www.fog.it - Diritto dei trasporti e della navigazione

1. Internet e il diritto penale.

Accanto alla diffusione commerciale dei c.d. “personal computers” o sistemi informatici per uso privato, dalla fine degli anni ’80 in poi, si è accompagnato un sempre più crescente sviluppo delle reti informatiche e telematiche, che ha visto l’apice con la propagazione a livello mondiale della rete Internet, che ha prodotto e sta tuttora producendo enormi cambiamenti nelle dinamiche dei rapporti umani a livello tecnologico, culturale, sociale e giuridico.

Contestualmente all’evoluzione di tale tecnologie si è avuta la nascita e la proliferazione di molte e nuove forme di reato e di aggressione criminosa talvolta commesse per mezzo di sistemi informatici e telematici, talaltra contro i medesimi, intesi non più come strumenti per compiere tali reati, ma come oggetti materiali di questi ultimi (c.d. “computer crimes”).

Alcuni autori distinguono tra reati commessi su Internet e reati commessi mediante Internet. Al primo gruppo (reati informatici o telematici propri) apparterebbero la maggior parte dei reati introdotti con la legge 23 dicembre 1993 n. 547 – Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Il secondo gruppo (reati informatici o telematici impropri) coincide invece con un complesso eterogeneo di reati comuni, previsti dal codice penale, da leggi speciali e, pure, dalla legge citata.

2. I computer crimes nell’ordinamento italiano.

Prima della legge n. 547 del 1993, nel nostro ordinamento non esisteva alcuna disposizione normativa specifica sui reati informatici o computer crimes.

A fronte della necessità di approntare un’adeguata tutela giuridica in presenza di nuove forme di aggressione “tecnologica”, si era posto il problema dell’applicabilità in via estensiva e, soprattutto, analogica delle norme penali preesistenti. I principi di legalità e tassatività, infatti, correlati con il divieto dell’analogia in malam partem nel diritto penale ex art. 14 disp. prel. c.c. (ed anche artt. 1 e 199 c.p.) rendevano molto difficoltosa l’applicazione delle norme penali a tali nuove fattispecie criminose.

Parimenti, in quel periodo, era sorta anche l’esigenza di uniformare e parificare il diritto positivo italiano agli altri ordinamenti stranieri, anche per consentire, ai fini della cooperazione ed estradizione internazionale, la c.d. doppia incriminazione (stesso fatto punito in due o più ordinamenti).

Le fattispecie relative ai computer crimes venivano quindi ricondotte, con molte difficoltà e forzature, nell’ambito applicativo delle preesistenti norme incriminatrici, come quelle sul furto, sul danneggiamento, sulla frode o sulla truffa.

In tale contesto le uniche due disposizioni che venivano ritenute pacificamente suscettibili di applicazione ai computer crimes erano l’art. 12 L. 121/1981 (“Nuovo ordinamento dell’Amministrazione della Pubblica Sicurezza”) e l’art. 420 c.p., rubricato “Attentato ad impianti di pubblica utilità”, così come modificato dalla L. 191/1978.

Nel 1993 il legislatore italiano è intervenuto con la già citata L. 23 dicembre 1993 n. 547, con la quale ha introdotto nuove forme di aggressione criminosa, inserendole all’interno del codice penale e operando quindi la scelta di non considerare i reati informatici come aggressivi di beni giuridici nuovi rispetto a quelli tutelati dalle norme incriminatrici preesistenti.

La legge 547/93 è intervenuta in quattro diverse direzioni, punendo le seguenti forme di aggressione:
1.    Le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche;
2.    Le aggressioni all’integrità dei dati e dei sistemi informatici;
3.    Le condotte in tema di falso, estese ai documenti informatici;
4.    Le frodi informatiche.


3.1. L’accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.).

Una delle più importanti novità introdotte dalla l. 547/93 è l’art. 615ter c.p. che è principalmente finalizzata a contrastare il dilagante fenomeno degli “hacker”.

