DIRITTO PENALE DELL’INFORMATICA Lezione 1
LA NOZIONE DI REATO INFORMATICO
Nei paesi più tecnologicamente avanzati risalgono agli anni ’70 le prime forme di
abuso dell’informatica, alle quali oggi diamo il nome di reati informatici.
La dottrina penalistica si è chiesta come si potesse definire questo fenomeno, in che
cosa cioè dovesse ravvisarsi quella peculiarità in grado di giustificare una nuova
categoria concettuale. Diverse sono state le definizioni proposte:
1. Dapprima si è detto che si trattava di un illecito che richiedeva conoscenze di
informatica per sua realizzazione. Situazione che però è stata smentita
dall’esperienza (pensiamo infatti all’abuso dei distributori automatici di
banconote);
2. Si è detto allora che erano illeciti quei fatti di abuso che comportavano un
coinvolgimento di qualunque tipo dell’elaboratore elettronico. Ma questa
definizione ricomprende anche comportamenti che non presentano niente di
nuovo rispetto a comportamenti già ritenuti penalmente rilevanti.
Pensiamo all’atto di distruggere a martellate un elaboratore: questa ipotesi
rientra pacificamente tra quelle di danneggiamento di cose altrui.
La definizione più diffusa, e che ha ricevuto maggiori consensi nella dottrina italiana, è
quella che individua il reato informatico in quei fatti offensivi nei quali l’elemento
informatico compare come strumento o oggetto dell’azione. Questo tipo di definizione
però, ancora una volta, comprende ipotesi di reato tradizionale come il
danneggiamento di cose altrui o un banale furto del monitor.
Nessuna delle definizioni enucleate riesce quindi a delimitare correttamente quegli
abusi che si sono presentati in occasione dell’avanzamento tecnologico.
A livello internazionale, non a caso, si è proprio rinunciato a trovare una definizione.
Tale è stata la varietà delle opinioni espresse nello studio della criminalità informatica
svolto in seno all’organizzazione per la cooperazione e lo sviluppo economico a metà
degli anni ’80 che si è volutamente rinunciato a fornire una definizione internazionale
del fenomeno. Si è preferito invece individuare espressamente quei comportamenti
offesi, nati con la tecnologia informatica, ai quali dare l’etichetta di reati informatici.
Un importante passo in questo senso si è avuto nel 1989 con la Raccomandazione
del Consiglio d’Europa sulla criminalità informatica. Questa raccomandazione
ha raccolto in sé il lavoro condotto dall’OCSE e il rapporto elaborato dal comitato
europeo per i problemi criminali operante in seno al consiglio d’Europea. Le condotte
individuate, tutte dolose, sono state ripartite in due liste:
LISTA MINIMA : in questa lista sono state inserite quelle condotte di abuso
dell’elaboratore ritenute meritevoli di sanzioni penali e rispetto alle quali il
Consiglio d’Europa sollecita il legislatore ad adottare specifiche disposizioni
penali.
Nella lista minima troviamo:
Frode informatica;
Danneggiamento di dati o programmi;
Accesso non autorizzato ad un sistema informatico;
Falso in documenti informatici;
Sabotaggio informatico;
Intercettazione non autorizzata di comunicazioni;
Riproduzione non autorizzata di un programma protetto;
1 Riproduzione non autorizzata di una topografia di un prodotto a
semiconduttori.
Queste ultime due ipotesi hanno a che fare con i diritti di esclusiva dell’autore di
un programma informatico.
LISTA FACOLTATIVA: in questa lista sono state inserite quelle condotte di
abuso la cui incriminazione è rimessa alla discrezionalità dei legislatori. Sono
quelle condotte rispetto alle quali non si è raggiunta all’interno del Consiglio
d’Europa una valutazione unanime sulla necessità di pena.
Nella lista facoltativa troviamo:
Alterazione di dati o programmi non autorizzata (alterazione che,
evidentemente, non deve consistere in un danneggiamento che invece è
già considerato nella lista minima);
Spionaggio informatico;
Utilizzazione non autorizzata di un elaboratore o di una rete informatica;
Utilizzazione non autorizzata di un programma informatico protetto.
Il consiglio d’Europa, rispetto a tutte queste condotte che abbiamo visto, e in
particolar modo rispetto a quelle contenute nella lista minima, ha invitato i legislatori
ad interrogarsi. E questo a prescindere dal fatto che avessero già provveduto ad
introdurre disposizioni apposite in tema di criminalità informatica.
