Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Come cambiano le norme penali con il cyber crime: i reati informatici e cibernetici

La normativa penale si è adeguata all’evoluzione tecnologica, andando a considerare man mano che se ne presentava la necessità nuovi reati informatici che prima dell’epoca della digitalizzazione non esistevano. Esemplari i casi della frode informatica e dell’accesso abusivo a un sistema informatico

29 Lug 2019

Serena Nanni

Trainee Lawyer - Master II livello in Cybersecurity: politiche pubbliche, normative e gestionali, LUISS

cyberdefense

L’evoluzione della tecnologia ha portato al progressivo mutamento della normativa penale per adeguarla alla cyber security: l’avvento del cyber crime e l’introduzione dei reati informatici ha condotto il legislatore a rendere sempre più specifiche le fattispecie. In particolare, una molla è stata il forte cambiamento dovuto all’apertura al pubblico di Internet ha innescato un mutamento legislativo necessario per contrastare attacchi informatici in rete, i cosiddetti reati cibernetici.

I reati informatici: dalla truffa alla frode informatica

Infatti, la percezione della pericolosità degli strumenti tecnologici si percepisce a partire dagli anni Settanta del secolo scorso. Infatti, è proprio allora che l’impatto della rivoluzione tecnologia si riflette nel tessuto sociale, creando delle nuove fattispecie penali da regolare. Cosi nascono i primi reati informatici. Un esempio tipico è il caso del hacker che tramite il suo pc si introduce nel sistema informatico di una banca ed accede al proprio corrente alternandone i dati a proprio favore (es. riduzione della rata mensile del mutuo). In quel periodo storico occorreva domandarsi se, una fattispecie di questo genere, potesse integrare gli estremi del reato di truffa, previsto dall’articolo 640 c.p., che così recita: “Chiunque con artifizi o raggiri inducendo taluno in errore procura a sé o ad altri un ingiusto profitto con altrui danno”.

La norma, così formulata, non poteva essere applicabile al caso del hacker su menzionato, perché la struttura dell’articolo includeva esplicitamente l’elemento del soggetto che subisce materialmente l’inganno e che viene tratto in errore, mentre in tal caso si riteneva che tale elemento non vi fosse. In realtà, ben presto maturarono diverse interpretazioni in favore dell’applicabilità dell’art. 640 c.p. a questa ipotesi, giacché si ritenne che l’elemento dell’inganno fosse presente ed identificabile con la persona fisica che si occupa di assicurare il corretto funzionamento del sistema informatico della banca. Questa tesi fu subito apprezzata da molti, ma ben presto snobbata in quanto contrastante col principio di legalità su cui si basa il nostro diritto penale, che vieta l’applicazione analogica della norma, e qualifica come reato solo ciò che la legge prevede espressamente come tale.

Dunque questo primo caso storico di reato informatico sfuggiva alle maglie repressive del diritto penale, e solo tanti anni tale fattispecie verrà classificata come “frode informatica”. Si avvertì pertanto l’esigenza di un intervento risolutore del legislatore, che ben presto arrivò con la L. n. 547/1993, mediante la quale furono introdotti i primi reati informatici: come tali si intendono i “reati commessi tramite o ai danni di un computer”. Il legislatore italiano si mosse prima di tutto in un’ottica nazionale, pensando ai primi casi verificatisi in Italia, col mero scopo di aggiornare il codice penale, ed introdurre pochi nuovi reati vicino a quelli più somiglianti ai crimini informatici. Un esempio è l’art. 640 ter in materia di “frode informatica”, ovvero l’art. 635-bis sul danneggiamento informatico.

Il reato di accesso abusivo a sistema informatico

Di notevole importanza è l’introduzione del reato di accesso abusivo a sistema informatico (615 ter c.p.), riguardante l’ipotesi dell’hacker che entra nel computer altrui, che richiama la fattispecie della violazione di domicilio disciplinata dall’art. 614 c.p., motivo per cui il legislatore del 1993 inserisce l’accesso abusivo a sistema informatico nell’art. 615 ter c.p. (in quanto l’art. 615 riguardava l’ipotesi di violazione di domicilio da parte di un pubblico ufficiale e il 615 bis era già dedicato alle interferenze illecite nella vita privata delle persone)[1].

Ciò che colpisce nell’intervento legislativo del 1993 è la terminologia: nella norma sull’accesso abusivo a sistema informatico si utilizza, infatti, l’espressione “si introduce” (ripresa dall’art. 614 c.p.), la quale risulta essere impropria in quanto non attinente alla realtà informatica, perché tale locuzione allude al passaggio fisico di chi varca un confine spaziale di un luogo. Quando, invece, ci si imbatte nella realtà cibernetica le tradizioni categorie spazio-temporali vanno abbandonate per cui il termine “introduzione” risulta anacronistico, in quanto non adeguato a tale mondo. Di fatti, le nuove caratteristiche di quello che oggi è definito come cyber space sono:

  • la smaterializzazione di dati e informazioni che vengono scambiati nel mondo virtuale,
  • la delocalizzazione (superamento delle tradizionali categorie spaziali),
  • la de- temporalizzazione (nel cyber space anche le categorie cronologiche saltano),
  • l’ubiquità,
  • la velocità
  • l’anonimato.