Si tratta di un reato comune, commettibile da chiunque: è sufficiente che il soggetto attivo abbia delle conoscenze tecniche anche minime affinché le condotte possano essere integrate. La norma prevede, in via alternativa, due condotte: a) l’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza; b) il mantenersi nel medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Nella prima ipotesi il legislatore ha voluto punire un’azione immateriale consistente nell’introdursi ed accedere alla memoria di un elaboratore per prendere cognizione di dati, informazioni e programmi, ovvero per alterarli, modificarli o cancellarli. Tale accesso deve verificarsi in presenza di misure di sicurezza, cioè misure tecniche, informatiche, organizzative e procedurali volte ad escludere o impedire la cognizione delle informazioni a soggetti non autorizzati. Tra queste rientrano le password (di almeno 8 caratteri secondo il T.U. della Privacy), dispositivi biometrici, firewall, etc. Chiaramente le misure devono riferirsi all’elaboratore e non ai locali dove esso è ospitato.

L’accesso deve essere abusivo, compiuto cioè da chi non è autorizzato ad introdursi nel sistema.

La seconda ipotesi si riferisce invece al mantenimento nel sistema informatico nonostante il titolare abbia espresso, in maniera espressa o tacita, la volontà di esclusione (cd. ius excludendi).

L’oggetto materiale del reato può essere il sistema informatico ovvero quello telematico. Nonostante la mancanza di una specifica definizione, nel primo termine rientra pacificamente l’hardware (elementi fisici costituenti l’unità di elaborazione), il software (programmi di funzionamento) e tutti gli apparati che permettono di inserire (scanner, lettore DVD, etc.) o estrapolare (stampante, casse, masterizzatore, etc.) dati e informazioni. Il sistema telematico può essere definito come una serie di componenti informatici collegati tra di loro mediante tecnologie di comunicazione.

L’oggetto giuridico tutelato dalla norma è, secondo la teoria predominante, il “domicilio informatico”. L’art. 615 ter è collocato tra i delitti contro la inviolabilità del domicilio, perché si è ritenuto che i sistemi informatici costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale” (così la Relazione sul disegno di legge n. 2773, poi tradottosi nella l. 547/93). Secondo alcuni, quindi, il legislatore avrebbe riconosciuto, accanto alla nozione classica di domicilio rilevante per il diritto penale, una nuova figura chiamata “domicilio informatico”, in considerazione del fatto che i sistemi informatici e telematici costituiscono soprattutto dei luoghi ove l’uomo esplica alcune delle sue facoltà intellettuali ed esprime la propria personalità, con facoltà di escludere terzi non graditi.

L’elemento psicologico richiesto è il dolo generico.

La Cassazione (6 febbraio 2007, n. 11689) ha avuto modo di precisare che “l’accesso abusivo a un sistema telematico o informatico si configura con la mera intrusione e non richiede che la condotta comporti una lesione della riservatezza degli utenti né tantomeno che “l’invasione” sia compiuta con l’obiettivo di violare la loro privacy”.

3.2.1. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater c.p.) e diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615 quinquies c.p.).

La prima norma configura un reato di pericolo, volto ad anticipare la tutela rispetto all’evento dannoso. L’art. 615quater vuole infatti punire chiunque riesca ad impossessarsi o diffonda i codici di accesso riservato, necessari poi ad accedere ad un sistema informatico o telematico.

La anomalia di tale norma consiste nel fatto che la rubrica dell’art. 615quater parla espressamente di detenzione, mentre il testo della norma dimentica tale condotta.

In questa figura di reato rientrano casi comuni quali la clonazione di cellulari, consistenti nella duplicazione abusiva del numero seriale del cellulare. La Cassazione (17 dicembre 2004, n. 5688)  ha infatti avuto modo di precisare che “integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di cui all'art. 615 quater c.p., la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche”.

L’art. 615 quinquies riguarda il caso della diffusione di programmi idonei a danneggiare il sistema informatico. La norma punisce infatti chiunque diffonda, comunichi o consegni un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento.

Tale norma, benché impropriamente collocata tra i delitti contro l’inviolabilità del domicilio, mira a tutelare l’integrità e la funzionalità dei sistemi informatici.

Oggetto materiale delle diverse condotte menzionate nella norma in esame deve essere un programma “infetto”. Con tale espressione si intende non solo il programma in grado di danneggiare le componenti logiche di un sistema informatico, ma anche di interrompere o alterare il funzionamento di quest’ultimo.

Vi sono vari tipi di programmi “nocivi”. Sul sito wikipedia.it, da cui sono liberamente tratte le successive definizioni, ve ne è un elenco.

Malware è un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.

