ufficialmente
annesso al testo della Convenzione (44), la formula da
essa adottata (“dispositivo” o “programma informatico
principalmente concepito o adattato per permettere la commissione” ecc.) aveva rappresentato una via di mezzo fra
le due possibilità estreme di incriminare soltanto dispositivi di per sé esclusivamente illeciti e come tali concepiti fin dall’origine, ovvero qualsiasi dispositivo o programma utilizzabile, di fatto, anche per “fini” non leciti.
La Convenzione ha consapevolmente voluto evitare
quest’ultima prospettiva, che è stata invece seguita dal
legislatore italiano, perché si sarebbe corso il rischio di
una penalizzazione eccessiva, che avrebbe potuto estendersi ad ogni dispositivo “a doppio uso” (lecito ed illecito), come sono per l’appunto quelli per testare la sicurezza di un sistema o l’affidabilità dei prodotti, o per l’analisi di una rete.
È perciò rimasto frustrato l’auspicio che il legislato-
710
DIRITTO PENALE E PROCESSO N. 6/2008
re nazionale precisasse meglio dello strumento convenzionale i requisiti oggettivi di tipicità, stabilendo una soglia più determinata, sotto il profilo della loro “pericolosità”, dei programmi e dispositivi integranti il fatto punibile (45), essendosi addirittura operata l’opposta scelta di
imperniare sul solo elemento finalistico l’intera illiceità
penale del fatto. Ma tale scelta non può non creare grandi incertezze negli operatori, nonché difficoltà nell’accertamento della responsabilità penale, in pregiudizio sia
delle esigenze della difesa, sia di quelle dell’accusa, di cui
viene aggravato l’onere probatorio, dipendendo la condanna o meno dell’imputato dall’aleatoria prova del singolo ‘elemento finalistico’, formulato a sua volta in termini estremamente ampi e complessi (46).
b) I ritocchi al delitto di danneggiamento di dati
informatici (art. 635-bis c.p.)
Il più ampio intervento della novella ha riguardato
i danneggiamenti informatici, a partire da alcuni ritocchi all’ipotesi base di cui all’art. 635-bis c.p., rispetto alla
rubrica ed al testo inseriti dalla l. 547/1993 contro la criminalità informatica.
L’innovazione maggiore è stata la previsione della
procedibilità “a querela della persona offesa”, in sintonia
con il comune regime dell’ipotesi base del danneggiamento di cose, di cui all’art. 635, comma 1, c.p., essendo
evidentemente state ritenute non più sussistenti le ragioni che avevano fatto preferire la procedibilità d’ufficio da parte del legislatore del 1993: da un lato, la percezione in termini di maggior gravità del fatto realizzato su
dati e sistemi informatici, perché capaci di contenere e
trattare grandi quantità di informazioni, anche di elevatissimo valore; dall’altro, l’intento di agevolare la persecuzione delle “nuove” tipologie di reato, di cui era (e resta) certamente assai elevata la ‘cifra oscura’, nell’interesse collettivo di rafforzarne la repressione penale contrastando la tendenza delle vittime a non ricorrere alla
giustizia per la cattiva ‘pubblicità’ derivante alla propria
Note:
(41) Per il loro ruolo, nella prospettiva dello strumento internazionale, si
veda il citato Rapport esplicatif, sub n. 38, nonché i nostri rilievi in L. Picotti, Internet e diritto penale, cit., 197.
(42) Sui limiti, anche di rango costituzionale, del ricorso alla tecnica del
c.d. dolo specifico, la dottrina italiana si è da lungo tempo impegnata, a
partire dal fondamentale contributo di F. Bricola, Teoria generale del reato,
in Noviss. Dig. It., vol. XIX, Torino 1973, p. 87 s. In argomento sia consentito rinviare ancora a L. Picotti, Il dolo specifico, cit., in particolare 547
s., ed ai relativi riferimenti bibliografici, cui adde più di recente G. Marinucci, E. Dolcini, Corso di diritto penale, vol. 1, 3 ^ ed., Milano 2001, 572
s., con ulteriori richiami.
(43) L. Picotti, Internet e diritto penale, cit., 199 s.
(44) Cfr. Rapport explicatif, in specie sub n. 73-76, leggibile (oltre che in
francese) anche in inglese al sito www.coe.int.
(45) L. Picotti, Internet e diritto penale, cit. 200.
(46) Sui rapporti che devono connotare, anche dal punto di vista tecnico della formulazione della fattispecie legale, la descrizione della condotta o fatto-base e quella del “fine dell’agente”, costitutivo del c.d. dolo specifico, vedi ancora L. Picotti, Il dolo specifico, cit., in particolare p. 505 s.,
nonché i riferimenti di cui alla precedente nota 42.
LEGISLAZIONE•RIFORME
immagine dall’emergere della scarsa affidabilità e sicurezza dei sistemi tecnologici adottati.
La pena prevista per l’ipotesi base dell’art. 635-bis
c.p. - da sei mesi a tre anni di reclusione - è però rimasta
identica a quella stabilita per le ipotesi aggravate di danneggiamento comune di cose, tuttora procedibili d’ufficio (art. 635, comma 2, c.p.): per cui si è rotta la sostanziale equiparazione fra danneggiamento informatico e
danneggiamento aggravato, che sembrava aver guidato
il legislatore del 1993 nella scelta sia del regime sanzionatorio, che di quello di procedibilità. E l’aporia sistematica non sembra spiegabile con la sola espunzione, dagli
oggetti passivi delle condotte punite dall’art. 635-bis c.p,
dei “sistemi informatici e telematici”, che sono ora oggetto di quelle punite dall’art. 635-quater c.p., essendo
con la pena edittale che il legislatore esprime il livello di
gravità del reato.
In ogni caso tale seconda modifica è stata necessaria per rendere autonomo e punibile con la più grave pena base della reclusione da uno a cinque anni il danneggiamento di sistemi (art. 635-quater c.p., su cui cfr. infra,
sub c), procedibile d’ufficio come tutte le altre nuove
ipotesi di danneggiamento, sia di dati che di sistemi
informatici di pubblica utilità, che hanno però una pena
base più elevata (da uno a quattro anni di reclusione, ex
artt. 635-ter e 635-quinquies c.p., su cui cfr. infra, sub d).
La procedibilità a querela può certamente costituire un utile filtro per selezionare i fatti ritenuti meritevoli
di “criminalizzazione in concreto” alla stregua della volontà punitiva della persona offesa (47), perché - al di là
della gravità della sanzione edittale - la protezione penale dell’interesse di cui essa è titolare può essere lasciata
alla sua libera disponibilità.
Si pone, però, allora il problema di individuare con
precisione chi sia da considerare “persona offesa”.
Nel caso del delitto in esame essa dovrebbe desumersi dal requisito dell’“altruità” dei dati danneggiati.
Ma come già segnalato, non è affatto facile stabilirne la
portata concreta (48). I “dati”, al pari delle “informazioni” e dei “programmi”, per la loro immaterialità non possono giuridicamente essere oggetto di “possesso”, come
lo sono le “cose”: e dunque non si può desumere da questo requisito quello negativo di “altruità”, come accade
nei delitti contro il patrimonio (49), fra cui è collocato il
danneggiamento comune (di cose) di cui all’art. 635 c.p.
La cerchia degli aventi diritto all’integrità dei dati,
delle informazioni e dei programmi dovrà piuttosto essere determinata alla stregua della pluralità di interessi giuridicamente rilevanti, di natura obbligatoria, anziché “reale”, che su di essi possono convergere (50). Prendendo
come riferimento il diverso ambito della legislazione in
materia di protezione dei dati personali, che ha il pregio
di fornire, con notevole precisione sistematica, la definizione di concetti “nuovi”, ragionevolmente applicabili
all’intero ambito del diritto dell’informatica, per un’evidente esigenza di unitarietà e coerenza dell’ordinamento
giuridico, se non ostino specifiche ragioni contrarie (51),
dovrà considerarsi innanzitutto la figura dell’“interessato”
definito come “la persona cui i dati si riferiscono” (art. 4,
comma 1, lett. i), d.lgs. 196/2003, c.d. Codice della privacy), quindi quelle del “titolare” nonché del “responsabile” del “trattamento” (come definiti rispettivamente
dal citato art. 4, comma 1, lett. f), lett. g) e lett. a) d.lgs.
196/2003), ovvero anche del “sistema” come tale, che ne
è parimenti pregiudicato. Nel caso di danneggiamento di
“programmi” possono altresì essere considerate persone
offese il concessionario e forse anche il legittimo utilizzatore, oltre che il concedente e proprietario; e potrebbero
ancora esser tale l’operatore del sistema, legittimato agli
interventi che subiscano pregiudizio dal danneggiamento
stesso (si pensi a files di backup o di controllo, creati talora in modo molto complesso per determinate operazioni
di manutenzione o aggiornamento, ecc.), nonché gli stessi partners commerciali o di lavoro di un’impresa o di un
professionista, rispetto a dati ed informazioni non ad essi
stessi riferibili, ma da essi forniti per determinate finalità
operative, contrattuali, ecc.
Tale pur veloce disamina evidenzia l’opportunità trascurata purtroppo dal nostro legislatore - di inserire
nella fattispecie, accanto od anzi in luogo del poco chiaro requisito dell’“altruità”, una clausola di antigiuridicità
speciale, quale quella prevista, con l’identica locuzione:
“senza diritto” (52), sia dalla Convenzione Cybercrime
che dalla Decisione quadro, nei rispettivi artt. 4.
Note:
(47) Cfr. in generale sulle funzioni dell’istituto, anche da un punto di vista di politica criminale, F. Giunta, Interessi privati e deflazione nell’uso della querela, Padova 1993.
(48) L.Picotti, voce Reati informatici, cit., 19
(49) Va sottolineato che se nel delitto di peculato (art. 314 c.p.), che essenzialmente offende il patrimonio della pubblica amministrazione (V.
Scordamaglia, voce Peculato, in Enc. Dir., vol. XXXII, Milano 1982, 554
s., in specie 559), la riforma portata con la l. 26 aprile 1990, n. 86 ha aggiunto al presupposto del “possesso” quello della più generica “disponibilità”, risulta confermata l’accezione più ristretta in cui va inteso il primo
termine, vista la volontà di allargare, in questo caso, la prospettiva di tutela al più ampio profilo dell’attività funzionale dei soggetti pubblici, garantendo la repressione dei loro abusi, a salvaguardia del buon andamento e dell’imparzialità della pubblica amministrazione (cfr. per tutti S. Seminara, in A. Crespi, G. Forti, G. Zuccalà (cur.), Commentario breve al codice penale, 5^ ed., Padova 2008, sub art. 314, 751 s.).
(50) Per la conclusione che soggetto passivo del delitto di danneggiamento di cui all’art. 635 c.p. sia “il titolare di un diritto di godimento sulla cosa” cfr. comunque già F. Bricola, voce Danneggiamento (dir.pen. ), in
Enc. Dir., vol.XI, Milano 1962, p. 599 s., in specie p. 604.
