Il delitto di diffusione di dispositivi o programmi diretti a danneggiare o

L’art. 615-quinquies ha rappresentato per molto tempo un’innovazione all’interno dell’ordinamento italiano. Infatti, questa particolare fattispecie penale è stata introdotta con la legge 547/1993, al fine di contrastare i nascenti fenomeni di intrusione nonché di danneggiamento di sistemi informatici attraverso specifici programmi maligni.

L’aspetto degno di nota risiedeva proprio nell’originale elaborazione della fattispecie, spezzando quelli che erano gli originari modelli penali vigenti negli anni ‘90, che si basavano soprattutto nell’analogia con reati già presenti all’interno del Codice penale, come è poi avvenuto per le odierne fattispecie di danneggiamento di dati e sistemi informatici, incentrati sulla falsariga del danneggiamento delle cose comuni.

Tuttavia, accanto ai numerosi meriti della novella legislativa, troviamo altrettante gravi carenze; infatti, un primo elemento di criticità può essere riscontrato nella collocazione stessa dell’art. 615-quinquies, in quanto trova ubicazione nell’ambito dei delitti contro l’inviolabilità del domicilio, che sarà mantenuta con la legge 48/2008, pur trattandosi di un delitto prodromico al danneggiamento e non alle ulteriori fattispecie di accesso senza autorizzazione, 615-ter, ovvero di detenzione e diffusione abusiva di codici d’accesso, 615-

quater.

Ulteriore elemento di grave criticità risiedeva nella formulazione stessa della fattispecie ritenuta troppo complessa e assolutamente insufficiente nella descrizione della condotta. Infatti, sotto il profilo dell’elemento oggettivo mancava qualsiasi riferimento

51 _{L. PICOTTI, La ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 2008,}

all’incriminazione di chi si “procura e riproduce”, prevista nel precedente art. 615-quter, contraddicendo quindi la finalità stessa della disposizione. L’originaria intenzione del legislatore era infatti quella di prevedere la fattispecie di diffusione di dispositivi o programmi diretti a danneggiare, come reato ostacolo, ovvero di mero pericolo, intervenendo quindi preventivamente rispetto alla diffusione o circolazione di questi programmi, poiché, proprio grazie alla stessa caratteristica di auto esecuzione, una volta all’interno di un sistema informatico, la fattispecie di danneggiamento si integra.

Unico punto di distinzione rispetto alle fattispecie di danneggiamento è presente all’interno della descrizione della condotta stessa, in quanto è prevista l’integrazione della diffusione di programmi atti a danneggiare attraverso la semplice alterazione del funzionamento, elemento diverso rispetto al danneggiamento.

Tuttavia, questo elemento di distinzione ha causato ulteriori critiche, in quanto diventano sottili i confini di distinzione fra attività lecita e illecita, poiché molto spesso in ambito tecnologico, soprattutto in materia di sperimentazione di nuovi programmi al fine di aggressione di sistemi informatici individuati come principali diffusori di virus, è possibile rinvenire astrattamente l’integrazione della fattispecie penale prevista nell’articolo 615-

quinquies.

La presenza di questo paradosso è dovuta soprattutto alla mancanza di un dolo specifico nella formulazione del reato, unico strumento di adeguata distinzione fra i fatti non punibili e quelli penalmente perseguibili.

La legge di recepimento della Convenzione contro la criminalità informatica non è riuscita a risolvere adeguatamente queste criticità.

La modificazione proposta dalla legge 48/2008 ha fortemente esteso il profilo oggettivo della disposizione ed ha cercato di riformulare anche l’elemento soggettivo attraverso l’introduzione del dolo specifico. Tuttavia, se si è cercato di arginare frettolosamente la grave indeterminatezza della condotta presente nella fattispecie originaria, la formulazione così proposta presta il fianco ad altrettante inesattezze, riguardo soprattutto alla formulazione stessa ritenuta dalla dottrina fortemente inadeguata in relazione a quanto descritto in sede internazionale. Infatti, la Convenzione contro la criminalità informatica all’articolo 6, come già richiamato nel primo capitolo, descrive, nella rubrica dedicata all’abuso di dispositivi, le potenziali fattispecie che il legislatore nazionale ha obbligo di recepire per una corretta regolamentazione penale del fenomeno criminale facendo

riferimento alla volontà del soggetto criminale di utilizzare tal programmi al fine dell’utilizzo illecito; successivamente la Convenzione prevede che in assenza di questo fine delittuoso tutte le attività di diffusione possono essere considerate lecite.