In sostanza il legislatore del 1993 ha fatto sicuramente bene ad introdurre l’art. 615-ter, ma avrebbe dovuto utilizzare una terminologia più adeguata al nuovo contesto, creando, così, un problema circa l’individuazione del momento di consumazione del reato: tale aspetto è di notevole importanza, non solo perché fra consumazione e tentativo vi è una grossa differenza sul piano sanzionatorio, ma anche perché l’individuazione del momento consumativo è funzionale a individuare anche il foro competente a giudicare.

Casi importanti di accesso abusivo a sistema informatico

Innanzitutto, si tratta dei casi di consultazioni abusive di banche dati estremamente riservate ( in particolare quella delle forze di polizia, dove sono indicati non solo i processi pendenti e le condanne definitive ma anche i soggetti attenzionati dalle forze dell’ordine, quella del ministero dei trasporti e quella dell’agenzia delle entrate), le quali, come nelle ipotesi elencate, fanno riferimento al ministero e ai suoi server.[2] Sulla base in un intervento della Cassazione a Sezioni Unite (Cass. SS.UU. 325/2015) si ritiene che il luogo di consumazione del delitto di accesso abusivo a sistema informatico o telematico è quello in cui si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente. Questa sentenza rivela l’estrema importanza ormai data al fenomeno: sebbene criticata dalla dottrina maggioritaria, essa afferma che il sistema informatico è, dunque, costituito dalla sua banca dati centrale e dalle sue postazioni periferiche.

L’esigenza dell’intervento della Cassazione nasce sempre dalla terminologia anacronistica utilizzata dal legislatore del 1993: il quale oltre all’espressione “si introduce”, utilizza una seconda espressione sempre riferibile all’art. 614 c.p., ossia l’accesso abusivo si verifica quando taluno oltre ad introdursi nel sistema informatico “vi si mantiene contro la volontà espressa o tacita di chi avrebbe il diritto ad escluderlo”. La norma non fa riferimento al dissenso presunto (es. il padrone di casa che dà il permesso a fare entrare l’ospite, ma che avrebbe agito diversamente se ne avesse conosciuto le reali intenzioni), in quanto si può intendere come un tertium genus diverso dal dissenso espresso o tacito.

La Cassazione a Sezioni Unite (con la sent. n. 41210/2017) è intervenuta anche in questo caso per dirimere i dubbi inerenti l’interpretazione della locuzione “si mantiene”: la sentenza stabilisce il principio di diritto per cui integra il delitto di accesso abusivo a sistema informatico la condotta del pubblico ufficiale o incaricato di un pubblico servizio che pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico vi acceda o vi si mantenga per ragioni ontologicamente estranee o comunque diverse da quelle per cui la facoltà di accesso è riconosciuta.

La disciplina sui reati informatici e cibernetici

Il legislatore degli anni Novanta si approccia ai reati informatici come una sorta di appendice dei reati tradizionali: la preoccupazione più grande è la tutela del bene giuridico, che solo il diritto penale può garantire, in quanto è l’unico dotato di un’efficacia deterrente di notevole riguardo. Il patrimonio, pur già tutelato dal diritto civile, merita infatti quella tutela rafforzata garantita dal diritto penale, che seleziona le modalità di aggressione al bene che sono più gravi e più meritevoli di intervento repressivo (es. modalità di aggressione condotte clandestinamente, con l’inganno o mediante violenza o minaccia). Quando nascono i reati informatici, il legislatore li colloca vicino al reato cui “somigliano” in ragione del bene giuridico che tali norme vogliono salvaguardare (es. frode informatica/truffa, accesso abusivo/violazione di domicilio).

Oggi, però, il diritto penale cibernetico prefigura delle nuove tipologie di beni giuridici: infatti, l’accesso abusivo, secondo la dottrina, non vuole tutelare il domicilio informatico, bensì mira a proteggere la riservatezza informatica, la quale rappresenta un concetto nuovo, identificato nell’interesse di ciascun individuo ad avere l’esclusività sul proprio spazio informatico al di fuori da illegittime interferenze da parte di terzi. Tale riservatezza ha un collegamento diretto con la sicurezza informatica, che costituisce un nuovo bene giuridico oggetto di interesse del diritto penale.

Dopo la legge n. 547/1993 si apre un mondo nuovo, quello di Internet: esso è la sintesi fra interconnected e networks, la cui data di nascita è dibattuta, vi è infatti chi la colloca nel 1969 e chi, come l’Advanced Research Projects Agency, la fa risalire al 1971. La prima vera affermazione di Internet risale però all’alba degli anni Novanta ed è in questo momento che si passa dal computer crime al cyber crime. Il reato cibernetico identifica il reato informatico sulla rete Internet, esso identifica, dunque, un tipo di reato più ampio di quello informatico: secondo Webopedia, il cybercrime è definito semplicemente come “qualsiasi atto criminale che ha a che fare con le reti e i computer”.