(51) Per l’esigenza di creare ed utilizzare categorie concettuali ‘comuni’
nel diritto (penale) dell’informatica, valide in una prospettiva sistematica più ampia delle singole discipline di settore, cfr. L. Picotti, I delitti di
sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in Scritti per Federico Stella, a cura di M. Bertolino, G. Forti, vol. II,
Napoli 2007, 1267 s., in specie 1304 s.
(52) L’art. 1, lett. d) Decisione quadro 2005/222/GAI definisce esplicitamente questo requisito come “l’accesso o l’interferenza non autorizzati da
parte di chi ha il diritto di proprietà o altro diritto sul sistema o una sua
parte, ovvero non consentiti ai sensi della legislazione nazionale”. La
Convenzione Cybercrime non contiene invece alcuna definizione al ri(segue)
DIRITTO PENALE E PROCESSO N. 6/2008
711
LEGISLAZIONE•RIFORME
Nello stesso senso si era del resto già orientato il
legislatore tedesco, quando nel 1986 introdusse nel codice penale, con la Seconda legge contro la criminalità
economica (2.WiKG), il delitto di “alterazione di dati
informatici” (§ 303 a StGB), rinunciando all’aggettivo
“altrui” (“fremde”), che qualifica invece le “cose” oggetto del danneggiamento comune (§ 303 StGB), per
imperniare sull’avverbio “rechtswidrig” (“antigiuridicamente” o “contro diritto”) la necessaria distinzione fra
condotte penalmente lecite ovvero illecite sui dati
(53), rinviando alle regole extrapenali, anche di fonte
contrattuale o consuetudinaria, che disciplinando la
“disponibilità” dei nuovi beni da proteggere forniscono
altresì i criteri per dirimere gli inevitabili conflitti di interessi.
I rapporti di possibile interferenza con le nuove fattispecie di danneggiamento “di sistemi” nonché di dati
“di pubblica utilità” spiegano invece l’opportuna clausola di riserva (“salvo che il fatto non costituisca più grave
reato”), aggiunta in apertura del primo comma: clausola
peraltro applicabile anche con riferimento ad eventuali
altri delitti, come ad es. quelli di falsità “per soppressione” (ex artt. 476, 485 e 490, in relazione all’esaminato
art. 491-bis c.p.) ovvero contro la privacy (ex art. 167,
comma 2, d.lgs.196/2003).
Quanto alla definizione del fatto tipico, va osservato che sono state inserite nel primo comma dell’art. 635bis c.p., accanto alle già esistenti e tradizionali ipotesi di
“distruzione” e “deterioramento”, anche quelle di “cancellazione”, “alterazione” e “soppressione”, esplicitamente menzionate dall’art. 4 sia della Convenzione Cybercrime che della Decisione quadro 2005/222/GAI, e
del resto specificamente riferibili al peculiare oggetto
passivo costituito da “informazioni, dati o programmi
informatici”. Non si vede però perché non sia altresì stata aggiunta alla locuzione “deteriora” - tradizionalmente
riferita alle “cose” materiali - quella più ampia e forse più
adeguata: “danneggia”, che compare in entrambi gli
strumenti richiamati, e che del resto è poi stata utilizzata
dallo stesso legislatore italiano nel successivo art. 635quater c.p. (in cui non è stato usato invece il verbo “deteriora”: infra, sub c). Dunque non si può condividere la
soppressione dell’ipotesi di chiusura prima espressa - in
sintonia con la formula dell’art. 635 c.p. - dalla locuzione “rende, in tutto o in parte, inservibili” tali beni, che il
legislatore del 2008 ha riservato alle sole fattispecie di
danneggiamento di sistemi (art. 635-quater e 635-quinquies c.p.: infra sub c e d).
In realtà anche i “dati” ed a maggior ragione le
“informazioni” ed i “programmi” sono suscettibili di esser “resi inservibili” e dunque giuridicamente “danneggiati”, con interventi di alterazione o manipolazione riguardanti il solo software, che non intaccano l’integrità
dei supporti o dell’hardware (54). Tanto che l’art. 4 Decisione quadro prevede espressamente l’ipotesi - se si
vuole meno grave - del “rendere inaccessibili” i dati, non
recepita invece dalla novella.
712
DIRITTO PENALE E PROCESSO N. 6/2008
Se il legislatore italiano avesse voluto circoscrivere
l’ambito del penalmente rilevante, per la possibile tenuità od irrilevanza di singole ipotesi marginali di danneggiamento di dati, anziché ridurre l’ambito delle tipologie di condotte da incriminare avrebbe dovuto piuttosto avvalersi della facoltà, prevista da entrambi gli strumenti menzionati, di considerare penalmente rilevanti
soltanto i “casi gravi” (art. 4 Decisone quadro cit.) o che
“determinano danni seri” (art. 4, par. 2, Convenzione
Cybercrime).
Opportuna appare invece la modifica del secondo
comma dell’art. 635-bis c.p., rispondente alla necessità di
porre rimedio - con l’occasione della ratifica della Convenzione Cybercrime - alla svista del legislatore del 1993,
che aveva indiscriminatamente richiamato, come circostanze aggravanti speciali comportanti la pena della reclusione da uno a quattro anni, tutte quelle di cui al secondo comma dell’art. 635, oltre a quella nuova e specifica dell’essere il fatto “commesso con abuso della qualità
di operatore del sistema”. Ferma quest’ultima ipotesi, è
rimasto ora solo il richiamo al numero 1) di quelle di cui
al capoverso dell’art. 635, riguardante la commissione
del fatto “con violenza alla persona o minaccia”, mentre
sono state escluse tutte le altre ipotesi, relative a situazioni di conflitti di lavoro (n. 2), punibili nella prospettiva dell’ordinamento corporativo da cui muoveva il codice Rocco del 1930, ma ormai di marginale rilevanza
penale alla stregua del diritto di sciopero costituzionalmente garantito, o addirittura logicamente incompatibili rispetto ai danneggiamenti informatici (nn. 3-5: su
edifici pubblici, su opere destinate all’irrigazione, su viti
ed altri alberi).
c) Il nuovo delitto di danneggiamento di sistemi
informatici (art. 635-quater c.p.)
Come si è visto nel commento al riformulato art.
635-bis c.p., per adeguarsi alle previsioni della Convenzione Cybercrime (art. 5), pressoché coincidenti sul punto con quelle della Decisione quadro 2005/222/GAI
(art. 3), il legislatore italiano ha escluso dall’originaria
fattispecie la menzione dei “sistemi informatici e telematici”, per creare un autonomo e più grave delitto, che puNote:
(continua nota 52)
guardo, ma nel Rapport esplicatif, cit., n. 38, si precisa che la locuzione rimanda alla violazione di regole giuridiche extrapenali ovvero di condizioni desumibili dal contesto in cui opera l’agente, relative non solo alla
presenza delle cause di giustificazione classiche (quali il consenso dell’avente diritto, la legittima difesa, lo stato di necessità), ma anche alla competenza del soggetto ad agire, o ad altri principi stabiliti dal diritto interno, che consentono un opportuno raccordo con le previsioni della fonte
internazionale.
(53) Sul punto sia consentito rinviare, anche per i necessari richiami bibliografici sul ricco dibattito che al riguardo si svolse nella dottrina tedesca, alla più estesa indagine svolta in L. Picotti, Studi, cit., 67-73.
(54) Con riferimento ad un caso giurisprudenziale che aveva suscitato un
primo dibattito dottrinale in materia, cfr. L. Picotti, La rilevanza penale degli atti di “sabotaggio” ad impianti di elaborazione dati (nota a Trib. Firenze,
27 gennaio 1986), Pasqui, in Dir. inf., 1986, 969 s.
LEGISLAZIONE•RIFORME
nisce ora il loro danneggiamento con la reclusione da
uno a cinque anni (art. 635-quater, comma 1, c.p.).
Nel comma 2 di detta nuova norma è stata poi prevista una circostanza aggravante, identica nella formulazione a quella di cui all’esaminato comma 2 dell’art. 635bis, ma punita con un aumento di pena non specificato,
e quindi pari ad un terzo, in forza della regola generale di
cui all’art. 64 c.p.: con la conseguenza che essa non costituisce - a differenza di quella - “circostanza speciale” ai
sensi dell’art. 63, comma 3, secondo periodo c.p. (55).
Senza soffermarsi oltre su siffatta singolarità, che fa
solo sospettare che il legislatore non consideri od armonizzi le conseguenze sistematiche dei propri interventi,
preme invece rilevare che la fattispecie in esame si distingue dall’altra non solo per il diverso oggetto materiale (“sistemi informatici o telematici altrui”, anziché “dati, informazioni e programmi informatici altrui”), ma anche per la ben più ampia ed articolata descrizione del fatto tipico.
Sul piano di quelle che la norma definisce come
“condotte” punibili, il nuovo reato è infatti realizzabile
sia “mediante” quelle descritte dall’art. 635-bis c.p., di
cui già si è detto, sia “attraverso l’introduzione o la trasmissione di dati, informazioni o programmi”: aggiunta
che risponde all’esigenza di punire le due ulteriori ipotesi (di “immissione” e “trasmissione” di dati) previste dall’art. 5 Convenzione Cybercrime - oltre che dall’art. 3
Decisione quadro cit. - per colpire specificamente i danneggiamenti realizzabili anche a distanza, mediante programmi virus od altri dati “maligni” introdotti o fatti circolare in rete.
Le predette “condotte” sono perciò distinte normativamente, dal legislatore del 2008, da quelli che vengono evidentemente considerati “eventi” consumativi, descritti tuttavia (in parte) con le medesime locuzioni verbali “distrugge, danneggia, rende, in tutto o in parte, inservibili”, già costituenti il fatto tipico del delitto di cui
all’art. 635-bis c.p.
Come da tempo evidenziato in dottrina a proposito
del “tradizionale” art. 635 c.p., il verificarsi del danno
consumativo del reato è in realtà da considerarsi in re ipsa
nell’attuazione del mezzo “violento” (56). Per cui l’effetto “ulteriore” sul sistema informatico potrebbe non distinguersi dalla condotta, specie se si considera che
l’“impedimento o turbamento del funzionamento di un
sistema informatico o telematico” costituisce già il più
esteso concetto di “violenza” di cui al nuovo comma 3
dell’art. 392 c.p., introdotto dalla l. 547/1993.
Manca invece qui la menzione del termine “deteriora”, e vi è la contemporanea aggiunta di quello più generico “danneggia”, in modo specularmente opposto a
quanto operato nella riformulazione dell’art. 635-bis c.p.
(cfr. supra sub b), benché entrambi i verbi siano congiuntamente previsti dagli strumenti sopranazionali.
Di maggior rilievo è l’aggiunta dell’ulteriore e nuova ipotesi alternativa, realizzabile quando si “ostacola
gravemente il funzionamento” del sistema: risultato che
può essere l’effetto di una qualsiasi delle descritte condotte, comprese quelle più neutrali della mera “immissione” e “trasmissione” di dati.