È molto importante infatti in questo settore che vi sia una politica legislativa uniforme
nei diversi paesi, attesa la capacità di connessione a distanza degli elaboratori
elettronici e quindi il carattere prevalentemente transnazionale dei fenomeni da
reprimere.
La nozione di reato informatico che può quindi ricavarsi dalla tipologia di
abusi contemplati dalle due liste pone l’accento sulle modalità di
aggressione dei beni che già risultano oggetto di tutela da parte
dell’ordinamento penale. Tali modalità risultano nuove e trovano la loro origine
proprio nella tecnologia informatica. Sulla base della raccomandazione non sono
emersi nuovi beni giuridici da tutelare ma solo nuove modalità di aggressione che
risulta necessario sanzionare con disposizioni ad hoc, ove non siano già oggetto di
incriminazione di norme penali preesistenti.
Si tratta in definitiva di aggressione al patrimonio, alla persona, alla fede pubblica e di
violazioni dei diritti di esclusiva sulle opere dell’ingegno.
A distanza di cinque anni dalla Raccomandazione il XV Congresso
dell’Associazione Internazionale di diritto penale si è occupato proprio della
criminalità informatica e anche da questo contesto sono emerse suggestioni che sono
state colte dal legislatore italiano.
In quella sede i rappresentanti dei vari paesi hanno confermato la validità delle
indicazioni contenute nella raccomandazione, ritenendo però necessario considerare a
tutti gli effetti meritevoli di pena anche le condotte inserite nella lista facoltativa.
In secondo luogo, sono state segnalate due nuove forme di abuso che nel frattempo
erano emerse nella prassi:
La prima consiste nel commercio di codici di accesso ottenuti in materia illecita
o di altre informazioni sulla possibilità di conseguire un acceso non autorizzato a
dei sistemi informatici.
Se ci pensiamo, questa è una condotta propedeutica a quella di acceso abusivo.
Per introdurmi in un sistema informatico altrui ho bisogno dei codici di accesso
o, quantomeno, delle informazioni che mi conducano a quei codici e che mi
consentano l’accesso abusivo.
2 La seconda condotta che nel frattempo è emersa è invece la diffusione dei
programmi virus.
Da ultimo l’associazione ha invitato a considerare l’opportunità di incriminare anche
delle condotte colpose, con particolare riguardo alla diffusione di programmi infetti.
Nella raccomandazione, infatti, le condotte erano considerate esclusivamente nella
loro dimensione dolosa.
Come si vedrà, anche queste ulteriori indicazioni sono state recepite dal legislatore
italiano che con la Legge del 23 Dicembre 1993 n. 547 ha introdotto nel c.p.
numerose forme di reato che rispondono al nucleo essenziale della criminalità
informatica emersa fino a quel momento.
Occorre inoltre considerare la Convenzione sul Cybercrime del Consiglio
d’Europa, aperta alla firma a Budapest nel 2001 ed entrata in vigore nel 2004. Si
tratta di uno strumento più vincolante rispetto alla Raccomandazione vista prima ed è
diretto ad armonizzare i differenti ordinamenti non solo sul piano sostanziale ma anche
su quello processuale.
Sul piano sostanziale la Convenzione suddivide le condotte di abuso già menzionate a
seconda che il sistema informatico sia oggetto o strumento di aggressione. Da un lato,
considera le offese alla riservatezza, all’integrità e alla disponibilità dei dati, ossia
quelle condotte che hanno ad oggetto il sistema informatico. Quindi, pensando alle
liste di prima, il riferimento va:
- Danneggiamento di dati o programmi;
- Sabotaggio informatico;
- Accesso non autorizzato ad un sistema informatico;
- Intercettazione non autorizzata di comunicazioni.
Dall’altro lato, considera quei reati nei quali l’elemento informatico rappresenta il
mezzo e non l’oggetto. Quindi il riferimento va:
Frode informatica;
Falso in documenti informatici.
Dopo la Convenzione di Budapest, l’espressione reati informatici in senso stretto si
riferisce all’aggressione alla riservatezza dei dati delle comunicazioni, all’integrità dei
dati e dei sistemi, alle frodi informatiche e alla falsificazione di documenti informatici.