Il virus è un software appartenente alla categoria dei malware che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso, generalmente senza farsi rilevare dall'utente. Un virus è composto da un insieme di istruzioni, come qualsiasi altro programma per computer. È solitamente composto da un numero molto ridotto di istruzioni (da pochi byte ad alcuni kilobyte), ed è specializzato per eseguire soltanto poche e semplici operazioni e ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il più possibile invisibile. Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.

Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente.

Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.

Un trojan o trojan horse (dall'inglese per Cavallo di Troia), è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

L'attribuzione del termine "Cavallo di Troia" ad un programma o, comunque, ad un file eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan. I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima.

Le backdoor in informatica sono paragonabili a porte di servizio che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico.

Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica, e più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.

Uno spyware è un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete, etc.) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata.

In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione specialeGli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati. In questo senso sono dunque simili ai trojan.

I dialer, letteralmente “compositori” di numeri telefonici, rappresentano in ambito commerciale un tramite per accedere a servizi a sovrapprezzo o a tariffazione speciale. In particolare, il “dialer” è uno speciale programma autoeseguibile che altera i parametri della connessione a Internet impostati sul computer dell'utente, agendo sul numero telefonico del collegamento e sostituendolo con un numero a pagamento maggiorato su prefissi internazionali satellitari o speciali. Una percentuale della somma fatturata per la chiamata/connessione viene girata dal gestore telefonico ad una terza società titolare delle numerazioni indicate.

Il termine hijacker o browser hijacker (dall'inglese per "dirottare") o highjacker indica un tipo di malware che prende il controllo di un browser al fine di modificarne la pagina iniziale o farlo accedere automaticamente a siti indesiderati. Nei sistemi Windows, un hijacker agisce spesso sui registri di sistema (cosa che può rendere molto difficile la sua identificazione da parte di utenti inesperti). Può coesistere o cooperare con altri tipi di malware: per esempio, una manomissione del sistema a scopo di hijacking può essere eseguita da un trojan horse; oppure, un hijacker può dirottare il browser su pagine con contenuti dinamici che consentono altri tipi di attacco al computer (dialer, virus, o per scopi di spam pubblicitario e così via).

Un rootkit è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all'interno del sistema operativo.

Un keylogger è, nel campo dell'informatica, uno strumento in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. Spesso i keylogger software sono trasportati ed installati nel computer da worm o trojan ricevuti tramite Internet ed hanno in genere lo scopo di intercettare password e numeri di carte di credito ed inviarle tramite posta elettronica al creatore degli stessi.

Un programma di keylogging può sovrapporsi fra il browser ed il World Wide Web. In questo caso intercetta le password, comunque vengano inserite nel proprio PC. La password viene catturata indipendentemente dalla periferica di input (tastiera, mouse, microfono): sia che l'utente la digiti da tastiera, sia che l'abbia salvata in un file di testo prima di collegarsi a Internet, e poi si limiti a fare copia/incolla, in modo da evitarne la digitazione, sia questa venga inserita da un programma di dettatura vocale.
Anche in caso di connessione sicura (cifrata), se sul computer è presente un keylogger che invia le password in remoto, tali password potranno essere utilizzate dalla persona che le riceve.

3.2.2. Il caso Vierika.

In Italia ha fatto molto scalpore la sentenza del Tribunale di Bologna che ha pronunciato sentenza di condanna per la violazione dell’art. 615quinquies c.p. nel caso c.d. Vierika (nome del virus).

Da quanto ricostruito in sede dibattimentale, è emerso che il programma Vierika era un worm, programmato in linguaggio Visual Basic Script, che funzionava nel seguente modo: un primo script veniva allegato come file di immagine ad un’e-mail. Una volta lanciato tale file, il registro di configurazione di Windows veniva modificato, all’insaputa dell’utente, abbassando le protezioni del browser Internet Explorer e impostando come home page dello stesso browser una pagina web che conteneva un secondo script in Visual Basic. L’utente, quindi, collegandosi ad internet e venendo indirizzato a tale home page, attivava a propria insaputa il secondo script che aveva lo scopo di creare nel disco rigido del computer un file che, contenendo il primo script di Vierika, produceva un effetto di mass-mailing, inviando agli indirizzi trovati all’interno della rubrica di Outlook una e-mail con allegato il primo script, provocando quindi una reiterata duplicazione di Vierika.

Il Tribunale, come detto, ha ritenuto che i due script di Vierika fossero idonei a modificare il funzionamento di Microsoft Outlook ed Internet Explorer, all’insaputa dell’utente, e venissero quindi ad integrare la fattispecie punita dall’art. 615quinquies.