La nuova previsione ricomprende logicamente anche l’ipotesi più grave dell’“interruzione”, non menzionata esplicitamente dal legislatore italiano, ma prevista
dagli strumenti sopranazionali citati: per cui l’allineamento alle già richiamate fonti appare nella sostanza, se
non nella lettera, compiuto, perché è superata la lacuna
sostanziale, già da tempo rilevata, della mancata punizione dell’alterazione solo “funzionale” di un sistema
(57).Questa in effetti riguarda casi assai frequenti in rete, quali gli attacchi a siti o portali, di durata più o meno
prolungata, che normalmente non lasciano traccia o
conseguenze irreparabili, ma bloccano, interrompono o
rendono irregolare il funzionamento dei sistemi nonché
dei trattamenti e servizi cui sono destinati.
In ogni caso, anche riconoscendo che il delitto in
esame si configuri quale ipotesi di danneggiamento informatico qualificato da tali specifici od ulteriori “eventi”
consumativi, rappresentati alternativamente dal vero e
proprio “danneggiamento” del sistema ovvero dal mero
“ostacolo al [suo] funzionamento”, non appare concettualmente precisa, né opportuna sul piano pratico, la distinzione ipotizzata dal legislatore, che sembrerebbe ricondurre solo il delitto in esame fra i reati di evento, quasi che il già esaminato danneggiamento di dati, di cui all’attuale art. 635-bis c.p., fosse un reato di mera condotta.
Pur nella difficoltà di una netta distinzione fra i
concetti di condotta ed evento nell’ambito dei reati
informatici (58), anche la prima fattispecie tipizza in
realtà un delitto di evento, che può essere realizzato con
Note:
(55) Sulla portata di tale disciplina si veda per tutti A. Melchionda, Le
circostanze del reato, Padova 2000, 700 s.
(56) Si vedano al riguardo le ancora puntuali pagine di F. Bricola, voce
Danneggiamento, cit., 606.
(57) Cfr. L.Picotti, voce Reati informatici, cit., 18-19.
(58) Anche la condotta che si svolga con tecniche o strumenti informatici è infatti - per sua struttura - in tutto od in parte automatizzata, dovendo coinvolgere un “trattamento informatico”, che cioè si “svolge [...] secondo un programma”, come si ricava anche dalla definizione normativa
di cui all’art. 1, lett. a) Convenzione Cybercrime, ripresa in termini pressoché identici dall’art. 1, lett. a) Decisione quadro cit., per definire un “sistema informatico” o “di informazione” definizioni però non recepite nella legge di ratifica 48/2008).
Nel momento in cui si manifesta nei rapporti sociali, con la vittima o
con terzi anche indeterminati, può non essere agevole distinguere tale
condotta “informatizzata” dagli effetti di modificazione della realtà oggettiva, che autonomamente determini quale sua conseguenza causale.
Per ulteriori spunti al riguardo sia consentito rinviare a L. Picotti, Internet e responsabilità penali, in Pascuzzi G. (cur.), Diritto ed informatica, Milano 2002, 117 s.; per un interessante caso di accesso abusivo (art. 615ter c.p.), realizzato a distanza tramite uno specifico programma virus denominato Vierika, per cui si è ritenuto concorrere anche la fattispecie
di cui all’art. 615-quinquies c.p., si veda Trib. Bologna, 22 dicembre
2005, in Dir. Internet, 2006, n. 2, 153 s., con nota di F.G. Catullo, I profili sostanziali; ed in parziale riforma Corte App. Bologna, 28 gennaio
2008 (dep. 27 marzo 2008), in www.penale.it, che ha ritenuto sussistente solo la seconda fattispecie.
DIRITTO PENALE E PROCESSO N. 6/2008
713
LEGISLAZIONE•RIFORME
qualsiasi modalità o tecnica, trovando il suo momento
consumativo nel prodursi effettivo, in diretta esecuzione
della attività volontaria e consapevole del soggetto
agente, di un’oggettiva modificazione della realtà esterna
(informatica od anche economica, comunicativa, sociale, ecc.), percepibile quale conseguenza causale della prima: come appunto i verbi “distruggere”, “deteriorare” e/o
“danneggiare”, “cancellare”, “alterare” e “sopprimere”
stanno a significare, anche se riferiti solo a “dati, informazioni e programmi”, invece cha a “sistemi”.
d) L’abrogazione del delitto di “attentato
informatico” (art. 420, commi 2 e 3, c.p.) ed i nuovi
delitti di danneggiamento di dati di pubblica utilità (art.
635-ter c.p.) e di danneggiamento di sistemi di pubblica utilità (art. 635-quinquies c.p.)
Le soprastanti considerazioni sulla struttura di reati
di evento e, quindi, sul momento consumativo dei delitti di danneggiamento di dati (art. 635-bis c.p.) e di sistemi informatici (art. 635-quater c.p.) trovano conferma
sistematica, nonché rilievo pratico, nell’esame delle due
ultime fattispecie da analizzare: quelle di danneggiamento di dati di pubblica utilità (art. 635-ter c.p.) e di sistemi
di pubblica utilità (art. 635-quinquies c.p.), introdotte dal
medesimo art. 5 l. 48/2008, ma formulate come “delitti
di attentato”, in quanto la loro consumazione è anticipata già al momento della commissione di “un fatto diretto
a” porre in essere le ipotesi descritte, che non occorre
dunque si realizzino compiutamente.
Contemporaneamente all’introduzione di tali incriminazioni, vi è stata la formale abrogazione dei commi 2 e 3 dell’art. 420 c.p., in forza dell’art. 6 della stessa l.
48/2008. E dal necessario raffronto fra le originarie disposizioni e le nuove, che hanno mantenuto le prime come modello, emerge che non si è trattato in realtà di
un’abrogazione con contestuali nuove incriminazioni
(con gli effetti di cui all’art. 2, commi 1 e 2 c.p.), ma piuttosto di una successione c.d. impropria di leggi penali
(abrogatio legis sine abolitio criminis), da ricondurre alla disciplina dell’art. 2, comma 4, c.p., essendo rimasto punibile, senza soluzione di continuità, il nucleo essenziale
delle fattispecie già prima sanzionate (59).
Tuttavia sono intervenute alcune significative modifiche di formulazione normativa, accanto alla ben diversa collocazione sistematica.
In particolare, l’art. 635-ter c.p. riprende e colloca
fra i delitti contro il patrimonio, con l’aggiunta dell’iniziale clausola di riserva “salvo che il fatto costituisca più
grave reato” (riferibile in specie al successivo art. 635quinquies c.p.) la previsione dell’art. 420, comma 2, c.p.
(60), che puniva fra i delitti contro l’ordine pubblico, di
cui al titolo V del libro II del codice penale, e con la
struttura tipica del delitto d’attentato, “chi commette un
fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti”.
La nuova norma ha scorporato dall’incriminazione
questi ultimi oggetti passivi (“dati, informazioni o pro-
714
DIRITTO PENALE E PROCESSO N. 6/2008
grammi informatici”), essendo gli altri (“sistemi informatici o telematici”) oggetto del successivo delitto di cui all’art. 635-quinquies c.p., in conformità - almeno formale
- con le fonti sovranazionali già citate, che richiedono
l’incriminazione distinta delle due ipotesi di danneggiamento di dati e danneggiamento di sistemi.
Inoltre sono state in parte riformulate le condotte
punibili, venendo mantenuto solo il verbo “distruggere”, mentre è stato soppresso il verbo “danneggiare”,
che invece compariva nell’art. 420, comma 2, c.p. ed è
previsto anche dalle fonti sovranazionali (sull’incoerenza nell’uso di tale verbo, che compare negli artt. 635quater e 635-quinquies, riferiti ai sistemi, non però nell’art. 635-bis né in quello in esame, riferiti ai dati, in cui
compare invece il verbo “deteriorare”, cfr. supra sub b e
c). Oltre al verbo “deteriorare”, sono aggiunti i verbi
“cancellare, alterare o sopprimere”, per conformare l’incriminazione alla formulazione richiesta dalle fonti sopranazionali.
Sotto questo profilo, la previsione dell’art. 635-ter
c.p. si allinea alla formulazione dell’art. 635-bis c.p., riferita ai dati “privati”, salvo che per il momento consumativo e la qualità di rilievo pubblico degli oggetti passivi,
su cui si tornerà. Parallelamente, il nuovo art. 635-quinquies c.p., parimenti scorporato dall’abrogato comma 2
dell’art. 420 c.p., si allinea alla formulazione di cui all’art.
635-quater c.p., per quanto attiene all’enunciazione dei
verbi “distruggere, danneggiare, rendere, in tutto o in
parte, inservibili [...] od ostacolarne gravemente il funzionamento”.
Sennonché, la struttura del delitto di attentato,
prescelta dal legislatore nazionale in entrambe le ipotesi,
rende eccessivamente evanescenti le condotte, formulate in relazione ad eventi cui debbono essere soltanto “dirette”, già di difficile percezione (si pensi in particolare a
quello di “ostacolo al funzionamento”) ed, addirittura, di
problematica distinzione rispetto alle ipotesi denominate dallo stesso legislatore come semplici “condotte” (cfr.
supra sub b).
Note:
(59) Su tale fenomeno, definito via via con maggiore chiarezza dalla giurisprudenza degli ultimi anni, cfr. già L. Picotti, La legge penale, in F. Bricola, V. Zagrebelsky (cur.), Codice penale - Giurisprudenza sistematica di diritto penale, 2^ ed., Torino 1996, vol. I, 87 s.; per un quadro d’insieme, di
recente si veda M. Gambardella, L’abrogazione della norma incriminatrice,
Napoli 2008, in specie 163 s.; nonché E. M. Ambrosetti, Abolitio criminis e modifica della fattispecie, Padova 2004.
(60) Il secondo comma - oggi abrogato - estendeva la stessa pena di cui al
primo comma (tuttora vigente) della reclusione da uno a quattro anni
“anche a chi commette un fatto diretto a danneggiare o distruggere sistemi
informatici o telematici di pubblica utilità, ovvero dati, informazioni o
programmi in essi contenuti o ad essi pertinenti”.
Ma essendo stato pure integralmente abrogato il terzo comma, contenente l’ipotesi aggravata dell’effettiva distruzione, danneggiamento o
interruzione del funzionamento dell’“impianto” - oltre che del “sistema
informatico” - la fattispecie del primo comma, che è riferita ai soli “impianti”, non può più essere punita a titolo di ipotesi aggravata, anche se
il predetto evento si verificasse, restando quest’ultimo penalmente irrilevante.
LEGISLAZIONE•RIFORME
Nel secondo comma di entrambe le nuove fattispecie è infine previsto, che se si verifica realmente l’evento di danneggiamento, la pena edittale è della reclusione
da tre ad otto anni.
Dalla formulazione della norma, che usa l’espressione “se dal fatto deriva”, caratteristica dei c.d. reati
aggravati dall’evento, oltre che dall’entità (esorbitante) della pena stabilita in modo indipendente - pari a
più del doppio - rispetto a quella prevista dal primo
comma, sembra logico ritenere che si tratti di fattispecie autonome di reato, anziché di mere circostanze aggravanti, con ogni conseguenza in ordine all’inapplicabilità del giudizio di bilanciamento fra circostanze, di
cui all’art. 69 c.p., oltre che in materia di elemento soggettivo.
