Danneggiamento di informazioni,dati o programmi informatici

Ad oggi viene punito, con l'art. 635 bis c.p., specificatamente il danneggiamento dei dati informatici. Chiaramente la struttura della fattispecie, sin dall'origine, ha visto come paradigma normativo il reato di danneggiamento ex art. 635 c.p.. Soffermandoci sulla architettura del reato di danneggiamento ex art. 635 bis c.p. , avendo come “stella polare” pur sempre la fattispecie primigenia del reato di danneggiamento,è possibile sottolineare alcuni aspetti di particolare interesse.

E' possibile notare, in primis, il ricorso da parte del legislatore alla tecnica degli “elementi normativi”. Pur non essendo possibile una trattazione organica e completa della questione, basti ricordare come, nella fase della formulazione di una fattispecie, il legislatore scelga quale linguaggio giuridico utilizzare, se ricorrere a “giudizi di realtà” (si pensi al termine “uomo”,”donna”,”animale”) detti anche “descrittivi” oppure a giudizi di valore ( come può essere “oscenità”, altruità” etc. etc.) denominati altrimenti come “normativi”. Questi ultimi sono dotati della caratteristica di indicare l'elemento della fattispecie attraverso un rinvio ad una norma di valutazione diversa da quella nella quale è contenuto il giudizio di valore70. E' pacifico il ricorso al concetto di altruità (per quanto concerne informazioni,dati e programmi informatici nel 635 bis c.p., per ciò che riguarda i sistemi informatici e telematici nel 635 quater c.p.) che assume un'importanza indubbiamente centrale. Difatti, in base alle conclusioni che la dottrina ha potuto trarre a riguardo del danneggiamento e che sono applicabili anche al nostro caso, è possibile affermare che non vi sia un

riferimento solo al diritto reale della proprietà bensì “...ogni diritto sulla cosa che nel caso concreto abbia un rilievo sociale maggiore o anche paragonabile a quello che eventualmente spetti al soggetto attivo. Entro questi limiti, può trattarsi di qualsiasi diritto, reale o processuale, di godimento e di garanzia71”

E' necessario sottolineare la critica mossa in dottrina all'inserimento di tale elemento che, nel panorama europeo, vede solo nell' Italia e nella Spagna gli ordinamenti che hanno provveduto ad inserirlo. Negli altri Paesi, infatti, si è scelto di inserire clausole quali “senza diritto” o “senza autorizzazione” che hanno il vantaggio di permettere un rinvio al complesso delle norme extrapenali regolatrici di attività legittime sui dati. Di conseguenza sarà necessaria l'individuazione dei soggetti che hanno, semplicemente, l'interesse alla integrità e disponibilità dei dati informatici senza che ciò ne implichi il possesso la proprietà. Ciò che viene contestato, con riguardo alla scelta italiana, è che il ricorso al concetto di altruità nel contesto informatico pone tutta una serie di questioni interpretative non di poco conto. Gli oggetti informatici, come i dati ed i programmi, hanno una natura materiale ed incorporea che rende difficoltoso applicarvi i concetti tradizionalmente intesi di proprietà e possesso. Basti pensare all'orientamento giurisprudenziale, severamente contestato, per il quale si avrebbe irrilevanza penale per le condotte di danneggiamento di dati o programmi informatici nell'ipotesi in cui siano stati commessi dai proprietari stessi72. La conseguenza sarebbe quella di privare di qualsiasi tutela tutta una serie di soggetti “interessati” agli oggetti informatici aggrediti, pur non essendo qualificabili come proprietari. Tra questi è necessario menzionare i titolari di diritti di godimento che hanno stipulato

71 PAGLIARO, Principi di diritto penale - Parte speciale III - I delitti contro il patrimonio, Milano, 2003, 286.

contratti di leasing o di locazione. Nella impostazione teorica precedente è stato sottolineato come anche queste figure siano considerate. Elemento di novità dell'approccio “critico” al concetto di altruità è quello dell'inserimento, nel novero dei soggetti meritevoli di tutela, degli interessati alla integrità e disponibilità dei dati pur aventi le qualifiche di proprietari, possessori e titolari di diritti di godimento. Per comprendere chi includere in siffatta categoria, giovano le definizioni fornite dal codice della privacy (soggetti interessati, titolari, responsabili, incaricati del trattamento noncheè abbonati ed utenti). Ecco si potrebbe prospettare la tutela, in chiave penale, anche degli abbonati ed utenti che hanno un legittimo interesse affinchè dati, programmi e sistemi funzionino regolarmente in modo che sia garantita la loro legittima aspettativa a fruire dei servizi da loro richiesti.

Nel caso di concorso di più diritti ad una pluralità di soggetti, avremo più soggetti passivi e non vi alcuna differenza se essa è una persona fisica ovvero giuridica. Ai fini della altrettanto importante individuazione del soggetto attivo del reato, diviene fondamentale accertare che egli non possa vantare uno o più dei diritti di cui sopra. Altro punto di riflessione critica potrebbe essere il riferimento alle “informazioni”. Il rischio, paventato da parte della dottrina, sarebbe quello di estendere eccessivamente l'ambito penalmente rilevante tanto da poter arrivare ad ipotizzare l'applicabilità del 635 bis c.p. ( e del corrispettivo 635 quater c.p.) anche al caso di danneggiamento di informazioni contenute in un supporto di natura cartacea o comunque nella condizione di non essere ancora processate da un programma o da un sistema informatico73.