La sentenza, però, ha ritenuto anche la sussistenza del reato di cui all’art. 615 ter (accesso abusivo al sistema informatico) sulla base della considerazione che il reo aveva comunque abusivamente sorpassato gli ostacoli predisposti a tutela dell’accesso al sistema. In estrema sintesi, l’aver abbassato i livelli di protezione del browser Explorer, da parte del primo script di Vierika, è stato considerato quale abusiva introduzione.

Tale sentenza è stata appellata.

La corte si appello di Bologna è ritornata sulla configurabilità dell’art. 615ter, disponendo testualmente:

“L'appellante deduce che, anche nella denegata ipotesi d'accusa, nel descritto funzionamento, autoreplicante ma non "virale", non sarebbe ravvisabile requisito essenziale del reato 615 ter, costituito dall'accesso al sistema dell'utenza, giacché comunque XXXXX, stante l'effetto auto replicante automatico, rimaneva ignaro degli indizi informatici raggiunti e dei dati contenuti nelle memorie dei computers che sca ricavano il programma.

L'argomento è di particolare rilievo. La Corte non ritiene che la norma incriminatrice, posta come premesso a tutela del domicilio informatico, possa essere interpretata con tale effetto riduttivo di tutela; la lettera dell'art. 615 ter infatti richiede unicamente l'abusività dell'accesso al sistema, ovvero la permanenza contro lo jus prohibendi del titolare, ma non pretende l'effettiva conoscenza , da parte dell'agente, de i dati protetti. [….]Nella fattispecie le modalità dell'azione (ovvero la creazione del programma autoreplicante ed il suo "lancio" nel web) erano univocamente dirette ad inviare ed installare occultamente e fraudolentemente il programma, di cui XXX ha ammesso la paternità, ad una comunità indiscriminata ed inconsapevole di utenti, usandone i dati personali della rubrica di posta. Ciò appare sufficiente per integrare la nozione di "accesso abusivo" penalmente rilevante, giacché è nel prelievo indesiderato dei dati personali dal domicilio informatico che va individuato il vero bene personalissimo protetto dalla norma, e non tanto nella conoscenza o conoscibilità di quelli da parte del soggetto agente. In altri termini alla specificità dei sistemi informatici, che consentono l'uso di dati senza la "conoscenza" di essi, come tradizionalmente intesa, da parte dell'operatore, va correlata l'interpretazione della nozione di accesso posta dalla norma incriminante.”

3.3. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater).

Tale norma mira ad impedire l’intercettazione fraudolenta, ravvisabile ogniqualvolta l’agente prenda conoscenza delle comunicazioni in maniera occulta e senza essere legittimato.

La Cassazione (Cass. Pen. 19 maggio 2005, n. 4011) ha statuito che integra la violazione di cui all'art. 617quater, comma 2 c.p., la condotta di chi diffonda al pubblico una trasmissione televisiva interna, trasmessa da punto a punto (c.d. "fuori onda") su un canale riservato a comunicazioni di servizio, ed intercettata in modo fraudolento. Il caso si riferiva a Striscia la notizia che aveva “intercettato” dei fuori onda e poi trasmessi nel corso della propria trasmissione.

3.4. L’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617quinquies c.p.)

Tale norma è volta a sanzionare la semplice predisposizione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche.

Va segnalata una pronuncia del GIP presso il Tribunale di Milano (19 febbraio 2007) secondo cui integra il reato di cui all'art. 617 quinquies c.p. e non il reato di cui all'art. 615 quater c.p. la condotta di chi installa su uno sportello bancomat, in sostituzione del pannello originario, una apparecchiatura composta da una superficie plastificata, con una microtelecamera con funzioni di registratore video per la rilevazione dei codici bancomat, quando non vi sia prova certa dell'avvenuta captazione di almeno un codice identificativo.

L'attività illecita di intercettazione, infatti, nel silenzio dell'art. 617 quinquies c.p., deve ritenersi possa essere consumata con qualunque mezzo ritenuto idoneo a svelare la conoscenza di un sistema informatico qual è da considerarsi la digitazione da parte dell'operatore umano del codice di accesso ad un sistema attraverso una tastiera alfanumerica, digitazione che era destinata ad essere l'oggetto dell'illecita captazione.