La conclusione è rafforzata dal raffronto con il terzo
comma che, riproducendo il contenuto del comma 2
dell’art. 635-quater c.p., al cui commento si rinvia (supra
sub b), configura invece sicuramente una circostanza aggravante ad efficacia comune (aumento di un terzo della pena), logicamente applicabile sia all’ipotesi del primo che all’ipotesi del secondo comma.
Infine, quanto all’elemento distintivo e fondativo
di questa rilevante diversità di disciplina fra danneggiamenti di dati e sistemi pubblici, rispetto a quella dei danneggiamenti di dati e sistemi privati, il legislatore del
2008 ha usato due locuzioni differenti, senza una ragione
plausibile.
Nell’art. 635-ter c.p. compare infatti, fin dalla rubrica, la complessa locuzione: “utilizzati dallo Stato o
da altro ente pubblico o ad essi pertinenti, o comunque
di pubblica utilità”, che viene, riferita a “informazioni,
dati o programmi informatici”. Viceversa nell’art. 635quinquies c.p. si menziona - anche nella rubrica - solo la
sintetica locuzione “di pubblica utilità”, identica a
quella che compariva nell’abrogato comma 2 dell’art.
420 c.p.
Un primo problema sorge dall’uso del pronome “ad
essi”, che sembra necessariamente riferirsi ai sostantivi
“Stato” ed “ente pubblico”, peraltro già complemento
d’agente del verbo “utilizzati”. La locuzione appare così
superflua, o più che altro un residuo dell’originaria formulazione del comma 2 dell’art. 420, dal quale è tratta,
in cui però il pronome predetto si riferiva ai “sistemi
informatici o telematici” cui “dati, informazioni o programmi” potevano essere “pertinenti”, oltre che “in essi
contenuti”.
In ogni caso la formula più generale “di pubblica utilità” appare idonea ad abbracciare tutte le situazioni
menzionate, non richiedendo come condizione necessaria l’“utilizzazione” effettiva da parte di un soggetto pubblico.
Del resto, non è chiaro quale potrebbe essere, al di
fuori delle due ipotesi dell’utilizzazione e della pubblica utilità, il rapporto di “pertinenza” con lo Stato od
un ente pubblico, specie nella già delineata situazione
di grande indeterminatezza dei - molteplici - diritti ed
interessi convergenti su dati, informazioni e programmi (cfr. supra sub b a proposito della nozione di “altruità”).
La scelta del legislatore italiano di garantire ai dati
e sistemi “di pubblica utilità” una protezione più forte
contro i danneggiamenti informatici, rispetto a quella
stabilita per i dati e sistemi “privati”, non richiedeva affatto una differenziazione in altrettanti distinti delitti,
certamente non prescritta dalle fonti sopranazionali. Ed
il risultato poteva esser più semplicemente ottenuto con
una circostanza aggravante speciale, analoga a quella di
cui all’art. 635, comma 2, n. 3 c.p., applicabile ai delitti
di cui agli artt. 635-bis e 635-quater c.p.; oppure anche
con la previsione di una fattispecie autonoma, per evitare il giudizio di bilanciamento ex art. 69 c.p., ma senza alcun bisogno di mantenere la struttura dei delitti di
attentato, derivata dal modello di cui all’art. 420 c.p.,
che trovava un pur controverso fondamento solo nella
prospettiva di tutela di un bene collettivo come l’ordine
pubblico.
Le nuove incriminazioni sono state invece collocate nell’ambito dei comuni delitti contro il patrimonio,
per cui - salva la possibilità di applicare la circostanza aggravante speciale della finalità di eversione dell’ordine
costituzionale ed eventualmente di terrorismo, anche
internazionale, ove ne ricorrano i presupposti, tenuto
anche conto delle più severe disposizioni introdotte per
contrastarlo (61) - non è chiaro lo scopo di politica criminale perseguito con la fragile e complessa costruzione
sistematica in esame.
I livelli sanzionatori, identici fra le due fattispecie di
cui agli artt. 635-ter e 635-quinquies c.p. (reclusione da
uno a quattro anni di reclusione per le ipotesi base, da tre
ad otto anni per le ipotesi aggravate di cui ai rispettivi
capoversi), sono addirittura inferiori - nel caso di danneggiamento di sistemi di pubblica utilità - rispetto a
quanto stabilito per il danneggiamento di sistemi “privati” (art. 635-quater c.p.: da uno a cinque anni di reclusione), perché evidentemente il legislatore ha considerato
che nel primo caso, non nel secondo, si tratta di delitto
a consumazione anticipata.
Ma anche nel caso di danneggiamento di dati di
pubblica utilità la citata pena è di poco superiore a quella stabilita per il danneggiamento di dati “privati” (art.
635-bis c.p.: da sei mesi a tre anni di reclusione).
Per cui non è raggiunto neppure l’obiettivo di un regime “speciale” sensibilmente più severo sul piano sanzionatorio, visto che la configurazione dei delitti in esame come comuni delitti di evento, al pari delle altre fattispecie di danneggiamento, avrebbe comunque consentito la loro punibilità anche a titolo di tentativo, invece
Nota:
(61) Cfr. art. 1 l. 6 febbraio 1980, n. 15, di conversione del d.l. 15 dicembre 1979, n. 25; nonché, da ultimo, l’art. 270-sexies c.p., introdotto
dalla l. 31 luglio 2005, n. 155, di conversione del d.l. 27 luglio 2005, n.
144.
DIRITTO PENALE E PROCESSO N. 6/2008
715
LEGISLAZIONE•RIFORME
esclusa rispetto ai delitti di attentato (62), ferma la sola
“riduzione” di pena da un terzo alla metà, ex art. 56 c.p.,
applicabile peraltro sulla cornice edittale più grave.
Vi è una ulteriore discutibile conseguenza di questa
criticabile scelta del legislatore italiano, che non sembra
comunque portare alcun sensibile vantaggio in termini
di efficacia complessiva del sistema: proprio con riferimento ai dati e sistemi di pubblica utilità è violata nella
sostanza l’indicazione delle fonti sopranazionali, di distinguere fra danneggiamenti di dati e danneggiamenti di sistemi, ovviamente anche a livello di trattamento sanzionatorio.
4. La responsabilità da reato degli enti per i delitti
informatici (nuovo art. 24-bis d.lgs. 8 giugno 2001, n.
231)
Un’ultima veloce notazione merita l’art. 7 l.
48/2008, che introducendo un nuovo art. 24-bis nel
d.lgs. 8 giugno 2001, n. 231, ha esteso a tutti i reati informatici - non solo quelli previsti dalla novella in esame la responsabilità “da reato” degli enti.
Come già segnalato nell’introduzione, permane solo l’anomala esclusione del delitto di frode informatica,
di cui all’art. 640-ter c.p., quando non sia “commesso in
danno dello Stato o di altro ente pubblico”, essendo limitata
a questa sola ipotesi la previsione dell’art. 24 d.lgs.
231/2001, mantenuto stranamente nell’originaria formulazione; e quella, altresì incomprensibile, del delitto
di cui al nuovo art. 495-bis c.p., concernente la falsa attestazione al certificatore (cfr. supra par. 2-b), che appare peraltro suscettibile di essere commessa anche nell’interesse di persone giuridiche ed enti, sia da parte di soggetti in posizione apicale, sia da parte di soggetti in posizione subordinata.
La novella, in ogni caso, inserendo i nuovi reati nel
“sistema” d’imputazione, sanzionatorio e processuale delineato dal d.lgs. 231/2001, dà quasi completa attuazione
agli artt. 12 e 13, par. 2, Convenzione Cybercrime, nonché all’art. 9 Decisione quadro 2005/222/GAI, chiudendo il quadro del diritto “punitivo” in materia.
Non si può però non evidenziare la complessità delle conseguenze che può comportare tale estensione di responsabilità per imprese ed enti.
Infatti, affidando il nostro sistema un ruolo assai
incisivo ai “modelli organizzativi” sia ai fini dell’imputazione della responsabilità (artt. 5, 6 e 7 d.lgs.
231/2001), sia ai fini della concreta operatività delle
conseguenze sanzionatorie (art. 17 segg. d.lgs.
231/2001), è da attendersi un dispendioso ma necessario impegno, per l’adeguamento dei “modelli” stessi alle peculiarità, anche tecniche, di questi nuovi “rischi”
di commissioni delittuose, da prevenire collegando
ogni intervento alle vigenti ed a loro volta complesse
discipline normative in materia di trattamento dei dati
personali e di tutela della sicurezza nei luoghi di lavoro
(comprese quelle attinenti ai profili specifici dell’elaborazione elettronica e del controllo delle attività lavorative ai videoterminali) (63).
716
DIRITTO PENALE E PROCESSO N. 6/2008
5. Notazioni critiche conclusive
Come era stato evidenziato da qualche raro intervento parlamentare (64), proprio perché così rilevante,
delicata e di “stringente attualità” la materia avrebbe richiesto un approccio ben più attento, basato su un approfondito esame delle diverse fattispecie penali preesistenti e dei riflessi sistematici di ogni modifica, evitando
la loro facile ‘moltiplicazione’ o mera ‘estensione’ ai nuovi fenomeni da regolare, come invece è accaduto (al pari che per molti istituti di carattere processuale).
E sarebbe stato opportuno considerare compiutamente, nell’occasione, anche le iniziative dell’Unione
europea nel settore, in specie la menzionata Decisione
quadro 2005/222/GAI sugli attacchi informatici, di cui
da tempo è scaduto il termine per l’attuazione da parte
degli Stati membri, senza che l’Italia vi abbia puntualmente adempiuto.
In conclusione deve sottolinearsi, che proprio perché è necessario l’adeguamento del diritto interno all’ordinamento sopranazionale, esplicitamente prescritto a
livello costituzionale (cfr. artt. 10, 11 e 117 Cost.), oltre
che dal diritto internazionale e dall’appartenenza all’Unione europea, non è attraverso una frettolosa legge di
ratifica che si può raggiungere siffatto obiettivo, lodevolmente perseguito, ma non raggiunto, dai compilatori
della l. 48/2008.
Infatti un intervento solo parziale e frammentario,
in cui l’urgenza vada a scapito della qualità tecnica e sistematica della normativa interna, non garantisce affatto il raggiungimento delle finalità d’armonizzazione legislativa e di rafforzamento della cooperazione internazionale fra gli Stati e le loro autorità inquirenti e giudicanti, che costituiscono la ragion d’essere degli strumenti internazionali.
Note:
(62) Essendo per essi l’attività minima richiesta per la punibilità del tentativo già sufficiente a integrare la fattispecie consumata: cfr., con specifico riguardo anche al delitto in esame, G. Forti, in A. Crespi, G. Forti,
G. Zuccalà (cur.), Commentario breve, cit., sub art. 420, 1050 e 709, con
indicazioni essenziali.
(63) Per un recente intervento giurisprudenziale sulle possibilità ed i limiti del controllo del datore di lavoro sulla posta elettronica dei dipendenti, si veda Cass., Sez. V., 11 dicembre 2007, Tramalloni, in Foro it.,
2008, II, c. 137 s.