Tale espressione viene utilizzata per distinguere tali abusi legati allo sviluppo della
nuova tecnologia da altre forme di criminalità la cui dimensione informatica è del tutto
eventuale. Si tratta di altre forme di criminalità che vengono riprese per lo più
nell’ambito della legislazione speciale. Questo è il caso:
Della violazione dei diritti di esclusiva dell’autore sulle opere dell’ingegno;
Della violazione della privacy nella raccolta dei dati personali;
Dei reati commessi attraverso internet.
Per quanto riguarda la violazione dei diritti di esclusiva dell’autore sulle opere
dell’ingegno, la necessità di introdurre nuove fattispecie penali dipende dal fatto che
le opere dell’ingegno sono tutelate in numero chiuso e si pone la necessità di
aggiornare periodicamente la lista delle opere suscettibili di tutela di pari passo al
progresso della tecnologia. La necessità di pena non dipende quindi strettamente dal
carattere informatico delle nuove creazioni intellettuali.
Per quanto riguarda la violazione della privacy, anche in questo caso si tratta di
un’attività che può essere svolta anche attraverso archivi cartacei che presenta non di
meno gli stessi rischi per la privacy. Anche se è evidente che è proprio attraverso la
velocità di aggregazione dei dati offerti dall’informatica che si pongono in maniera più
manifesta esigenze di protezione della privacy.
3
Con la Legge 18 Marzo 2008 n. 48 il legislatore italiano ha proceduto alla ratifica e
all’attuazione della convenzione. Attraverso questa legge sono state modificate alcune
delle disposizioni inserite nel codice nel 1993 e sono state inserite delle nuove figure
di reato. Benché fosse una buona occasione per intervenire su quelle fattispecie
introdotte nel 19933 che avevano fatto emergere delle criticità sul piano applicativo,
come l’accesso abusivo o la frode informatica, la riforma si è però concentrata su
disposizioni pressoché sconosciute alla prassi giudiziaria. È infatti intervenuta sul
danneggiamento informatico per avvicinarla al modello proposto dal fronte
convenzionale.
IN SINTESI, possiamo affermare che non esiste una definizione unitaria di reato
informatico ma che vi è un consenso generalizzato sui tipi di abuso dell’informatica
che sono meritevoli di sanzioni penali. Questo consenso si è tradotto nella
raccomandazione e nelle integrazioni successive.
In secondo luogo, un reato non si definisce informatico per il solo fatto di essere
realizzato per mezzo di internet ma risulta tale solo se integra una nuova aggressione
ad un bene giuridico tradizionale che è stata resa possibile dall’avanzamento
tecnologico.
I reati commessi su internet possono essere, a seconda dei casi, reati tradizionali o
reati informatici. Lezione 2
In questa lezione si darà uno sguardo dall’alto alla legislazione italiana e vedremo
come in concreto il legislatore del 93 e del 2008 hanno disciplinato la materia dei reati
informatici.
Facciamo adesso una scansione cronologica d’insieme di quanto ci si è detti la scorsa
lezione:
La criminalità informatica è emersa negli anni 70.
È stata poi oggetto di studio da parte dell’organizzazione per la cooperazione e
lo sviluppo economico (OCSE) e del comitato europeo. Questi studi hanno reso
possibile la raccomandazione del 1989 del consiglio d’Europa sulla criminalità
informatica integrata poi dagli esiti del XV congresso dell’AIDP dei primi anni 90
(1990-1994) sulla criminalità informatica.
Il tutto è stato poi tradotto nella nostra legge n. 547 del 1993 che ha introdotto i
reati informatici nel codice.
Dopo la convenzione del 2001 (convenzione di Budapest sul cyber crime del
consiglio d’Europa 2001-2004) diventa ancora più condivisa la nozione di reati
informatici in senso stretto per individuare quei tipi di condotte offensive che
abbiamo visto nella scorsa lezione.
Nel 2008 poi il legislatore italiano ha avuto una nuova occasione per ritornare
sui reati informatici e apporre le modifiche che ha ritenuto opportune.
LA LEGISLAZIONE ITALIANA
Nel 1993 il legislatore italiano introduce i reati informatici nel codice penale.
4
Le nuove figure sono state collocate in prossimità delle figure di reato tradizionale,
ossi quelle figure di reato che sarebbero stati applicabili se il fatto non fosse stato
commesso utilizzando la tecnologia informatica.