3.5. La falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617sexies c.p.)

Questa norma punisce il comportamento di chi falsifica, altera o sopprime il contenuto delle comunicazioni informatiche o telematiche. Per configurare il reato è necessario che l’agente, oltre a porre in essere le condotte appena descritte, faccia o permetta che altri ne facciano un uso illegittimo di tali comunicazioni. E’ richiesto inoltre il dolo specifico.

4.1. L’integrità dei sistemi informatici e telematici

Dopo aver brevemente esaminato le norme incriminatrici in tema di accesso al sistema informatico e telematico, bisogna ora volgere l’attenzione alla tutela apprestata dalla legge penale in materia di integrità dei sistemi informatici e telematici.

Il primo reato che va esaminato è quello previsto dall’art. 635 bis c.p. e rubricato “Danneggiamento di sistemi informatici o telematici”.

L’art. 635 bis non si limita ad ampliare ed integrare la norma sul danneggiamento (art. 635 c.p.), con riguardo ai dati ed ai programmi, ossia alle componenti immateriali di un sistema informatico, ma predispone altresì una tutela rafforzata di tutti i beni informatici, prevedendo un trattamento più rigoroso, sia sotto il profilo sanzionatorio che sotto il profilo della procedibilità, anche di fatti che erano pacificamente riconducibili alla fattispecie tradizionale, in quanto aventi ad oggetto cose materiali: il sistema informatico o telematico, ovvero il supporto materiale delle informazioni.

Oggetto di danneggiamento può essere innanzitutto il sistema informatico, eventualmente collegato a distanza con altri elaboratori, come nel caso dei sistemi telematici e l’aggressione può riguardare tanto il sistema nel suo complesso quanto una o più delle sue componenti materiali, quali il video, la tastiera, etc.

Il danneggiamento, inoltre, può riguardare anche i dati e i programmi informatici nonché le informazioni contenute nel sistema.
L’art. 635 bis richiede che i beni informatici oggetto di aggressione siano “altrui”: il problema del significato da attribuire a tale termine sembra destinato ad assumere rilevanza pratica proprio in relazione alla nuova figura di danneggiamento informatico, stante la diffusa prassi di procurarsi la disponibilità di hardware e di software attraverso contratti di locazione (anziché di compravendita), solitamente accompagnati dalla contestuale conclusione di un contratto di assistenza e/o manutenzione con lo stesso fornitore.

Il danneggiamento si può attuare nella distruzione, nel deterioramento e nella inservibilità totale o parziale.

Nessun problema nel caso di distruzione intesa nel senso di eliminazione materiale del sistema informatico o telematico ovvero delle informazioni contenute su un supporto materiale. Diverso è il caso della distruzione di dati e programmi che, oltre all’annientamento del supporto fisico, può anche risultare dalla cancellazione. Tale ultima ipotesi può essere attuata: a) attraverso la smagnetizzazione del supporto; b) attraverso la sostituzione dei dati originari con dati nuovi; c) impartendo all’elaboratore il comando di provocare la scomparsa dei dati. In questi casi, comportando la distruzione una eliminazione totale del bene aggredito, non troverà applicazione la norma incriminatrice allorquando i dati o i programmi siano ancora recuperabili ovvero ne sia stata soltanto impedita la visualizzazione.

Il deterioramento comporterà invece solo una apprezzabile diminuzione del valore o della utilizzabilità dei dati e dei programmi.
L’inservibilità totale o parziale del sistema informatico o telematico riguarda tutte quelle situazioni di compromissione totale o parziale del funzionamento del sistema, che possono avere ad oggetto sia le parti meccaniche che quelle logiche (ad es. nel caso di introduzione di un programma worm).

4.2. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 392 c.p.)

Il terzo comma, introdotto dalla L. 547/93, prevede che la violenza sulle cose possa configurarsi anche nel caso in cui un programma informatico venga alterato, modificato, cancellato in tutto o in parte ovvero venga impedito o turbato il funzionamento di un sistema informatico o telematico.

Con l’aggiunta del terzo comma, il legislatore ha voluto tutelare nuove e specifiche modalità di aggressione, che riflettono le forme tipiche di aggressione ai programmi informatici.

Un programma informatico potrà dirsi alterato quando ne è stata modificata l’essenza attraverso una manipolazione totale o parziale delle istruzioni che lo componevano.

Si avrà una modificazione del programma ogniqualvolta l’intervento abusivo compiuto su di esso si esaurisca nel renderlo in tutto o in parte diverso, senza peraltro snaturarne le originarie funzioni.