(64) Cfr. l’intervento dell’on. Costa, che - in replica alle affermazioni del
Presidente della II Commissione (Giustizia) della Camera, on. Pisicchio
- ha rilevato come si sia solo “tentato di porre in essere un’istruttoria completa”, dato che “purtroppo non è stato possibile svolgere le audizioni” che erano
state programmate, salvo quelle effettuate con la polizia postale (resoconto seduta 19 febbraio 2008, al sito www.camera.it). Ad un inquadramento meramente descrittivo delle modifiche previste dal d.d.l. 2807
A.C. si è limitato anche il Dossier di documentazione del Servizio studi
della Camera dei Deputati (Dossier ES0149 del 24 settembre 2007, reperibile al sito ult. cit.).
LEGISLAZIONE•RIFORME
I PROFILI PROCESSUALI
Luca Lupária
Di assoluto rilievo si presentano le innovazioni processuali apportate dalla l. n. 48 del 2008 diretta ad
adeguare l’ordinamento interno ai dettami della
Convenzione di Budapest. Gli innesti alla disciplina
concernente ispezioni e perquisizioni, il mutato regime del sequestro di corrispondenza, l’intervento
sulla c.d. data retention sembrano destinati ad incidere sul sistema probatorio penale in maniera talmente profonda da indurre l’interprete ad estendere
la portata teorica della novella ben al di là del ristretto campo attinente l’accertamento dei computer crimes. Non mancano comunque diversi profili
critici in un assetto normativo ancora in larga parte
perfettibile.
1. La portata innovativa e i contorni
problematici di una necessaria azione
di ammodernamento del codice di rito
Osservata dall’angolo visuale del processualista, la
legge di recepimento della Convenzione di Budapest
non può essere sbrigativamente qualificata nei termini
di un circoscritto intervento normativo volto a ridefinire i contorni di un settore, quello dell’accertamento dei
reati informatici, tutto sommato marginale. Ad uno
sguardo che si voglia smarcare dalle etichette preconfezionate e dalle generalizzazioni tipiche della “prima lettura”, infatti, non può sfuggire la portata assai più ampia
della novella, destinata ad incidere sulle attività di indagine e sul diritto delle prove penali in maniera indifferenziata, indipendentemente cioè dal fatto che il procedimento penale abbia ad oggetto un computer crime (1),
un reato comune commesso solo occasionalmente con il
mezzo informatico o, addirittura, un illecito del tutto slegato dalla dimensione tecnologica, sia sotto il profilo del
bene giuridico tutelato e degli elementi costitutivi della
fattispecie, sia sotto il piano dei concreti mezzi di estrinsecazione della condotta punibile (2). Nel dettare nuovi
paradigmi normativi per la raccolta delle c.d. evidenze
elettroniche, in sostanza, il ricordato provvedimento legislativo si è inevitabilmente svincolato dal ristretto
campo della “criminalità informatica”, essendo oramai
innegabile il ruolo fondamentale che la digital evidence finisce coll’assumere pressoché in ogni inchiesta criminale (3), come mostrano le più recenti investigazioni in
materia di reati economici, di terrorismo transnazionale
e di delitti associativi, senza arrivare a citare tutti quei
casi di omicidio, che infarciscono le cronache giornalistiche, in cui la prova del reato o dell’alibi dell’accusato
si annida nell’elaboratore dei soggetti coinvolti.
Ora, va subito detto che gli innesti al codice di rito
apportati dal Parlamento per adeguare la nostra architettura sistematica all’impostazione teorica sottesa al testo convenzionale non sono solo il frutto di una operazione forzata e “a rime baciate”, volta appunto a rispettare pedissequamente gli impegni internazionali assunti.
Potremmo dire che l’obbligo pattizio ha fornito piuttosto
lo spunto per mettere mano in maniera più celere ad una
azione già meditata motu proprio da tempo e fortemente
patrocinata da tutta quella parte della dottrina che, da
un lato, denunciava le difficoltà ermeneutiche insite
nell’utilizzo dei tradizionali istituti processuali per l’apprensione del dato digitale (4) e, dall’altro, segnalava il
rischio che, in mancanza di un intervento legislativo,
lentamente si potesse scivolare verso un fenomeno che
potremmo chiamare di deriva tecnicista, alimentato da
quell’orientamento diretto a ipotizzare una sorta di autonomia sistematica delle operazioni di computer forensics
(5), ritenute, in virtù della loro peculiarità, un settore disancorato dal resto del corpus normativo, una specie di
insula nel costrutto processuale da demandare “in bianNote:
(1) Sulle varie declinazioni teoriche del concetto, v., essenzialmente, C.
Pecorella, Il diritto penale dell’informatica, Padova, 2006; G. Pica, Reati
informatici e telematici, in Dig. disc. pen., I agg., Torino, 2000, 521; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Il diritto penale dell’informatica nell’epoca di internet, Padova, 2004, 26; Id., Reati informatici, in Enc. Giur. Treccani, vol. VIII, agg.,
Roma, 1999, 1; L. Scopinaro, Internet e reati contro il patrimonio, Torino,
2007.
(2) Del resto, esplicitamente l’art. 14 della Convenzione imponeva agli
Stati di applicare i poteri e le procedure previste nella sezione seconda
dell’accordo: a) ai reati informatici; b) a tutti gli altri reati commessi attraverso un sistema informatico; c) all’insieme delle prove elettroniche di
un reato.
(3) Per uno sguardo d’insieme sui complessi rapporti intercorrenti tra accertamento penale ed evoluzione informatica, sia consentito rinviare al
volume L. Lupária - G. Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali,
Milano, 2007.
(4) Ricorda M. Guernelli, I “computer crimes” nell’attuale sistema penale tedesco: aspetti sostanziali e processuali, in Riv. trim. dir. pen. econ., 2007,
spec. 650, come anche la Corte costituzionale tedesca abbia più volte invitato il proprio legislatore ad adattare l’ordinamento allo sviluppo tecnologico, sottolineando l’inadeguatezza delle norme sulla assicurazione
delle fonti di prova, per lo più risalenti nel tempo.
(5) Sui contorni teorici e operativi di questa disciplina scientifica, cfr., ex
plurimis, E. Casey, Digital Evidence and Computer Crime. Forensic Science,
Computers and the Internet, Elsevier, 2004; S. Mason, Electronic Evidence:
Disclosure, Discovery and Admissibility, London, 2007; M. Mercer, Computer Forensics: Characteristics and Preservation of Digital Evidence, in FBI
Law Enf. Bull., 2004, 29; M. Slade - R. Slade, Software Forensics: Collecting Evidence from the Scene of a Digital Crime, New York, 2004; P. Sommer, Digital Footprints: Assessing Computer Evidence, in Crim. L. Rev.,
spec. ed., 1988, 63; J. Vacca, Computer Forensics: Computer Crime Scene
Investigation, Hingham, 2002. Nella dottrina italiana: P. Perri, La computer forensics, in G. Ziccardi (a cura di), Manuale breve di informatica giuridica, Milano, 2006, 199.
DIRITTO PENALE E PROCESSO N. 6/2008
717
LEGISLAZIONE•RIFORME
co” ai tecnici informatici (6). I redattori della l. n.
48/2008 hanno certamente tenuto conto degli esiti di
tale dibattito, essendosi peraltro impegnati in una corposa agenda di audizioni (7) e nella raccolta delle proposte elaborate negli ultimi anni all’interno del quadro
comparativo per dare corpo a quella esigenza di “genuinità” della prova digitale che già traspariva limpidamente dalla Raccomandazione R(95)13 dell’11 settembre
1995 firmata dal Comitato dei Ministri del Consiglio
d’Europa. Come è noto, in quel testo internazionale, antesignano del trattato sottoscritto a Budapest, veniva
ben rimarcato come, nell’affrontare le problematiche
processuali penali connesse alla tecnologia dell’informazione, «the common need to collect, preserve, and present
electronic evidence in ways that best ensure and reflect their
integrity and irrefutable authenticity (…) should be recognized» (art. 13).
Eppure, il risultato finale di tale lavoro, anche in ragione di una affrettata approvazione determinata dalla
intervenuta caduta dell’esecutivo e dalla repentina chiusura dell’attività parlamentare, non può dirsi del tutto
soddisfacente e anzi induce a parlare di occasione perduta. Se si pensa infatti che, in àmbito di rapporti tra processo ed evoluzione informatica, non si interveniva sul
codice di procedura penale dal lontano 1993, quando la
l. n. 547 introdusse l’istituto delle intercettazioni telematiche nell’art. 266 bis c.p.p. (8), non può che essere
definita parzialmente deludente la scelta di ridurre al
minimo gli interventi e di procrastinare le necessarie
prese di posizione rispetto alle numerose controversie ermeneutiche emerse in questi anni sul piano della prassi
giudiziale. Argomenti quali la captazione delle comunicazioni vocali effettuate con sistemi voice-overIP (9), le
intercettazioni parametriche (10), l’apprensione in tempo reale della posta elettronica, le attività di “agente provocatore informatico” condotte dalla polizia giudiziaria
(11), i limiti al sequestro del computer dell’indagato o del
soggetto terzo (12), solo per citarne alcuni, non hanno
trovato spazio in questa mini-riforma dell’ordito codicistico, circostanza che può far presagire ulteriori correttivi da apportare nel corso della legislatura appena avviatasi.
2. La salvaguardia dell’integrità dei dati digitali
quale canone operativo nelle attività ispettive
e perquirenti
Non sarà ovviamente possibile affrontare in questa
sede gli aspetti di cooperazione internazionale contenuti
nel testo della Convenzione, attinenti all’intero diorama
della mutua assistenza tra Stati, a partire da meccanismi
tradizionali come l’estradizione (art. 24 Conv.) fino a
giungere ad originali soluzioni quali la richiesta di conservazione o divulgazione rapida di dati (artt. 29 e 30
Conv.) e l’accesso transfrontaliero a files immagazzinati
(art. 32 Conv.) (13). Il proposito del presente commento, infatti, è piuttosto quello di fornire una prima panoramica delle modifiche inserite dalla novella nel codice
718
DIRITTO PENALE E PROCESSO N. 6/2008
di rito, riscritto in più parti attraverso la tecnica della interposizione di nuovi commi nel seno di norme già esistenti, con l’eccezione rappresentata dall’inserzione di
Note:
(6) Sul punto cfr., volendo, L. Lupária, Il caso Vierika. Un’interessante pronuncia in materia di virus informatici e prova penale digitale. I profili processuali, in Dir. Internet, 2006, 153.
(7) Al di là di una audizione formale nella quale sono stati ascoltati gli
esponenti della polizia postale, si sono infatti svolti diversi incontri di studio volti a raccogliere proposte di modifica al testo originario nel quadro
delle attività della Commissione giustizia della Camera. Ad una di queste sessioni, aperte anche ad altre forze di polizia e alla magistratura, ha
potuto prendere parte anche chi scrive unitamente a membri della avvocatura e ad esponenti di un importante centro di ricerca che raccoglie
esperti della materia.
