Convenzione di Budapest e Legge 18 marzo 2008, n 48 di ratifica

L’iniziativa legislativa più importante nel settore dell’informatica forense è senza dubbio rappresentata dalla Convenzione adottata dal Consiglio d’Europa, elaborata da parte di un Comitato composto da 22 esperti provenienti da alcuni dei 41 Paesi del Consiglio e da osservatori di importanti Paesi extraeuropei (USA, Canada, Giappone, Sud Africa) e dei delegati di alcune delle maggiori organizzazioni internazionali (Interpol, Unione Europea, Unesco), aperta alla firma a Budapest il 23 novembre 2001 e sottoscritta immediatamente da ben 30 Paesi tra cui l’Italia.

115 _{Cfr. Catullo F. (2004) Nota in tema di pornografia minorile e di prostituzione via}

Internet. Cassazione penale, XLIV, novembre 2004, 3577–3585. Sulla nozione di “prostituzione online” è intervenuta la Cassazione, Sez. III, 8 giugno 2004, n. 25464, di cui si riporta parzialmente e si commenta la massima: “L’elemento che caratterizza l’atto di prostituzione non è necessariamente costituito del contatto fisico tra i soggetti della prestazione, bensì dal fatto che un qualsiasi atto sessuale venga compiuto dietro pagamento di un corrispettivo e risulti finalizzato, in via diretta ed immediata, a soddisfare la libidine di colui che ha chiesto e che è destinatario della prestazione. Per l’esistenza delle condotte vietate dalla Legge. n. 75 del 1958, quindi, è irrilevante il fatto che chi si prostituisce e il fruitore della prestazione si trovino in luoghi diversi, allorché gli stessi risultino collegati, tramite internet, in videoconferenza, che consente all’utente di interagire con il minore, in modo da potergli chiedere il compimento di atti sessuali determinati”. La conclusione cui è pervenuto il giudice di legittimità è consistita nel riscontrare che l’interpretazione giurisprudenziale non ha mai identificato la nozione di atto di prostituzione con quello di congiunzione carnale, pertanto va inteso come qualsiasi atto sessuale che viene compiuto per soddisfare la libido del destinatario dietro pagamento di un corrispettivo; è irrilevante poi che chi si prostituisce e il fruitore della prestazione si trovino in luoghi diversi, allorché gli stessi riescono a interagire tra loro.

La Convenzione di Budapest ha il compito di delineare definizioni comuni di reato tra i vari paesi, definire poteri comuni di indagine e predisporre mezzi di cooperazione internazionale.

Nel primo capitolo, costituito da un unico articolo, vengono preliminarmente fornite le seguenti quattro definizioni:

 per “sistema informatico” si intende qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati;

 per “dati informatici” si intende qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione;

 per “service provider” si intende qualunque entità pubblica o privata che fornisce agli utenti dei propri servizi la possibilità di comunicare attraverso un sistema informatico, nonché qualunque altra entità che processa o archivia dati informatici per conto di tale servizio di comunicazione o per utenti di tale servizio;

 per “trasmissione di dati” si intende qualsiasi informazione computerizzata relativa ad una comunicazione attraverso un sistema informatico che costituisce una parte nella catena di comunicazione, indicando l’origine della comunicazione, la destinazione, il percorso, il tempo, la data, la grandezza, la durata o il tipo del servizio.

Nel secondo capitolo della Convenzione vengono enucleati i provvedimenti da adottare a livello nazionale in tema di diritto penale sostanziale – in relazione a accesso illegale, intercettazione illegale, attentato all’integrità dei dati, attentato all’integrità di un sistema, abuso di apparecchiature, falsificazione informatica, frode informatica, reati relativi alla pornografia infantile, reati contro la proprietà intellettuale e diritti collegati, tentativo e complicità, responsabilità delle persone giuridiche, sanzioni e strumenti – e procedurale – in relazione a scopo delle disposizioni procedurali, condizioni e tutele, conservazione rapida di dati informatici immagazzinati, conservazione rapida e divulgazione parziale di dati relativi al traffico, perquisizione e sequestro dei dati informatici, raccolta in tempo reale di dati sul traffico, intercettazione di dati relativi ai contenuti. In particolare, gli articoli dal 2 al 10 disciplinano una serie di fattispecie criminose che devono necessariamente essere presenti in tutti gli Stati firmatari in modo da garantire una omogeneità

delle incriminazioni: tra questi, all’art. 9, viene prende in considerazione il fenomeno della pedopornografia, dove con l’espressione “pornografia infantile” si intende il materiale che raffigura un minore coinvolto in un comportamento sessuale esplicito o un soggetto che sembra essere un minore coinvolto in un comportamento sessuale esplicito (fenomeno denominato pornografia virtuale). Gli altri articoli mirano alla regolamentazione della responsabilità delle persone giuridiche e delle sanzioni applicabili (articoli da 11 a 13) e alla definizione della disciplina processuale (articoli da 14 a 22) all’interno della quale particolare interesse rivestono le norme che concernono le modalità per garantire una tempestiva assicurazione dei dati elettronici archiviati suscettibili di essere alterati o modificati.