E' opportuno ricordare, in merito alla condotta, che l'articolo è stato

73 I.SALVADORI, Il “microsistema” normativo concernente i danneggiamenti

novellato introducendo anche altre modalità di aggressione, accanto a quelle della distruzione e del deterioramento, consistenti nella cancellazione, alterazione e soppressione. Per parte della dottrina, questa è una specificazione che ha una maggiore importanza sul piano terminologico piuttosto che su quello applicativo dato che tali condotte erano riconducibili al “ rendere inservibili in tutto o in parte”, un riferimento oggi non più presente nella norma74. Indubbiamente con il riferimento alla alterazione, appare pacifico includere nell'ambito applicativo anche quei danneggiamenti tramite programmi malware, i quali operano proprio alterando o trasformando il contenuto dei dati informatici. Resterebbero escluse dalle condotte di alterazione le installazioni abusive di programmi spia (Trojan Horse, Keylogger etc. etc.) dato che in tal caso non sussisterebbe una modificazione contenutistica dei dati.

Per soppressione deve intendersi sia le condotte che cagionano una eliminazione definitiva dei dati (impedendo qualsiasi possibile recupero) sia quelle impeditive dell'accesso da parte dell'avente diritto, anche aventi effetti solo temporanei75.

Una piccola riflessione sembra meritare anche la cancellazione di dati. Essa consiste nel rendere completamente e definitivamente irriconoscibile il contenuto di dati o programmi. Giova ricordare l'irrilevanza penale della recuperabilità di tali dati e programmi da parte dell'avente diritto su un altro supporto fisico.

Con riguardo alla condotta di “distruzione”,essa deve intendersi in relazione all'utilizzo di un mezzo fisico mentre il “deterioramento” sembra collegarsi ad una serie di condotte di natura informatica. Nell'area coperta dalla fattispecie senza dubbio rientrano il fenomeno dello spamming, nel caso in cui arrivi a saturare volontariamente, con

74 AA VV SANTORIELLO , op.cit.,, p. 77 75 Si pensi alla sostituzione di una password.

un elevato numero di comunicazioni a distanza ravvicinata, le risorse di un computer e, con non poche perplessità, il c.d. netstrike consistente in una serie di accessi contestuali e ripetuti nel tempo presso un determinato sito Web76.

E' interessante rilevare come il legislatore italiano non abbia scelto di limitare la previsione penale ai casi gravi di danneggiamento di dati e programmi (una possibilità che veniva offerta dall'articolo 4 della Convenzione sul Cybercrime di Budapest e dall'art. 3 della Decisione Quadro 2005/222/GAI). La previsione di una tale clausola si porrebbe lo scopo di limitare l'area applicativa del fatto tipico, escludendo i casi di danneggiamenti di dati privi di valore o di qualsivoglia utilità. D'altro canto non è possibile negare l'ineliminabile carattere elastico della c.d. “gravità” del danneggiamento che porrebbe non pochi problemi ai giudici chiamati ad individuare un parametro che in concreto discrimini i fatti gravi da quelli non gravi.

Il reato oggi è procedibile a querela della persona offesa.

Novità sussistono anche in merito al sistema delle circostanze aggravanti. Antecedentemente al 2008, veniva fatto un rinvio alle

76

Il netstrike può essere definito come un corteo virtuale (malgrado il termine richiami più da vicino lo sciopero, “strike” in inglese) organizzato col fine di protestare e focalizzare il dibattito pubblico su una determinata questione. Con esso vengono presi di mira di solito siti istituzionali e qualsiasi utente può parteciparvi semplicemente collegandosi al sito –obbiettivo il giorno e l’ora stabilita ed effettuando ripetutamente il “refresh” della pagina. In questo modo la banda verrà occupata. Sulla legittimità del netsrike in dottrina vi sono due orientamenti differenti. Il primo non lo considera integrare nessuna fattispecie penale, essendo una particolare forma di protesta che non reca danni permanenti al sistema (a differenza dei Denial of Service) ritenendo che solo l’eventuale ricorso a script con i quali effetturare il refresh ,sia da considerarsi illecito. Il secondo orientamento ha tra le proprie fila chi vede in questa condotta l’integrazione del reato 617 quater c.p. in quanto comporta un impedimento o una interruzione delle comunicazioni informatiche. Ovviamente questa teoria si basa sull’assunto (non accolto unanimemente in dottrina) che l’art. 617 quater abbia come oggetto di tutela la sicurezza ed il corretto funzionamento dei sistemi informatici e telematici. Vi sono anche coloro che ritengono sia applicabile la fattispecie ex art. 617 quinquies qualora vengano utilizzati particolari software. Certo è che, sotto un profilo concreto, sarebbe oltremodo arduo individuare tutti i soggetti coinvolti.

aggravanti dell'art 635 2c c.p.. Ciò aveva suscitato non poche problematiche applicative in giurisprudenza e perplessità da parte della dottrina perché, escludendo le ipotesi nelle quali il fatto viene commesso avvalendosi di violenza o minaccia, tali circostanze risultavano non applicabili nel contesto di un danneggiamento informatico. Nel contesto attuale, per quanto riguarda il rinvio alle aggravanti del danneggiamento, sopravvive solo il rinvio a quelle di cui al numero 1 del secondo comma dell'art 635 c.p.. Inoltre, è stata introdotta la circostanza nella quale soggetto attivo risulta essere l'operatore sistema. Quest'ultima ipotesi si giustifica con la maggiore facilità, dato il ruolo rivestito, nella commissione del reato. Giova ricordare come non si debba fare riferimento solo a qualifiche di natura formale né ad un profilo di carattere quantitativo né alla necessità della sussistenza di un rapporto di dipendenza tra soggetto attivo (operatore di sistema) e il titolare del sistema informatico o telematico. In conseguenza della integrazione di suddette circostanze, il reato diviene procedibile d'ufficio e la pena vede un aumento nella cornice edittale.