(8) In questo lasso temporale, vanno comunque ricordati alcuni provvedimenti che hanno inciso sul rapporto tra indagini preliminari e nuove
tecnologie: i c.d. “decreti Pisanu” in materia di terrorismo internazionale,
cui spetta, inter alia, la modifica dell’art. 226 disp. att. c.p.p. sulle intercettazioni telematiche preventive (l. n. 438 del 2001 e l. n. 144 del
2005); la normativa varata per il contrasto alla pedopornografia on line (l.
n. 269 del 1998 e l. n. 38 del 2006); la regolamentazione della conservazione e successiva acquisizione dei “file di Log” presso i service provider
(d.lgs. n. 196 del 2003, così come modificato dalle leggi n. 45 del 2004 e
n. 155 del 2005).
(9) Essendo venuta meno l’iniziale netta distinzione tra sistemi telefonici e sistemi informatico-telematici, si sta infatti facendo strada la inaccettabile proposta di ricomprendere le telefonate effettuate con l’oramai diffusissimo vettore Skype all’interno delle più larghe maglie dell’art. 266 bis
c.p.p. Sul punto, cfr. L. Lupária, La disciplina processuale e le garanzie difensive, in L. Lupária - G. Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali,
cit., 165.
(10) Si tratta di captazioni che agiscono per parola chiave e su larga scala. Gli organi investigativi monitorano in sostanza tutto il traffico nazionale o regionale di un determinato provider filtrandolo mediante uno specifico parametro (una parola, un indirizzo web, ecc.).
(11) Cfr. G. Spangher, Le norme contro la pedofilia: b) le norme di diritto processuale penale, in questa Rivista, 1998, 1231. Per uno sguardo comparativo: M. Mattei Ferraro - E. Casey, Investigating Child Exploitation and Pornography. The Internet, the Law and Forensic Science, London, 2005, 101 s.
Sulle distorsioni della prassi in questi primi anni di applicazione dei meccanismi previsti dalla l. n. 269 del 1998: L. Lupária, Le investigazioni informatiche in materia di pornografia minorile tra nuovi e vecchi abusi degli strumenti processuali, in Dir. internet, 2005, 484.
(12) Sulla necessità che i provvedimenti di perquisizione e sequestro del
computer non si trasformino in strumenti di ricerca della notitia criminis o
vadano ad assumere i connotati di una attività di tipo esplorativo, v.
Cass., Sez. I,. 4 luglio 2007, n. 735, che ha confermato un provvedimento del Tribunale del riesame di Brescia (ord. 4 ottobre 2006, Bonini e altro, in Quest. giust., 2007, 176) in cui già era già possibile leggere che il sequestro dell’elaboratore “esige un ambito di corretta e ristretta operatività
per evitare connotazioni di sproporzionata afflittività e di lesione di beni
costituzionalmente protetti”. Cfr. A. Monti, No a sequestri indiscriminati di
computer, in Dir. internet, 2007, 269.
(13) Per un primo commento: E. Selvaggi, Cooperazione giudiziaria veloce
ed efficace, in Guida dir., 2008, n. 16, 72. I meccanismi di collaborazione
previsti dal testo internazionale sono stati oggetto in questi anni di varie
critiche, soprattutto da parte della dottrina anglo-americana: R. Baron, A
Critique of the International Cybercrime Treaty, in Comm. Cons., 2002,
263; J. Fisher, The Draft Convention on Cybercrime: Potential Constitutional
Conflicts, in Uwla L. Rev., 2001, 339; M. Miquelon, The Convention on
Cybercrime: A Harmonized Implementation of International Penal Law:
What Prospects for Procedural Due Process, in J. Marshall J. Comp. Inf. L.,
2005, 329.
LEGISLAZIONE•RIFORME
un inedito articolo all’interno delle disposizioni sul sequestro probatorio (art. 254 bis c.p.p.). Un approccio,
dunque, quasi “chirurgico” mosso dall’intento, non del
tutto condivisibile, di ricomprendere le forme di raccolta del dato digitale all’interno dei tradizionali mezzi di ricerca della prova, senza prevedere, come accaduto o preconizzato in altri sistemi, istituti di nuovo conio (14).
Veniamo allora a quello che può essere considerato
il cuore del provvedimento, ossia l’emendamento delle
disposizioni relative alle ispezioni e alle perquisizioni,
operazione diretta ad incidere tanto sulla dimensione
“statica” delle due fattispecie contenuta nel libro terzo
(artt. 244, 247 e 258 c.p.p.), quanto sulla loro portata
“dinamica” così come delineata nel libro quinto (artt.
352 e 354 c.p.p.) (15). In ognuna delle richiamate norme, e dunque a prescindere dalla circostanza che si sia in
presenza di attività disposte dall’autorità giudiziaria o
messe in moto ad iniziativa della polizia giudiziaria, la l.
n. 48 del 2008 ha introdotto una locuzione volta a designare un preciso modus operandi da tenersi nell’espletare
le azioni di accesso all’elaboratore elettronico. Ad esclusione dell’art. 354 c.p.p. che, come mostreremo postea,
prevede una formulazione in parte differente, le disposizioni riformate prescrivono che - qualora l’objectum da
“scrutare” o da “frugare”, per dirla con Cordero, sia un sistema informatico - debbano essere adottate “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”. L’inciso, per quanto
laconico, è di cruciale importanza, giacché presuppone
alcune premesse teoriche e apre la strada ad alcuni corollari tutt’altro che marginali quanto ad impatto sulle
concrete dinamiche investigative.
In primo luogo, viene implicitamente ripudiata la
visione, in realtà non priva di solidità concettuale, secondo cui perquisizioni e ispezioni non sarebbero istituti
idonei allo svolgimento di azioni di digital investigation incidenti in via diretta sul contenuto dei sistemi informatici, quanto piuttosto strumenti procedurali da confinare
alla sola ricerca dell’involucro “esterno” racchiudente i
dati elettronici, i quali verrebbero in tal modo sequestrati con opportune modalità e poi sottoposti a consulenza
tecnica per il loro esame, così da evitare, oltre ai rischi di
modificazione del quadro probatorio, perniciose sovrapposizioni tra semplici attività di polizia giudiziaria e indagini a matrice tecnico-scientifica. In secundis, assai
correttamente viene riconosciuta la natura ontologicamente volatile e alterabile del dato digitale - su cui possono spesso incidere condotte involontarie atte ad ingenerare fenomeni di “inquinamento” - e la conseguente
necessità di impiegare standard operating procedure idonee a garantire la genuinità dell’accertamento. Non si
indica tuttavia una singola modalità operativa, ma si segue la strada del rinvio a quelle che, nella parabola dell’evoluzione scientifica, saranno ratione temporis le migliori pratiche assurte nel panorama scientifico internazionale a funzione di profilassi rispetto ad eventuali fenomeni di contaminazione delle evidenze elettroniche.
Viene dunque affidato all’organo giudicante l’onere di
verificare, caso per caso, l’effettiva validità dei criteri impiegati e la loro conseguente affidabilità. Si riecheggia in
sostanza quell’approccio, tipico dell’universo giuridico di
common law, che assegna al giudice l’incisivo ruolo di gatekeeper (16) nei riguardi degli accertamenti ad alto contenuto tecnologico, la cui attendibilità deve appunto essere apprezzata sulla scorta dei protocolli elaborati dalla
comunità scientifica (17) e alla luce di quella “cultura
dei criteri” che la migliore dottrina ritiene coessenziale
al vaglio giurisdizionale circa l’idoneità probatoria della
scientific evidence (18).
Non si può non rilevare, peraltro, come il riferimento alla “conservazione” dei dati e alla loro non “alterazione” voglia con ogni probabilità richiamare il metodo invalso maggiormente nella prassi investigativa, almeno quella più al passo con le best practices in materia,
ossia l’effettuazione di una copia-clone dell’elaboratore
attraverso la tecnica del legal imaging o bit stream image
(l’Image-Sicherung della dottrina tedesca). Si tratta in sostanza di una forma di “cristallizzazione” del quadro probatorio che consente tra l’altro agli inquirenti, secondo
una sedimentata guideline, di ricercare in seguito i dati rilevanti per l’inchiesta penale in corso non già sulla prima “riproduzione” del contenuto del sistema informatico, ma bensì sul successivo ulteriore duplicato, creato
proprio al fine di poter manipolare i byte prelevati senza
alterare la prima - per così dire - “fotografia digitale” della macchina in questione. Quest’ultima, in tal modo,
sarà in ogni momento del processo a disposizione della
autorità giudiziaria o della difesa, al fine di poter verificaNote:
(14) Cfr. J. Casile, Plaidoyer en faveur d’amènagements de la preuve de l’infomation informatique, in Rev. sc. crim., 2004, 65; P. Roussel, L’emploi de
l’informatique sur l’administration de la preuve de l’information informatique,
in Droit pèn., 2005, sept., 6.
(15) Per un approccio sistematico ai due istituti, v. da ultimo P. Felicioni,
Le ispezioni e le perquisizioni, in Trattato di procedura penale, diretto da G.
Ubertis - G. P. Voena, vol. XX, Milano, 2004.
(16) V., tra gli altri, G. Canzio, Prova scientifica, ragionamento probatorio e
libero convincimento del giudice nel processo penale, in questa Rivista, 2003,
1194; O. Dominioni, In tema di nuova prova scientifica, ivi, 2001, 1061; F.
Focardi, La consulenza tecnica extraperitale delle parti private, Padova, 2003,
174.
(17) Sul punto, è appena il caso di ricordare le note pronunce della Corte Suprema statunitense Daubert v. Merrel Dow Pharmaceuticals (509 U.S.
579, 1993), General Electric v. Joiner (522 U.S. 136, 1997) e Kumho Tire
Company v. Carmichael (526, U.S. 137, 1999).
(18) Cfr. O. Dominioni, La prova penale scientifica. Gli strumenti scientifico-tecnici nuovi o controversi e di elevata specializzazione, Milano, 2005, 71:
«in relazione al controllo sull’operato dell’esperto è in gioco quella che si
può definire cultura dei criteri, consistente in schemi concettuali intesi a
scrutinare la validità delle leggi scientifiche e delle tecnologie usate dall’esperto e la loro corretta applicazione. Spetta allo stesso giudice enucleare questi criteri, che li può attingere dall’elaborazione giurisprudenziale, dalla letteratura giuridica, dalla forensic science, dallo stesso ambito
scientifico posto che gli studiosi, nel definire un nuovo principio scientifico o un nuovo metodo tecnologico, intanto ne accreditano la validità
in quanto mettono a punto anche gli indici della loro verifica».
DIRITTO PENALE E PROCESSO N. 6/2008
719
LEGISLAZIONE•RIFORME
re che i risultati raggiunti mediante l’esaminazione dei
dati siano compatibili e confacenti con il supporto iniziale.