È stata quindi scartata l’idea di introdurre nel codice un titolo esclusivamente dedicato
a questi fatti. Ciò in ragione di quanto ci siamo già detti: la criminalità informatica non
ha fatto emergere beni giuridici nuovi da proteggere, ma solo nuove forme di
aggressione nate con l’avanzamento tecnologico a beni giuridici che erano già
conosciuti e già protetti nel nostro codice penale.
Di conseguenza in alcuni casi è stato sufficiente ampliare l’ambito di fattispecie
esistenti, introdurre clausole generali in grado di equiparare le modalità tradizionali a
quelle informatiche.
In materia penale infatti ricordiamo che vige il divieto di analogia, per cui non era
possibile che fosse il giudice a colmare il vuoto di tutela attraverso una interpretazione
analogica delle disposizioni già esistenti.
Era specificamente necessario un intervento del legislatore.
Delitti contro il patrimonio
Iniziamo con i delitti contro il patrimonio.
In quest’ambito è stata innanzitutto inserita la fattispecie di frode informatica (art. 640
ter c.p.) ed è stata collocata accanto alla fattispecie della truffa (art 640 c.p.).
Paradigmatica nella frode informatica è la manipolazione del dato che interferisce
abusivamente nella procedura di elaborazione del dato stesso, procurando un ingiusto
profitto con altro inganno.
A differenza della truffa, la frode informatica si serve dello strumento informatico, e
quindi non ricorre a quella induzione in errore di un essere umano che invece è
essenziale per la configurazione del reato di truffa.
Una particolare ipotesi di frode informatica è quella descritta dall’art. 493 ter c.p.:
Indebito utilizzo e falsificazione di carte di credito e di pagamento.
In realtà questa norma era già presente nell’ordinamento dal 1991 ed era stata
inserita in una legislazione speciale.
Nel corso del tempo la norma è rimasta sostanzialmente inalterata ma ha subito
diverse trasmigrazioni legislative fino a giungere nel 2018 nel codice penale.
Sempre nell’ambito dei delitti contro il patrimonio è stata poi inserita una figura di
aggressione all’integrità dei dati, quella descritta dall’art. 635 bis e opportunamente
collocata a fianco della fattispecie tradizionale del danneggiamento disciplinata
dall’art. 635 c.p.
Nel 2008 la riforma è intervenuta su questa disciplina dando un assetto completo e
nuovo alla disciplina stessa.
Ulteriore forma di aggressione all’integrità dei dati è quella rappresentata dalla
fattispecie della diffusione di programmi infetti (diffusione di apparecchiature,
dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico) ex art 615quinquies c.p.
Tale norma è stata inserita all’interno delitti contro l’inviolabilità del domicilio.
5
In realtà avrebbe avuto una più corretta collocazione tra i delitti contro il patrimonio e
quindi è stato segnalato in questa sede.
Da ultimo è bene segnalare l’ampliamento che la legge del 1993 ha fatto della
definizione legale di violenza sulle cose che è contenuta nell’articolo 392 c.p., ossia
l’articolo che disciplina l’esercizio arbitrario delle proprio ragioni con violenza sulle
cose.
Questo articolo include anche una clausola generale che è stato oggetto di modifica
con il quale si precisano le situazioni in presenza delle quali l’aggressione rivolta ai
beni informatici viene equiparata al danneggiamento e alla trasformazione dei bene
tradizionali cui fa riferimento quella nozione.
Il danneggiamento
La legge del 2008 ha riformulato i reati di danneggiamento informatico. Viene stabilito
un nuovo assetto di tutela contro quelle condotte di aggressione all’integrità dei dati
dei sistemi informatici. Tutela che oggi risulta differenziata a seconda che l’oggetto di
aggressione sia la componente logica o fisica del sistema e a seconda che i dati o il
sistema abbiano rilevanza pubblica o meno.
Tabella slide 5:
Rilevanza pubblica + componente logica: danneggiamento di informazioni,
dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o
comunque di pubblica utilità (art 635 ter c.p.);
Rilevanza pubblica + componente fisica: danneggiamento di sistemi
informatici o telematici di pubblica utilità (art 635quinquies c.p.);
Senza rilevanza pubblica + componente logica: danneggiamento di
informazioni, dati e programmi info
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Diritto penale dell'informatica - Appunti
-
Definizioni importanti diritto penale dell'informatica
-
Appunti di Diritto penale dell'informatica
-
Diritto dell'informatica - Appunti