DIRITTO PENALE DELL’INFORMATICA.
Introduzione
Il rapporto Clusit una volta all’anno raccoglie il numero di attacchi informatici e li cataloga in base
a quale tipologia si tratta. Nel corso degli anni è emerso che il numero di essi è sempre maggiore.
Nuove Tecnologie vs Diritti -> L’accesso ad Internet è stato dichiarato come “diritto fondamentale”.
I regolamenti UE sanciscono misure per l’accesso a tutti di Internet. Nello specifico, l’UE cerca di
finanziare infrastrutture per far avere internet anche nei paesi distanti dai centri abitati. Cosa accade
nel caso di detenzione? Un caso CEDU del 2017 (Jankovskis) consente al giudicato detenuto
l’accesso soltanto limitato, per alcuni siti istituzionali, è questa la via giusta?
Reati di opinione -> Per quanto riguarda le fake news, come ci si atteggia nei confronti della verità
dell’informazione? Quando punire le opinioni? La libertà di espressione è valida anche nel
confronto del mendace diffuso in malafede su internet?
Fino in che modo l’ordinamento può spingersi dentro la privacy? E con quali finalità? C’è il rischio
dell’accrescere di interferenze nella vita privata mediante strumenti digitali.
Il concetto di “azione”, nel caso di reati informatici in senso lato, assume una connotazione
sfuggente. Si tratta di condotto che spesso esulano dal dominio dell’uomo (ad es. frode informatica,
accesso abusivo a sistema informatico). Nel caso di automazione dei concetti la sfuggevolezza è
ancora maggiore, chi ha il controllo?
Anche il locus commissi delicti presenta peculiarità. Il sistema informatico può trovarsi in un altro
luogo rispetto all’azione umana, con un accesso in remoto. La Cassazione tende ad attribuire
rilevanza al luogo dell’azione umana.
L’automazione dei processi è un altro aspetto controverso nella condotta, in quanto il sistema tratta
automaticamente dei dati, dopo lo “start” della persona fisica. Vi è dunque una componente umana
e una componente informatica. Nel caso Loomis appare per la prima volta l’argomento della
funzione predittiva tramite algoritmo per calcolare la recidiva.
Per quanto riguarda l’acquisizione della prova, cosa accade? Ad esempio, nell’estrazione di
memoria temporanea, il difensore ha il diritto di assistere?
L’autonormazione delle regole di condotta gioca un punto fondamentale nelle fattispecie colpose
dei reati informatici. Accountability significa dimostrare di aver gestito nel migliore dei modi il
rischio.
Le condotte, oltre a mutare in funzione dell’aspetto digitale/informatico, sono anche nuove. Come si
comporta il diritto interno per delineare le nuove fattispecie? A volte ne crea ad hoc, altre volte,
mediante strumenti interpretativi, le assimila a fattispecie già esistenti.
Il panorama è essenzialmente multilivello: sono presenti numerose fonti comunitarie di diritto
positivo (CEDU, CGUE, etc.).
Come si è comportato il legislatore italiano nel recepire il cambiamento di paradigma con le nuove
tecnologi? Ha posto nuovi casi all’interno del codice, accanto a fattispecie già esistenti, per
analogia. Esempio classico è l’accesso abusivo accanto alla violazione di domicilio. La
giurisprudenza si muove in questa direzione da prima del 1993, anno in cui in UE viene pubblicato
il regolamento sui “computer crimes”.
La definizione di “reati informatici” ha due dimensioni. In senso stretto significa che quel dato reato
ha una componente informatica che gioca un ruolo nella tipicità (descrizione del fatto). In senso
lato, invece, significa che la dimensione sfocia non solo nell’informatica.
Picotti – Convenzione Cybercrime.
Il legislatore italiano ha recepito la Convenzione Cybercrime già sottoscritta dall’Italia nel 2001 con
la legge n. 48 del 18 marzo 2008, anche se la “piena ed intera esecuzione” non ha soddisfacente
riscontro nelle norme sostanziali e processuali introdotte poiché rispondono ad autonome scelte del
legislatore nazionale, piuttosto che l’inserimento di fattispecie esecutive della Convenzione.