Un espresso rimando a tale metodica sembra in effetti contenuto, come anticipato, nel novellato art. 354
c.p.p., dedicato agli incombenti urgenti cui è chiamata
la polizia giudiziaria sui luoghi o sulle cose. Ebbene, nell’aggiunta prevista dalla legge in commento, si afferma
esplicitamente che gli ufficiali di polizia giudiziaria che si
trovino di fronte ad un sistema informatico o telematico,
oltre ad adottare le misure tecniche per salvaguardarne
l’integrità, devono, “ove possibile” (inciso questo che
potrà dar luogo a non poche controversie interpretative
nella prassi), procedere alla “immediata duplicazione su
adeguati supporti, mediante una procedura che assicuri
la conformità della copia all’originale e la sua immodificabilità”. Un chiaro rinvio proprio alle tecniche appena
ricordate, oramai ben conosciute e impiegate, il più delle volte con l’ausilio di software rinomati come “Encase”
della Guidance Software Inc., oggetto da anni di studi e
analisi dottrinali. Tra l’altro, tale metodologia di “clonazione” consente, nella sua applicazione più corretta (19),
di lasciare il computer nella disponibilità della persona
dopo aver trasfuso il suo contenuto all’interno del supporto di memorizzazione, aspetto questo di rilievo non
minimo per chi ritiene che le indagini informatiche debbano evitare connotazioni di sproporzionata afflittività
nei confronti dei soggetti coinvolti, specie oggi che gli
strumenti informatici sono divenuti, per ognuno di noi,
gli utensili maggiormente adoperati per la gestione dei
propri interessi, oltre che i veicoli essenziali per la comunicazione e l’interazione col prossimo (20).
Venendo infine ai possibili corollari discendenti
dalle scelte legislative qui in commento, almeno due
possono essere le riflessioni da svolgere. Anzitutto, la
nuova normativa sembrerebbe confermare la tesi secondo cui la polizia giudiziaria che agisce prima dell’intervento del pubblico ministero non può effettuare veri e
propri accertamenti tecnici a natura irripetibile, o surrogati di fatto equivalenti, essendole concesso solamente
di compiere azioni di mera osservazione, individuazione,
rilievo o di acquisizione dati. L’ordinamento, insomma,
non consentirebbe, secondo quanto espresso in particolare dall’art. 354 c.p.p., che l’oggetto esaminato possa venire modificato dallo svolgimento delle operazioni, come affermavano già quelle sentenze in tema di analisi del
Dna comportanti una variazione irreversibile del reperto
(21) e alcune delle interpretazioni vertenti sull’art. 13
d.lgs n. 274 del 2000 (22), laddove si stabilisce che, nel
procedimento davanti al giudice di pace, la polizia giudiziaria possa procedere ad accertamento tecnico non ripetibile solo se autorizzata dal pubblico ministero e sempre che lo stesso non giudichi di dover compiere personalmente tale attività. Oggi, dunque, con lo specificare
che la polizia giudiziaria è incaricata di “assicurare la
conservazione” dell’elaboratore, di “impedirne l’alterazione e l’accesso”, oltre che di effettuare “copie” non
720
DIRITTO PENALE E PROCESSO N. 6/2008
modificabili, il legislatore sembra voler ribadire che tale
soggetto processuale, nell’àmbito in questione, deve limitarsi alle attività di assicurazione e preservazione del
quadro probatorio.
In un secondo piano prospettico, va rilevato come
per il riformatore l’attività di “clonazione-copiatura” del
computer non sarebbe operazione qualificabile come accertamento tecnico, bensì quale mero rilievo, al pari di
una fotografia, di una descrizione segnaletica o di un accertamento dattiloscopico e antropometrico ex art. 349,
comma 2, c.p.p. In realtà, va ricordato che in questi anni molte Procure della Repubblica hanno proceduto a
tale intervento, giudicato quale atto implicante una elaborazione a spiccato contenuto scientifico, attraverso lo
strumento previsto dall’art. 359 c.p.p., quando l’ufficio
riteneva che la metodologia garantisse la reiterabilità
della riproduzione, o mediante l’istituto dell’accertamento tecnico irripetibile da svolgere in contraddittorio
ex art. 360 c.p.p. È stato infatti più volte rilevato come al
momento stesso della “fotografia digitale” del contenuto
del dispositivo elettronico possa sussistere un ipotetico
rischio di modificazione dei dati. Inoltre, anche impiegando tool particolarmente conosciuti (23), quali ad
esempio il già citato Encase, utilizzato dalla gran parte
delle forze di polizia europee e americane, emergerebbe
una ulteriore problematica: tali programmi, infatti, sono
quasi sempre coperti da licenza, in quanto commercializzati da grandi multinazionali informatiche. Ciò impedisce di poter avere accesso ai c.d. “codici sorgente”, vale a
dire alle vera e propria fondamenta che sorreggono l’intelaiatura del programma e ne condizionano la sua operatività. L’eccezione che voglia far leva sulla impossibilità, per giudice e parte avversa, di esaminare il concreto
Note:
(19) V’è da dire che l’attuale formulazione degli articoli 244 e 247 può ingenerare sul punto dubbi interpretativi nella parte in cui prima facie parrebbe consentire agli inquirenti di procedere a perquisizione e ispezione
non già sulla “copia”, bensì direttamente sull’“originale”, o addirittura di
attivare in via immediata tali mezzi di ricerca della prova e riservare ad
una fase successiva la cristallizzazione dei dati. Sia nella prima che nella
seconda ipotesi, quest’ultima in verità totalmente eccentrica rispetto alle
best practices menzionate, si sarebbe tuttavia in presenza di approcci operativi incompatibili con la già evidenziata filosofia di fondo che deve guidare l’interprete che si muove nel contesto delle indagini informatiche,oltre che dissonanti rispetto ai canoni di non modificazione del materiale digitale, di genuinità della prova informatica e di salvaguardia delle prerogative difensive.
(20) Si vedano S. Aterno, In materia di sequestro di hd e acquisizione della
prova informatica:un caso eclatante, in Dir. Internet, 2005, 365 e A. Chelo
Manchìa, Sequestro probatorio di computers: un provvedimento superato dalla tecnologia?, in Cass. pen., 2005, 1638.
(21) Cass. pen., Sez. I, 23 marzo 2002, n. 11886, Jolibert, in Cass. pen.,
2003, 1966.
(22) V. E. Aprile, Le indagini tecnico-scientifiche: problematiche giuridiche
sulla formazione della prova penale, in Cass. pen., 2003, 4037.
(23) Cfr. S. Aterno, La computer forensics tra teoria e prassi: elaborazioni
dottrinali e strategie processuali, in Ciberspazio e diritto, 2006, n. 4, 425; A.
Ghirardini-G. Faggioli, Computer Forensics, Milano, 2007, 164; P.
Stephenson, The right tools for the job, in Digital Investigation, 2004, 24.
LEGISLAZIONE•RIFORME
funzionamento di quel software e quindi di poter monitorare la correttezza dell’iter da esso seguìto, con conseguente garanzia di fedeltà della copia effettuata, parrebbe quindi non del tutto infondata. In materia di nuovi
dispositivi scientifici è necessario infatti consentire alle
parti un vaglio pregnante sul loro funzionamento (24),
dovendo entrare in gioco quei criteri concernenti la novel forensic science che, cristallizzati da ormai note sentenze della Corte Suprema statunitense, sono stati recepiti da parte della nostra dottrina come parametri per
l’ammissione, ex art. 189 c.p.p., degli strumenti probatori inediti e ad elevato grado di specializzazione. Non a caso, alcune squadre investigative hanno iniziato ad utilizzare per le attività di copiatura programmi a codice aperto (open source), talora insieme a quelli a codice titolare
così da conseguire una duplice conferma della bontà della copia e consentire in seguito alla difesa di ricontrollare tutti i passaggi effettuati.
3. L’imposizione di un vincolo reale a finalità
probatoria alla luce dell’evoluzione informatica
Vanno segnalate anche quelle norme che attengono direttamente alla tematica del sequestro probatorio e
che dettano nuove regole in conformità all’intervenuta
evoluzione tecnologica. Interessante è ad esempio la disposizione che estende le ipotesi di apposizione di sigilli
all’utilizzo di mezzi “di carattere elettronico o informatico” (art. 260, comma 1, c.p.p.) e apre così la strada alla
certificazione di conformità tra copia e originale tramite
le c.d. hash functions (25). All’interno dello stesso articolo, si delinea poi una sorta di presunzione di deperibilità
dei dati informatici, giacché nel secondo comma, deputato appunto a regolamentare la riproduzione, copiatura
o fotografia delle cose sequestrate soggette ad alterazione
(o di difficile custodia), viene inserita l’ipotesi di copiatura dei reperti elettronici, mediante procedure capaci di
assicurare “la conformità della copia all’originale e la sua
immodificabilità”.
Assai importante è invece il nuovo regime del sequestro di corrispondenza cristallizzato nei primi due
commi dell’art. 254 c.p.p. Da un lato, infatti, si sciolgono i residui dubbi (26) sulla circostanza che la posta elettronica e le altre similari forme di comunicazione elettronica debbano rientrare sotto il novero concettuale
della “corrispondenza” (27), con tutto il corredo di garanzie costituzionali e codicistiche che ne consegue, non
ultima quella che fa divieto alla polizia giudiziaria di procedere alla apertura e alla presa di conoscenza del contenuto (la novella ha aggiunto al riguardo anche l’ulteriore proibizione di “alterare” i dati trasmessi in via telematica). Dall’altro, la norma fa entrare prepotentemente
nel codice di procedura penale la figura del service provider, ossia il fornitore di servizi telematici, in questa sede
soggetto all’azione coattiva di apprensione dei dati portata avanti dall’autorità giudiziaria, ma sempre più destinatario di obblighi di collaborazione, consegna e conservazione prolungata dei dati (come vedremo di qui a bre-
ve) (28). Va detto che occorre non confondere il sequestro della corrispondenza elettronica eventualmente
presente sulle macchine del fornitore di servizi con la
captazione in tempo reale del flusso di dati comprendente anche oggetti di corrispondenza. In quest’ultimo caso,
infatti, l’istituto da applicare sarà quello delle intercettazioni telematiche, assai più garantito quanto a presupposti e sottoposto ad autorizzazione giurisdizionale. La questione sembra pacifica e sul punto va ricordato quanto
disponeva il “disegno di legge Mastella” sulle intercettazioni (licenziato dalla Camera il 17 aprile 2007 ma poi
non giunto alla approvazione definitiva), il quale proponeva di inserire nel codice un inedito art. 266 ter (“le
norme del presente capo si applicano, in quanto compatibili, alle intercettazioni di corrispondenza postale che
non interrompono il corso della spedizione”). Resta tuttavia un cono d’ombra su alcune singolare modalità operative utilizzate sovente dalla polizia giudiziaria. Si pensi
alla duplicazione automatica e in tempo reale delle email
dell’indagato ordinata al service provider, con invio immediato della copia agli investigatori.
Come anticipato, infine, si prevede nell’art. 254 bis
c.p.p. un originale onere di collaborazione in capo alle
società che gestiscono i servizi informatici, telematici o
Note:
(24) Sull’importanza di una pienezza di contraddittorio in materia di prova scientifica: P. Tonini, Prova scientifica e contraddittorio, in questa Rivista,
2001, 1459.