La cancellazione di un programma consiste nella soppressione totale o parziale delle istruzioni che lo compongono.

La seconda nuova ipotesi di violenza sulle cose ha ad oggetto il funzionamento di un sistema informatico o telematico; ricadranno in questa previsione tutte quelle forme di disturbo del processo di elaborazione o di trasmissione a distanza di dati, che non consistano in un intervento diretto sul programma.

Si avrà impedimento del funzionamento del sistema qualora, per es., siano stati disattivati i collegamenti elettrici e/o elettronici del computer, rendendo oltremodo difficile all’utente ripristinarli o quanto meno individuare la causa della paralisi.

L’ipotesi del turbamento del funzionamento del sistema sarà integrata da un’azione di disturbo del regolare svolgimento delle operazioni dell’elaboratore, tale da causare un pregiudizio al legittimo utente del sistema.

La Pretura di Torino (15 maggio 1996) ha stabilito che “deve ritenersi violenza sulle cose, tale da integrare l'elemento della fattispecie di cui all'art. 392 comma ultimo c.p., il comportamento di un soggetto il quale, al fine di esercitare un preteso diritto di esclusiva per l'installazione e gestione delle componenti informatiche di macchinari industriali, altera surrettiziamente il programma di propria produzione installato sugli stessi, inserendo un file di "blocco data" in grado di interrompere automaticamente il funzionamento del macchinario - rendendolo del tutto inservibile - alla scadenza della data prestabilita”.

4.3. Attentato a impianti di pubblica utilità (art. 420 c.p.)

L’elemento oggettivo è costituito dalla distruzione o dal danneggiamento di impianti di pubblica utilità o di ricerca ed elaborazione dei dati ovvero di sistemi informatici o telematici di pubblica utilità ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti.

L’inserimento della “pubblica utilità” quale ulteriore elemento costitutivo della fattispecie criminosa serve a restringere il campo di applicazione della norma, facendo sì che gli impianti interessati siano solo quelli la cui messa fuori uso possa determinare un pericolo per l’ordine pubblico. La pubblica utilità, infatti, è generalmente intesa in senso funzionale, risolvendosi cioè nella destinazione al servizio di una collettività indifferenziata di persone, con il correttivo del criterio dimensionale che postula l’indeterminatezza della quantità di soggetti che fruiscono dei dati del sistema.

5. La rilevanza penale del documento informatico.

Con l’introduzione dell’art. 491bis c.p. ed il secondo comma dell’art. 621 c.p. esordisce, nel campo penale, la figura del documento informatico, peraltro in anticipo rispetto alla più organica disciplina amministrativa e civile.
•    Documento informatico (art. 491bis c.p.)
•    Rivelazione del contenuto di documenti segreti (art. 621 c.p.).

Di fronte al sempre maggior utilizzo di sistemi informatici, in grado anche di rappresentare manifestazioni di volontà o di scienza del compilatore (si pensi ad un comunissimo documento di testo contenente delle dichiarazioni e redatto utilizzando Word), il legislatore è dovuto intervenire per salvaguardare l’affidabilità e la certezza dei dati informatici nei rapporti giuridici.

Il falso informatico è stato quindi assimilato in tutto e per tutto al falso documentale, inserendo uno specifico articolo nel codice penale (491bis) che ha esteso, mediante un indiscriminato rinvio, tutte le fattispecie incriminatrici in tema di falso al “documento informatico” (vd. anche art. 621, 2° c., c.p.). L’introduzione dell’art. 491 bis risponde quindi alla necessità di assicurare una sanzione penale alle diverse forme di falso informatico che non erano riconducibili alle norme sui falsi documentali. Alla nozione “tradizionale” di documento, infatti, il documento informatico risultava essenzialmente estraneo, soprattutto per il fatto di non essere redatto in quella forma scritta alfabetica che caratterizza i documenti tradizionali

Questa tecnica legislativa si è basata sulla considerazione che nel falso informatico cambia solo l’oggetto materiale del reato, costituito non più da un supporto cartaceo o comunque fisico bensì informatico. Tale scelta si è però rivelata non del tutto azzeccata, tanto da essere successivamente (come vedremo infra) abbandonata.   