Nel terzo capitolo vengono definite le disposizioni in tema di cooperazione internazionale per quanto concerne la mutua assistenza relativa a misure provvisorie – conservazione e divulgazione rapida di dati informatici – nonché a poteri d’indagine – assistenza relativa all’accesso a dati informatici immagazzinati, accesso transfrontaliero a dati informatici immagazzinati con il consenso o qualora essi siano pubblicamente disponibili, mutua assistenza nella conservazione in tempo reale di dati sul traffico, mutua assistenza in materia di intercettazione di dati relativi ai contenuti – e istituzione di una rete di controllo e repressione attiva sul modello 24/7.

Il primo luglio del 2004 è stata raggiunta la condizione per l’entrata in vigore della Convenzione, che era stata stabilita al raggiungimento di cinque ratifiche, di cui almeno tre di stati del Consiglio d’Europa.

Sebbene nel nome richiami esplicitamente i crimini informatici, l’ambito di applicazione della Convenzione di Budapest sul Cybercrime è di estrema rilevanza per tutti gli operatori del diritto in quanto non comprende solo i reati informatici puri, ma anche tutti i reati “comuni” commessi attraverso un sistema informatico o le cui prove sono in formato digitale.

La Legge 18 marzo 2008, n. 48, cd. “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”, apporta limitate modifiche al codice penale avendo l’Italia già provveduto ad introdurre i reati informatici nell’ordinamento nazionale negli anni precedenti116. Vengono introdotte nel codice di procedura penale alcune

116 _{Tra le novità apportate dalla legge 48/2008 si citano la modifica dell’art. 491-bis in}

norme di rilievo per quanto riguarda l’acquisizione e il recupero di dati sui quali intraprendere un’indagine informatico forense: in relazione a sistemi informatici o telematici, la nuova formulazione dell’art. 244 comma 2 c.p.p. prevede la necessità di adottare le misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedire l’alterazione; in tutti i casi in cui sussista fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, la nuova formulazione dell’art. 247 comma 1-bis c.p.p., prevede che ne venga disposta la perquisizione adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

La legge n. 48/2008 è stata sottoposta a diverse critiche117 in ordine alle modalità e ai tempi della sua approvazione, oltre che al suo contenuto specifico ed alla correlazione ravvisabile tra la sua formulazione ed il testo della Convenzione europea cui ha dato attuazione118. Voci critiche hanno sostenuto l’incidenza negativa del fattore temporale, stigmatizzando il contingentamento dei lavori parlamentari che hanno portato ad una rapida approvazione della legge119. Gli stessi parlamentari avrebbero individuato nel testo alcune specifiche incongruenze cui tuttavia si è ritenuto di non tener conto120 per poter

comma 1-bis e 352 c.p.p. comma 1-bis), la previsione di sequestro della corrispondenza telematica (art. 254 c.p.p.) e di dati di traffico (art. 254-bis c.p.p.), l’introduzione del concetto di sigillo elettronico o informatico e copia di dati (art. 260 c.p.p.).

117 _{Sul punto, cfr. Sarzana C. (2008) La legge di ratifica della Convenzione di Budapest:}

una “gatta” legislativa frettolosa. In Diritto penale e processo, 12/2008, 1562–1577.

118 _{Picotti L. (2008) Ratifica della convenzione cybercrime e nuovi strumenti di contrasto}

contro la criminalità informatica e non solo. In Diritto penale e processo, 5/2008, 437–448.

119 _{Dopo la presentazione del disegno di legge governativo in data 19 giugno 2007 erano}

state tenute solo due sedute preliminari delle Commissioni Giustizia ed Affari esteri della Camera dei Deputati, che si erano svolte nei giorni del 25 settembre e del 3 ottobre 2007 senza apportare significativi contributi al testo sottoposto ad esame. Dopo il decreto di scioglimento delle Camere e con il consenso pressoché unanime di maggioranza ed opposizione, il 19 febbraio 2008 si era concluso l’esame in sede referente del testo, poi trasmesso all’aula, con emendamento unico, ove veniva tempestivamente approvato e trasmesso al Senato, portando alla definitiva approvazione del 27 febbraio 2008 ed alla pubblicazione in Gazzetta Ufficiale il 4 aprile 2008 con entrata in vigore il giorno successivo.

120 _{Cfr. Picotti L. (2008) La ratifica della Convenzione Cybercrime del Consiglio}

d’Europa. Profili di diritto penale sostanziale. In Diritto penale e processo, 6/2008, pag. 700– 716. L’autore evidenzia come nonostante la delicatezza della materia e l’individuazione di incongruenze normative, si fosse comunque preferito dare rapida attuazione alla legge

realizzare il primario obiettivo dell’immediato adeguamento dell’ordinamento giuridico italiano alla normativa sul cybercrime. Inoltre è stato osservato che la piena ed intera esecuzione, che ai sensi del disposto dell’art. 2 della legge è stata formalmente data alla Convenzione di Budapest, nella sostanza non corrisponderebbe all’effettivo contenuto della legge di ratifica: in particolare si ritiene che le disposizioni previste dagli articoli dal 3 al 6, nell’introdurre o modificare articoli del codice penale, spesso si discostano dai dettami della Convenzione di Budapest, rispondendo piuttosto ad autonome scelte del legislatore nazionale che ha colto l’occasione per rivedere parti controverse della disciplina già vigente in materia121.