(25) L’hash è una funzione univoca operante in un solo senso (ossia, che
non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale
stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e
viene detta valore di hash, checksum crittografico o message digest. In informatica, la funzione di trasformazione che genera l’hash opera sui bit di un
file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. La
funzione di hash è utilizzata per esempio da tempo per garantire l’aderenza assoluta della copia ai dati di partenza durante il processo di clonazione. Lo definiscono un “pesante (computazionalmente) e rigoroso sistema
di controllo dell’errore” M. Mattiucci - G. Delfinis, Forensic Computing,
in Rassegna dell’Arma dei Carabinieri, 2006, n. 2, 63. Sottolinea come solo l’utilizzo di un algoritmo di hash - che “certifichi” la corrispondenza tra
originale e copia - consenta di ritenere integrati i criteri di ammissione
fissati dalla già richiamata sentenza Daubert: P. H. Luehr, Real Evidence,
Virtual Crimes. The Role of Computer Forensic Experts, in 20 Crim. Just.,
2005, 20.
(26) Si è discusso in questi anni della portata dell’art. 616 c.p., il quale,
pur affermando che “per corrispondenza si intende quella epistolare, telegrafica o telefonica, informatica o telematica, ovvero effettuata con ogni
altra forma di comunicazione a distanza”, precisa che tale concetto va limitato alle disposizioni contenute nella sezione quinta del titolo undicesimo del secondo libro del codice penale, relativa ai delitti contro l’inviolabilità dei segreti.
(27) Alcune interessanti riflessioni sul tema in F. Ruggieri, Profili processuali nelle investigazioni informatiche, in Il diritto penale dell’informatica nell’epoca di internet, cit., 160. Sulle comunicazioni riservate in àmbito digitale, cfr., nella dottrina costituzionalista, M. Betzu, Comunicazioni riservate,
manifestazioni del pensiero e tecnologie polifunzionali, in Quad. cost., 2006,
511.
(28) Cfr. Guidelines for the cooperation between law enforcement and internet
service providers against cybercrime, adottate all’esito della “Global conference cooperation against cybercrime”, Consiglio d’Europa, Strasburgo,
1-2 aprile 2008, consultabile all’indirizzo www.coe.int/cybercrime.
DIRITTO PENALE E PROCESSO N. 6/2008
721
LEGISLAZIONE•RIFORME
di telecomunicazioni, le quali, su disposizione della autorità giudiziaria che abbia proceduto a copiatura (29) atta
ad assicurare “la conformità dei dati acquisiti a quelli originali e la loro immodificabilità”, dovranno “conservare
e proteggere adeguatamente i dati originali”. Al di là del
fatto che la prescrizione sia nata per proteggere le “esigenze legate alla fornitura dei servizi”, è questo l’ulteriore segno di un trend in netta ascesa verso l’addossamento
di incombenti “investigativi” a soggetti che assumono
una posizione delicata quali individui a rischio di concorso nel reato commesso dal cliente (30). Occorre riflettere sul punto per trovare una soluzione di equilibrio
capace di contemperare le esigenze dell’accertamento
con gli interessi difensivi di chi corre il pericolo di essere
coinvolto nelle indagini cui è chiamato a collaborare ed
è a tutti gli effetti portatore di quel privilege against self-incrimination tipico di colui che, benché non formalmente
sottoposto ad investigazione, rischia di far emergere una
sua responsabilità proprio attraverso la dazione dei dati
che gli vengono richiesti (31). La norma in commento,
poi, presenta una forte criticità nella parte in cui, facendo riferimento al sequestro di dati “di traffico o di ubicazione”, sembra sovrapporsi alla disciplina prevista dall’art. 132 del “Codice privacy” (d.lgs. n. 196 del 2003).
Proprio per evitare che la disposizione faccia lettera morta della procedura garantita prevista dal ricordato art.
132, oltre che delle scansioni temporali di conservazione
dei dati ivi contenute (data retention), è stata già proposta una interpretazione restrittiva, in realtà non priva di
qualche forzatura ermeneutica. In quest’ottica, l’art. 254
bis c.p.p. “disciplinerebbe il quomodo, ma non l’an del decreto di sequestro” (32), ossia andrebbe solamente a
riempire di contenuti operativi l’art. 254 c.p.p. di cui costituirebbe una specificazione. L’inciso “quando dispone
il sequestro presso o fornitori di servizi informatici, telematici o di telecomunicazioni” si riferirebbe allora ai soli casi previsti dal primo comma dell’art. 254 c.p.p.
4. Le norme residuali in materia
di data retention e di attribuzione
delle funzioni di pubblico
ministero per i reati informatici
La novella ha altresì ritoccato una norma dalla storia assai travagliata, l’art. 132 del “Codice privacy”, più
sopra già richiamato, che ha visto in questi anni succedersi numerosi ripensamenti da parte del legislatore
(33). Nell’attesa che la disposizione venga ancora una
volta riscritta in attuazione della Direttiva comunitaria
“Frattini” in corso di recepimento (n. 2006/24/CE) e sullo sfondo di un sistema emergenziale che prevede comunque la conservazione di tutti i dati di traffico telematico fino al 31 dicembre 2008 per il combinato disposto della l. n. 155 del 2005 (“decreto Pisanu”) e del recente “decreto mille proroghe” (art. 34, l. n. 31 del
2008), la l. n. 48 ha inserito tre nuovi commi volti, in sostanza: ad obbligare i fornitori di servizi a conservare per
un periodo di novanta giorni prorogabile fino a sei mesi,
722
DIRITTO PENALE E PROCESSO N. 6/2008
su richiesta di una variegata pletora di soggetti, i dati di
traffico per finalità essenzialmente preventive (comma 4
ter); ad assoggettare lo stesso service provider al segreto
sull’ordine ricevuto con esplicito rimando, in caso di
violazione, al reato previsto dall’art. 326 c.p. (comma 4
quater); a regolamentare la procedura di convalida da
parte del pubblico ministero (comma 4 quinquies). Non
potendo in questa sede effettuare approfondite riflessioni sul punto, basterà rimarcare alcuni profili critici. Anzitutto, la non condivisibile ulteriore valorizzazione delle attività di controllo delle comunicazioni per finalità di
difesa sociale e di prevenzione delle attività criminose,
con conseguente irrobustimento della portata di una
norma, l’art. 226 disp. att. c.p.p., già delicata sul piano
delle garanzie fondamentali del cittadino e che, ad avviso di chi scrive, in quanto strumento estraneo al procedimento penale, non dovrebbe neppure trovare spazio
nelle pieghe del codice (l’attuale collocazione rischia di
essere il segno di una cattiva coscienza del legislatore che
presagisce possibili travisamenti, in linea di principio
non previsti, tra la dimensione della prevenzione e quella dell’accertamento) (34).
In seconda battuta, stupisce che ad esercitare il potere di “congelamento” di dati tanto delicati possano essere soggetti così variegati (dal Questore ai Servizi centrali, dal Ministero dell’interno ai responsabili degli uffici specialistici della Guardia di finanza), cui si affida addirittura una iniziativa autonoma sottoposta a convalida
successiva di un organo non giurisdizionale, in taluni casi stimolata da non meno precisate “richieste avanzate
da autorità investigative straniere” (forse riferibili al
meccanismo previsto dall’art. 29 della Convenzione).
Note:
(29) È importante notare che l’art. 254 bis c.p.p. va a riconoscere una
nuova forma di sequestro, quella effettuata mediante copiatura, con inversione logica della scansione ordinaria prevista, ad esempio, dall’art.
258 c.p.p. La norma in esame, infatti, dopo l’inciso “l’autorità giudiziaria
quando dispone il sequestro” dei dati, aggiunge “può stabilire (…) che la
loro acquisizione avvenga mediante copia”.
(30) Cfr. G. Cassano - G. Buffa, Responsabilità del content provider e dell’host provider, in Corr. giur., 2003, 77; L. Picotti, La responsabilità penale
dei service-providers in Italia, in questa Rivista, 1999, 19.
(31) Per un inquadramento della questione, v. O. Mazza, L’interrogatorio
e l’esame dell’imputato nel suo procedimento, in Trattato di procedura penale,
diretto da G. Ubertis-G. P. Voena, vol. VII.1, Milano, 2004, 382. Sia consentito altresì rinviare a L. Lupária, La confessione dell’imputato nel sistema
processuale penale, Milano, 2006, 160 s.
(32) In questi termini: A. Cisterna, Perquisizioni in caso di fondato motivo,
in Guida dir., 2008, n. 16, 68.
(33) Cfr. C. Conti, Accertamento del fatto e inutilizzabilità nel processo penale, Padova, 2007, 175. V., altresì, G. Braghò, Le indagini informatiche fra
esigenze di accertamento e garanzie di difesa, in Dir. inf., 2005, 517; F. Cajani, Alla ricerca del Log (perduto), in Dir. internet, 2006, 573; F. De Leo, Due
o tre cose su dati di traffico e tutela della privacy, in Quest. giust., 2004, n. 5,
832; G. Frigo, Nella conservazione dei dati internet necessaria la tutela giurisdizionale, in Guida dir., 2004, n. 18, 11.
(34) V. gli incisivi rilievi sul punto di L. Filippi, Terrorismo internazionale:
le nuove norme interne di prevenzione e repressione. Profili processuali, in questa Rivista, 2002, 166 s.
LEGISLAZIONE•RIFORME
Infine, non potrà sfuggire che l’ordine di conservazione
dei dati, oltreché per le attività previste dall’art. 226 disp. att. c.p.p., potrà essere ordinato “per finalità di accertamento e repressione di specifici reati”. Una locuzione
non soltanto scadente sul piano delle capacità di drafting
di chi ha steso la norma, ma soprattutto sorprendentemente generica e fluida a fronte di un settore, quello del
controllo delle comunicazioni salvaguardate dall’art. 15
Cost., che richiederebbe precisione di presupposti e tassatività di casi.
Residua, infine, un’ultima modifica processuale su
cui spendere qualche cenno. Si tratta dell’intervento
sull’art. 51 del codice di rito, attraverso il quale si è aperta una ulteriore fenditura nella ordinaria simmetria tra
regole di competenza territoriale del giudice e canoni di
attribuzione delle funzioni di pubblico ministero (35).
Le investigazioni per i computer crimes e per i reati di pornografia infantile on line vengono oggi devolute all’ufficio del pubblico ministero presso il tribunale del capoluogo del distretto in cui il giudice competente ha la
propria sede. L’intento di concentrazione e coordinamento - in assenza di una struttura simile alla Direzione
nazionale antimafia e vista la carenza, se si eccettuano
alcune lodevoli eccezioni, di appositi pool di magistrati
inquirenti specializzati - rischia in realtà di provocare disfunzioni (36) e eccessivi carichi di lavoro, capaci di incidere negativamente de facto sulla doverosità dell’esercizio dell’azione penale (37).
Note:
(35) Cfr. P. Tonini, Il coordinamento tra gli uffici del pubblico ministero, in
Giust. pen., 1992, 406.
(36) Manca infatti un accentramento a livello distrettuale anche della
competenza del g.i.p. e del g.u.p. (art. 328 c.p.p.), come avviene per i reati di criminalità organizzata e di terrorismo internazionale (v., per questi
ultimi, l’art. 10 bis del d.l. n. 374 del 2001).
(37) Sempre illuminanti in argomento le pagine di M. Chiavario, Ancora sull’azione penale obbligatoria: il principio e la realtà, in Id., L’azione penale
tra diritto e politica, Padova, 1995, 91 s.
DIRITTO PENALE E PROCESSO N. 6/2008
723