Emblematica a tal proposito è la modifica dell’art. 491-bis contenente la definizione di “documento
informatico”, ma anche le norme di cui agli artt. 615-bis e ss. e 635-bis e ss.
Il primo gruppo di modifiche riguarda la materia delle falsità informatiche, cui si aggiunge anche la
nuova disciplina concernente il sistema di certificazione delle firme elettroniche.
Falsità Informatiche.
“Documento informatico” ex art. 491- bis .
La precedente definizione introdotta nel 1993 si rivelava totalmente inadeguata, principalmente per
l’accento che poneva sul “supporto informatico” contrapposto a quello cartaceo, come se esso
dovesse contenere la dichiarazione di volontà o di scienza che lo costituisce.
Secondo la nuova impostazione è documento informatico “la rappresentazione informatica di atti,
fatti o dati giuridicamente rilevanti”; due sono gli elementi elastici che hanno funzione adeguatrice
nel futuro: la tecnologia informatica e la pluralità di fonti normative.
Il concetto è molto fruibile nell’ambito delle “firme elettroniche”, basta pensare alle condotte di
“alterazione” o “contraffazione” facilmente individuabili anche in assenza di qualsivoglia intervento
fisico sulla res che incorpora il contenuto dichiarativo.
La locuzione “avente efficacia probatoria” va intesa nel senso più ampio di funzione o rilevanza
probatoria che assumono in concreto i dati e i trattamenti informatici, meritando una tutela
“equivalente” ai documenti classici.
“False dichiarazioni al certificatore” ex art. 495- bis .
Questa norma non ha alcun riferimento alla Convenzione Cybercrime e va letta in stretta
connessione con le relative norme extrapenali, contenute nel Codice dell’amministrazione digitale.
La condotta del reato in esame consiste nella dichiarazione falsa ideologicamente o materialmente,
sia su elementi obbligatori sia su elementi facoltativi, rilasciata al certificatore; si tratta di un reato
comune. Il certificatore, dal tenore normativo, sembrerebbe non rivestire nessuna qualificazione
pubblicistica, dato che di regola la certificazione è esercitata da soggetti privati.
“Frode informatica del certificatore” ex art. 640- quinquies .
Il reato in questione è un reato proprio del “fornitore dei servizi di certificazione di firma
elettronica” nel caso in cui violi “gli obblighi previsti della legge per il rilascio di un certificato
qualificato, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri un
danno”.
Il legislatore non ha di certo realizzato il dichiarato intendo di introdurre una nuova figura di truffa,
sia per mancanza di condotte idonee sua per la mancanza del requisito di “fraudolenza”, senza
contare che non è neppure richiesto un qualsivoglia evento di lesione patrimoniale.
In conclusione, sembra che la norma abbia effetti meramente sanzionatori e prescinde sia dal suo
scopo dichiarato sia dalla sua collocazione sistematica, mancando di un aggancio patrimoniale.
Delitti contro la sicurezza e l’integrità di dati e sistemi.
“ Diffusione di dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico”
ex. Art. 615- bis come fattispecie prodromica.
La norma prima della modifica presentava molte criticità: la mancanza di alcune condotte tipiche,
l’estensione del profilo funzionale, margine di ambiguità tra lecito e illecito.
Nella Convenzione sono previste numerosissime condotte tipiche e oggetti materiali della condotta,
molti dei quali non sono stati riportati nell’attuale formulazione.
Il requisito del dolo specifico viene traslato esclusivamente sul soggetto agente e non più anche
sull’oggetto materiale della condotta (la pericolosità dei programmi non viene inserita).
“Danneggiamento di dati informatici” ex art. 635- bis .
L’innovazione maggiore è il passaggio alla procedibilità a querela della persona offesa, in sintonia
con l’ipotesi base di danneggiamento; le altre ipotesi di danneggiamento informatico, considerate
più lesive, sono invece procedibili d’ufficio.