6. La frode informatica (art. 640 ter c.p.).

L’art. 640 ter è diretto a reprimere le ipotesi di illecito arricchimento conseguito attraverso l’impiego fraudolento di un sistema informatico. L’interferenza può realizzarsi in una qualsiasi delle diverse fasi del processo di elaborazione dei dati: dalla fase iniziale, di raccolta e inserimento dei dati da elaborare (cd. manipolazione di input), alla fase intermedia, volta alla elaborazione in senso stretto (cd. manipolazione di programma), alla fase finale, di emissione, in qualsiasi forma, dei dati elaborati (cd. manipolazione di output).

Il primo tipo di intervento fraudolento menzionato dalla norma in esame ha ad oggetto il funzionamento di un sistema informatico o telematico, e consiste in una modifica del regolare svolgimento del processo di elaborazione e/o trasmissione di dati realizzato da un sistema informatico.

Costituiscono un sistema informatico ai sensi della norma in esame anche quegli apparati che forniscono beni o servizi che siano gestiti da un elaboratore: è il caso, ad es., di tutti quegli apparecchi, come macchine per fotocopie, telefoni, distributori automatici di banconote, che funzionano mediante carte magnetiche.

Fuoriescono dalla portata della norma incriminatrice quei sistemi informatici che, in sostituzione delle tradizionali serrature, assolvono una funzione di mera protezione (è il caso, ad es., dei congegni elettronici di apertura e chiusura, i quali pure, talvolta, operano attraverso carte magnetiche).

Con la formula “intervento senza diritto su dati, informazioni o programmi” si è data rilevanza ad ogni forma di interferenza, diretta e indiretta, in un processo di elaborazione di dati, diversa dalla alterazione del funzionamento del sistema informatico.
L’intervento sui dati potrà consistere tanto in una alterazione o soppressione di quelli contenuti nel sistema o su un supporto esterno, quanto nella introduzione di dati falsi.

Non può invece ravvisarsi un intervento senza diritto sui dati nel caso di semplice uso non autorizzato dei dati integranti il codice personale di identificazione altrui, con riferimento a quei sistemi informatici che consentono ad una ristretta cerchia di persone di eseguire operazioni patrimonialmente rilevanti, utilizzando un apposito terminale e un codice personale di accesso: è il caso, ad es., del servizio di home banking, attraverso il quale i clienti di una banca possono eseguire una serie di operazioni bancarie, servendosi del terminale situato a casa loro e facendosi riconoscere dal computer attraverso gli estremi del proprio numero di identificazione. L’uso indebito del codice di identificazione altrui, d’altra parte, consente soltanto l’accesso al sistema informatico e non anche, in modo diretto, il conseguimento di un ingiusto profitto; quest’ultimo può eventualmente derivare dal successivo compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero e proprio intervento senza diritto sui dati.

Il risultato irregolare del processo di elaborazione manipolato deve avere un immediato risvolto economico, ed essere quindi idoneo ad incidere sfavorevolmente nella sfera patrimoniale altrui: solo a questa condizione, infatti, può dirsi che il danno che la vittima della frode subisce sia derivato direttamente dagli effetti sfavorevoli prodotti, nella sua sfera patrimoniale, dal risultato alterato del procedimento di elaborazione.

7. La convenzione di Budapest sul Cybercrime

In data 18 marzo 2008 è stata approvata dal Parlamento italiano la Legge n. 48, con cui è stata autorizzata la ratifica della Convenzione Cybercrime del Consiglio d’Europa.

Tale Convenzione è stato il frutto di parecchi anni di lavoro da parte di un comitato di esperti istituito nel 1996 dal CEPC (Comitato Europeo per i Problemi Criminali). Il testo della Convenzione di Bupadest è stato quindi il punto di arrivo di una comune volontà europea di creare degli efficaci strumenti di lotta al Cybercrime, di armonizzare le norme incriminatrici tra i vari paesi aderenti e di prevedere delle effettive e rapide forme di collaborazione e cooperazione internazionale.

In tale ottica la legge 48/08 è intervenuta in maniera più consistente sugli aspetti processualpenalistici e sulle forme e procedure di cooperazione internazionale, apportando solo poche modifiche all’impianto penalistico preesistente.

•    Le modifiche in tema di falsità informatiche.

In primo luogo è stato soppresso il secondo periodo del comma 1 dell’art. 491bis, quello che stabiliva che per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.