Tuttavia, nonostante questa disposizione, la legge 48/2008 non è riuscita ad allinearsi a quanto descritto in sede internazionale. Infatti, se dal punto di vista delle condotte punibili si è operata una vera e propria estensione, attraverso l’aggiunta di nuove espressioni, come “si procura, produce o riproduce”, in posizione antecedente rispetto alle già esistenti locuzioni di “diffondere, comunicare, consegnare”, manca il riferimento alla dannosità potenziale dei programmi immessi in un sistema informatico.

Sebbene in prima lettura si possa registrare l’assenza di tale caratteristica relativa ai soli programmi, si può però osservare che il legislatore nazionale ha operato una vera e propria snaturalizzazione di questo elemento, inserendolo all’interno del dolo specifico, in riferimento quindi alla finalità dell’agente “di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento”52_.

Il trasferimento della pericolosità oggettiva del programma trasposto all’interno dell’elemento soggettivo ha causato un contestuale impoverimento della delimitazione fra comportamenti illeciti e quelli leciti. A riprova di ciò, l’espressione “illecitamente” utilizzata dal legislatore nazionale risulta di conseguenza svuotata completamente dell’incidenza oggettiva, ben presente invece in un'altra disposizione definita come gemella, ossia il 615-

quater, rubricata come detenzione e diffusione abusiva di codici di accesso a sistemi

informatici o telematici, in cui l’espressione “abusivamente” è direttamente riferibile alla qualificazione della condotta oggettiva.

Per questo motivo si può pacificamente affermare che la volontà del legislatore italiano, nella stesura del 615-quinquies, si è rivelata diametralmente opposta a quanto affermato in sede di Convenzione, emergendo la necessità di un contestuale arricchimento dell’antigiuridicità oggettiva del fatto tipico, soprattutto guardando all’espressione “senza diritto” utilizzata in sede internazionale.

L’effetto di questa imprecisa formulazione del legislatore italiano sta nella tipizzazione di condotte di per sé perfettamente lecite dal punto di vista oggettivo, come ad esempio la diffusione di programmi a scopo commerciale, in quanto è solo la finalità dell’agente, ossia il dolo specifico, a rendere penalmente perseguibile il fatto.

Questa particolare scelta del legislatore risulta inaccettabile in quanto è possibile ravvisare la violazione dei principi di certezza, tassatività e offensività, nonché il principio di corretta conformazione alle fonti internazionali ratificate.

L’articolo 6 della Convenzione contro la criminalità informatica, come emerge dal rapporto esplicativo, che costituisce parte integrante della stessa fonte di diritto internazionale, nell’evidenziare la pericolosità del dispositivo o programma e di fatto incriminare l’utilizzo di programmi definiti a “doppio uso”, risulta accogliere il risultato di un profonda considerazione d’insieme fra diverse posizioni in merito, ossia il considerare tutti i dispositivi di per sé intrinsecamente illeciti, ovvero ritenere punibile l’utilizzo di qualsiasi dispositivo, utilizzabile di fatto anche per scopi leciti.

La scelta operata in sede internazionale è stata proprio quello di evitare quest’ultima formulazione, perseguita invece dal legislatore italiano, in quanto si creerebbe, a detta degli esperti che hanno redatto la Convenzione stessa, una eccessiva penalizzazione, potendo quindi astrattamente rientrare nella fattispecie criminale ogni utilizzo di dispositivi o programmi, creando enormi danni economici a pratiche commerciali in materia di sicurezza dei sistemi informatici.

Il legislatore italiano, seppur di fronte all’espresso auspicio presente nella Convenzione stessa di meglio definire gli elementi di tipicità oggettiva, introducendo determinate caratteristiche, come ad esempio la pericolosità del programma, così da poter creare precise e determinate soglie di punibilità, non sembra aver recepito gli intenti della Convenzione.

La scelta così operata nella legge 48/2008 di precisare la fattispecie del 615-quinquies attraverso la semplice aggiunta di una finalità ascrivibile alla sfera soggettiva dell’agente, può solamente creare importanti incertezze nel fiorente settore della diffusione di programmi informatici, nonché la contestuale difficoltà in sede processuale non solo nel fornire una prova nella forma della finalità dell’azione criminale, molto difficile da individuare, ma anche nell’accostamento della responsabilità penale, creando un vero proprio pregiudizio nei confronti del soggetto accusato.

2.6. La modifica ai delitti di danneggiamento di dati e sistemi informatici, una difficile