Si pone il problema di chi debba essere considerata la persona offesa: nel caso di danneggiamento
informatico non è così semplice perché si potrebbero considerare il concessionario, il legittimo
utilizzatore, il concedente, l’operatore del sistema e anche il proprietario.
Il concetto di “altruità” risulta piuttosto vago e fuorviante.
“Danneggiamento di sistemi informatici” ex art. 635- quater .
Vengono aggiunte condotte ulteriori rispetto all’art. 635-bis, ipotesi aggravante se un evento si
verifica.
“Danneggiamento di dati di pubblica utilità” ex art. 635- ter e “Danneggiamento di sistemi di
pubblica utilità” ex art. 635- quinquies .
Aggiunta di nuove condotte e scorporazione in base all’oggetto materiale della condotta: da una
parte i dati, i programmi e le informazioni; dall’altra i sistemi informatici o telematici.
Il secondo comma prevede una fattispecie autonoma di reato, impedendo il bilanciamento fra
circostanze di cui all’art. 69.
Frode Informatica.
Art. 640 “Truffa”.
La condotta consiste nell’indurre in errore (e procurare a sé o ad altri un danno ingiusto) mediante
artifici o raggiri. La giurisprudenza è unita nel ritenere che si tratti di condotta libera, in quanto
comprensiva di tutte le azioni che inducono in errore. La condotta deve essere connotata da idoneità
ingannatoria.
Per quanto riguarda gli eventi intermedi, si tratta di “induzione di taluno in errore”. Se l’errore è
cagionato dalla persona fisica non ci sono problemi, ma se esso è indotto da un computer?
L’”atto di disposizione patrimoniale” deve essere posto in essere dall’ingannato e l’evento finale è
“l’ingiusto profitto + l’altrui danno”.
Art. 640- ter “Frode Informatica”.
Dispositivo.
“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in
un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto
con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno
euro a milletrentadue euro.
La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a
millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del
secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di
operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è
commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui
al secondo e terzo comma o taluna delle circostanze previste dall'articolo 61, primo comma,
numero 5, limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età,
e numero 7”.
Secondo la direttiva 2013/40/UE viene definito come sistema informatico “tutto ciò che elabora dati
da solo”.
Il bene giuridico tutelato varia se in base a quale teoria si abbraccia. Secondo la teoria
monoffensiva, esso è solo il patrimonio; secondo la teoria plurioffensiva, invece, i beni giuridici
sono il patrimonio + il funzionamento del sistema informatico + la riservatezza.
La distinzione non è di poco conto, perché al variare del bene giuridico, varia anche il suo titolare e
dunque la possibilità di querelare, non essendo la frode informatica un reato perseguibile d’ufficio.
Se il bene è solo il patrimonio, il soggetto querelante è unicamente colui che subisce il danno; se i
beni giuridici tutelati sono quelli della teoria plurioffensiva, il soggetto querelante può anche essere
il titolare del sistema informatico. La norma, oggi, ha una lettura monoffensiva.
Le condotte sono quelle di “alterazione di sistema informatico” e “intervento senza diritto”, la
seconda presenta delle peculiarità e aspetti problematici. Cosa accade se il sistema rimane
funzionante? La Cassazione ha specificato che tale condotta è integrata con qualsiasi modalità, e il
“senza diritto” significa che non si agisce con una facoltà legittima. La qualità di operatore di
sistema, nel caso di specie, rappresenta una aggravante comune: la ratio risiede nella violazione del
rapporto fiduciario.
Il trickbot è un attacco informatico che parte attraverso l’invio di e-mail contenente un file (di solito
Word) nel quale è contenuto un malaware che si attiva durante le operazioni bancarie e sottrae i
dati.
L’evento muta se si considera la concezione economica o quella giuridica. Secondo la prima esso è
rinvenibile nella perdita di patrimonio; per la seconda si ha un passaggio da reato di danno a reato di
pericolo.
Il locus commissi delicti è vago e di difficile inquadramento per condotta.