Il legislatore si è infatti reso conto che tale definizione, concepita come avente ad oggetto i supporti anziché i contenuti dichiarativi o probatori trattati con le tecnologie informatiche, creava più problemi di quanti ne risolvesse. Mediante l’abolizione di tale definizione, quindi, si è reso possibile un implicito richiamo alla corretta nozione di documento informatico derivante da molteplici norme di carattere extrapenale: il d.p.r. 513/97, il Testo Unico della Documentazione Amministrativa (d.p.r. 445/2000) ed il Codice dell’Amministrazione Digitale (d.l.gs. 82/2005). Secondo tali norme, infatti, il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

La legge 48/08 ha altresì introdotto delle nuove forme di reato. Tra queste va ricordata la Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri (art. 495bis).

Si tratta di un reato comune, realizzabile da chiunque renda al certificatore delle dichiarazioni o attestazioni false ideologicamente o materialment. Tale norma sembra essere diretta a tutelare la firma digitale che, per essere generata, necessita di un soggetto “certificatore”.

Altra nuova norma è la Frode informatica del soggetto che presta servizi di certificazione di firma elettronica. (art. 640 quinquies). Secondo il legislatore, l’introduzione di tale fattispecie è risultata indispensabile per coprire alcune condotte tipiche che non rientrerebbero nella frode informatica (640bis).

•    Le modifiche in tema di danneggiamenti informatici.

Seguendo le indicazioni della Convenzione di Budapest, il legislatore italiano ha operato una bipartizione tra danneggiamenti di dati e danneggiamenti di sistemi.

Un primo intervento di restyling ha riguardato l’art. 615quinquies. (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). Anche in questo caso si è voluto inserire delle condotte (“si procura, produce, riproduce, importa”) che risultavano precedentemente escluse dalla fattispecie criminosa. E’ stato inoltre introdotto il dolo specifico dell’agente.

Simile operazione di ritocco è stata effettuata anche sull’art. 635bis c.p. (Danneggiamento di informazioni, dati e programmi informatici). Pure in questo caso la novella ha allargato il novero delle condotte punibili. Da segnalare, inoltre, che ora il primo comma prevede la procedibilità non d’ufficio ma a querela della persona offesa.

Già dalla rubrica risulta la più evidente novità. L’art. 635bis non riguarda più i sistemi informatici e telematici, bensì le informazioni, i dati ed i programmi informatici. I sistemi informatici sono ora puniti in un autonomo e più grave delitto, l’art. 635quater. (Danneggiamento di sistemi informatici o telematici.)

Il nuovo reato contiene una più ampia ed articolata descrizione del fatto tipico. Oltre ad essere realizzabile mediante le condotte indicate nell’art. 635bis, è prevista anche la punibilità di chi introduce o trasmette dati, informazioni o programmi. Tale previsione si è resa necessaria per punire specificamente i danneggiamenti realizzabili anche a distanza mediante malware introdotti o fatti circolare in rete.

Parallelamente il legislatore ha abrogato i commi 2 e 3 dell’art. 420 c.p., introducendo due nuove figure criminose con gli articoli 635ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità) e  art. 635quinquies  (Danneggiamento di sistemi informatici o telematici di pubblica utilità.)

Oltre ad avere posizionato i due nuovi articoli nei delitti contro il patrimonio (e non più in quelli contro l’ordine pubblico), la nuova introduzione ha separato gli oggetti passivi del reato: informazioni, dati e programmi nell’art. 635ter e i sistemi informatici o telematici nell’art.635 quinquies. Entrambi i reati, poi, presentano in comune l’aggravante dell’effettivo danneggiamento, con una pena edittale che parte da tre anni per arrivare sino a otto anni.

Da notare che la protezione garantita ai dati ed ai sistemi di pubblica utilità è più forte rispetto a quella stabilita per i dati ed i sistemi privati.

8. La responsabilità da reato degli enti.

Merita infine segnalare che la legge 48/08, oltre a modificare ed introdurre nuovi commi e articoli nel codice di procedura penale soprattutto in tema di ispezioni, perquisizioni e sequestri, ha esteso la responsabilità degli enti per gli illeciti amministrativi da reato anche alle ipotesi di reati informatici (salvo limitate esclusioni).  

Va solo ricordato che il d.l.gs 231/2001 ha previsto la responsabilità degli enti (enti forniti di personalità giuridica e alle società e associazioni anche prive di personalità giuridica) per i reati commessi nel suo interesse o a suo vantaggio:
a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;
b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).