La Convenzione di Budapest

Una tappa importantissima nell’evoluzione della disciplina sui reati informatici e cibernetici risale al 2001: in primis, a livello internazionale vi è la Convenzione di Budapest; mentre a livello nazionale viene emanato il d.lgs. n. 231/2001 in tema di responsabilità penale degli enti: anche la società può essere procedibile penalmente, ciò rappresenta una vera e propria rivoluzione. Questa novità normativa italiana riconosce, dunque, una responsabilità sia oggettiva degli enti a fronte dei comportamenti compiuti dai propri dipendenti nell’interesse degli stessi, nonché una responsabilità di natura soggettiva, poiché essi colposamente non hanno adottato il cosiddetto MOG (Modello di organizzazione e di gestione) che è un documento non obbligatorio ma consigliabile, in quanto consentirebbe alle società di difendersi in caso di contestazione di un reato.

Al 23 novembre 2001, come anticipato, risale la Convenzione di Budapest (Convenzione Cyber crime) emanata dal Consiglio d’Europa. Essa è stata ratificata dall’Italia con la legge n. 48/2008, la quale ha riscritto il complesso dei reati cibernetici con un’ottica diversa dalla legge del 93’: se quest’ultima è un primo timido passo del legislatore italiano nel mondo informatico, la legge del 2008 fa sì che il nostro ordinamento giuridico abbia un modello internazionale di riferimento, che consente di riformulare ed adeguare il quadro dei reati cibernetici alle autorevoli indicazioni provenienti in ambito internazionale tramite la Convenzione di Budapest.

Nell’art. 1 della Convenzione vi sono delle definizioni molto importanti: fra queste vi sono quella di sistema informatico, dato informatico, service provider e trasmissione di dati. La differenza tra sistema informatico e sistema telematico sotto il profilo penalistico rileva in quanto il primo allude al computer ed è dedicato alla raccolta ed elaborazione di dati, il secondo allude al caso in cui due computer siano in collegamento fra di loro.

Dall’art. 2 in poi vengono elencati i reati che gli stati membri sono obbligati ad inserire nel proprio ordinamento. L’art. 2 è dedicato all’accesso illegale ad un sistema informatico, l’art. 3 all’intercettazione abusiva, l’art. 8 si riferisce alla frode informatica. E’ interessante notare come nell’art. 2 non si faccia menzione del termine introduzione, come invece previsto dalla nostra legge del 1993, mentre la disciplina prevista dalla nostra legge all’art. 640ter in tema di frode informatica risulta essere pienamente in linea con l’art. 8 della Convenzione. Frode informatica (640ter) e danneggiamento informatico (635bis), avendo un ambito applicativo molto simile, tendono a sovrapporsi, in quanto il legislatore italiano, preoccupato di creare un nuovo strumento idoneo a reprimere un ambito vasto di condotte esecutive di questi comportamenti fraudolenti, ha deciso di dare una formulazione piuttosto ampia al reato di frode informatica.

La Convenzione di Budapest a proposito del danneggiamento prevede all’art. 4 l’attentato all’integrità dei dati, all’art. 5 l’attentato all’integrità di un sistema, ancora più grave se quest’ultimo sia di pubblica utilità (es. banca dati ministeriale): il legislatore italiano con la legge di ratifica ne ha aggiunti altri, fra cui il 635-ter (“danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o altro ente pubblico o di pubblica utilità”), il 635-quarter riguardante il danneggiamento di sistemi informatici o telematici, il 635-quinquies concernente il danneggiamento di sistemi informatici o telematici di pubblica utilità. Il legislatore italiano preferisce dedicare quattro articoli al danneggiamento piuttosto che i due della Convenzione per rendere i reati autonomi al fine di proteggere l’incremento sanzionatorio.

L’art. 7 della Convenzione di Budapest prevede il reato di falsificazione informatica, il legislatore italiano del 93’ aveva esteso semplicemente la disciplina in tema di falsificazione documentale alla falsificazione informatica (art. 491bis) senza riconoscere una vera e propria autonomia a tale tipologia di reato. L’attuale sistema non ha un vero e proprio reato di falsificazione informatica, però una serie di casi rientranti in tale fattispecie sono riconducibili al 635bis in tema di danneggiamento informatico.

Note

  1. Quanto alla registrazione di conversazioni telefoniche fra due o più persone , esse sono ammesse per motivi di giustizia o per diritto di cronaca. Si configurata il reato previsto dall’art. 615bis c.p. quando un soggetto lascia un microfono acceso in una stanza per poi andarsene. Il 27 dicembre 2017 è stato introdotto l’art. 617-septies in materia di diffusione di riprese e registrazioni fraudolente.
  2. Si pensi al caso di un funzionario di Bolzano del Ministero dell’Interno che acceda abusivamente alla banca dati del Ministero, il cui server si trova a Roma. In passato, basandosi sull’interpretazione data al concetto di introduzione, il luogo di consumazione del reato sarebbe stato collocato a Roma, oggi invece si ritiene preferibile la soluzione che vede Bolzano come luogo in cui il reato viene consumato.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4