Per quanto riguarda i profili sanzionatori, è possibile un cumulo? In relazione ai reati di frode,
sostituzione di persona, violazione di domicilio, indebito utilizzo di carta di credito.
La Cassazione ha stabilito che, nel caso di carte clonate, il reato è assorbito e rientra in quello di
frode informatica, punendo una condotta prodromica.
Per quanto riguarda il furto di identità digitale, la Legge 119/2013 ha inserito un terzo comma
all’art. 640-ter in modo tale da far coincidere il concetto di “identità digitale” come aggravante.
Nello specifico, l’impersonificazione può essere totale (e riguardare anche un soggetto deceduto) o
parziale (unendo anche dati di diversi soggetti).
Documento Informatico.
Art. 491- bis “Documento Informatico”.
Dispositivo.
“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico,
avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti gli atti
pubblici.”
In diritto civile, è considerato documento “qualunque supporto informatico contenente dati o
informazioni aventi valore probatorio”, ed è proprio da questa definizione che il sistema penale ha
assorbito la sua valenza.
Nei reati di falso documentale il bene giuridico tutelato è la fede pubblica, rappresentata dalla
genuinità e veridicità dei documenti; nello specifico, la collettività fa affidamento sui documenti per
intraprendere e mantenere determinati rapporti sociali. In ossequio a tali beni tutelati, la punibilità
viene esclusa quando le condotte non inducono in errore nessuno.
Il concetto di falsità può assumere due forme. La falsità materiale inficia sulla genuinità dell’atto e
riguarda i requisiti formali di esso. La falsità ideologica incide sulla veridicità dell’atto e riguarda il
contenuto narrativo dello stesso; inoltre, nel caso di falsità del PU, esso agisce senza rispettare
l’obbligo di verità.
L’atto pubblico ha connotati diversi se è rapportato alla sfera giuridica civile o penale.
Il Codice civile ha due articoli di riferimento: art. 2699 e 2700. Il primo considera come atto
pubblico quell’atto redatto da notaio o altro pubblico ufficiale; il secondo sancisce che esso fa piena
prova, fino a querela di falso, inoltre, non può essere smentito da testimonianza.
Il Codice penale dà la sua definizione con il combinato disposto degli articoli 493 e 476, stabilendo
che è atto pubblico qualsiasi atto formato dal pubblico ufficiale o incaricato al pubblico servizio,
avendosi così, una concezione più ampia rispetto a quella civilistica.
La Cassazione applica i reati di falso nei documenti informatici anche prima dell’introduzione
dell’art. 491-bis, per analogia, dando all’accezione di “atto” un’interpretazione estensiva.
Le caratteristiche del documento “tradizionale”:
1) Natura dichiarativa.
Cartaceo -> dichiarazione di volontà o di scienza
Informatico -> non dipende solo dall’autore, ma anche da funzioni automatizzate
2) Incorporazione al supporto.
Cartaceo -> caratteristica intrinseca
Informatico -> non c’è una stabile incorporazione
3) Forma intellegibile.
Cartaceo -> espressione scritta con un linguaggio comune
Informatico -> input mediante l’azione dell’operatore, ma è intellegibile solo mediante macchina
4) Riconducibilità all’autore.
Cartaceo -> sottoscrizione
Informatico -> sottoscrizione digitale mediante firma elettronica qualificata
5) Efficacia probatoria.
Informatico -> deve avere le stesse caratteristiche di quello cartaceo
La condotta muta il proprio oggetto, in particolar modo verso le procedure automatizzate.
Nel 2016 il legislatore elimina la dicitura “privato” in una serie di reati.
Sentenza Tarlazzo 2017.
Il caso riguarda un contenzioso tra insegnanti e il Ministero dell’istruzione. Un’associazione fa
domanda chiedendo il codice sorgente di un programma che si occupa di trasferimenti
interprovinciali degli insegnanti. Il MIUR affida il meccanismo di trasferimento ad una società
esterna che crea il software. L’associazione sostiene che l’algoritmo è assimilabile ad un atto
amministrativo e dunque si tratta di “documento amministrativo”; essa chiede inoltre il codice
sor
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.