La detenzione e diffusione di codici di accesso a sistemi informatici o telematici

L'art. 615 quater c.p. concerne la detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici tutelando la libertà di accedere liberamente ed in via esclusiva, da parte dell'avente diritto, al relativo sistema informatico.

La norma presenta un evidente parallelismo con l'art. 615 ter c.p. con la differenza che, rispetto a quest'ultimo, è apprezzabile una netta anticipazione della tutela: la fattispecie infatti ha ad oggetto i “codici di accesso a sistemi informatici o telematici” e non i sistemi informatici suscettibili di aggressione.

Il reato trova il suo momento consumativo nel momento in cui il reo o si procura o diffonde i codici in questione ovvero fornisce “indicazioni o istruzioni idonee” all'accesso di un sistema informatico o telematico. Non rileva il possibile successivo danno o l'alterazione del sistema: in breve non è rilevante l'eventuale utilizzo dei codici di accesso diffusi. Questi sono da considerarsi sia strumenti di natura virtuale (password, credenziali di accesso in codice), sia di natura reale (chiavi, tessere magnetiche), sia strumenti di riconoscimento biometrico.

Il legislatore nel delineare le condotte penalmente rilevanti, ha descritto una pluralità di comportamenti tra loro alternativi: qualora nel caso concreto ne venga integrato più di uno, dovrà essere applicata la disciplina del concorso formale.

In dettaglio, per “procurarsi” è da intendersi l'ottenimento del codice da persona o da un elaboratore che ne sia a conoscenza. Con riguardo a quest'ultima ipotesi, si pensi al ricorso ad una registrazione del momento nel quale viene, ad esempio, concretamente digitato il codice. Paradigmatici sono stati i casi di installazione di pannelli, nei pressi di sportelli Bancomat, aventi inserita una telecamera. E' di grande interesse notare come in giurisprudenza non si sia univocamente invocata, in questo caso, la fattispecie ex art. 615 quater c.p. dato che è stato talvolta ritenuto integrato l'art. 627 quinquies c.p. “Installazione di apparecchiature atte ad intercettare,impedire o interrompere comunicazioni informatiche o telematiche” nei casi in cui non sia possibile avere prova certa della captazione del codice identificativo114.

Tornando alla norma esaminata, la “diffusione” riguarda la comunicazione illegittima ad una serie indistinta di soggetti, la “comunicazione” quando ciò avviene in relazione a soggetti determinati e la “consegna” quando l'accesso passi attraverso la disponibilità di uno strumento fisico.

L'ambito applicativo della norma si estende ulteriormente in quanto la fattispecie si applica anche nei confronti di chi “fornisce indicazioni o istruzioni” concernenti la possibilità di acquisizione dei codici di accesso.

Manca all'appello la “detenzione”, che è menzionata solo in rubrica. Ne consegue che, non essendo riprodotta nel testo della disposizione,

non integra una condotta penalmente rilevante per il reato in questione. Probabilmente è stata utilizzata per riassumere genericamente la congerie di condotte poi elencate nel testo normativo.

Infine va ricordato anche che l'applicabilità della norma interessa anche i sistemi di natura telematica. Ciò ha portato al ricorso al 615 quater nei casi di ottenimento del numero di serie di un apparecchio di telefonia mobile, appartenente ad altri e alla conseguente “clonazione” tale da consentire la connessione alla rete mobile a spese altrui.

Più controverso è l'impiego della fattispecie in studio nei frequenti casi di detenzione e diffusione di smart-card contraffatte. In giurisprudenza è stato sostenuto che l'utilizzo di questo strumento non comporterebbe un accesso al sistema satellitare ma solo l'indebita fruizione del servizio televisivo via satellite115. Queste condotte non sono certo prive di una copertura penalistica data l'esistenza della norma di cui all'art. 171 octies l.22 aprile 1941 n.633 sul diritto d'autore.

Inoltre il reato consistente nell'utilizzo indebito di carte di credito o similari strumenti di pagamento e prelievo, disciplinato dall'art. 55 d.lgs. 21 novembre 2007 n.231, è stato ritenuto integrato nei casi di ricariche telefoniche effettuate con codici sottratti, escludendo l'applicabilità dell'art. 615 quater c.p..

L'elemento soggettivo consiste nel dolo specifico richiedendosi la finalità di agire “al fine di procurare a sé o ad altri un profitto116 o di arrecare ad altri danno”.

Il secondo comma, nel prevedere le circostanze aggravanti richiama quelle relative ai numeri 1) e 2) dell'art. 617 quater c.4 c.p.: sono il caso in cui i sistemi informatici o telematici in questione siano utilizzati dallo Stato o da altro ente pubblico o da impresa esercente

115 Trib. Trapani 22 dicembre 2005

116 Da intendersi in senso lato, per la maggioranza della dottrina: rileverebbe

servizi pubblici o di pubblica necessità e l'ipotesi che vede come soggetto agente un pubblico ufficiale, un incaricato di pubblico servizio od un operatore di sistema.

2.5.4 Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico

La fattispecie di cui all'art. 615 quinquies c.p. si pone lo scopo di tutelare il bene giuridico consistente nel godimento completo ed indisturbato dei sistemi e programmi informatici senza che il loro funzionamento e la loro integrità venga compromessa da atti illeciti. La norma in esame ha subito un'importante intervento correttivo a seguito della nota l. 18 marzo 2008 recante la ratifica alla Convenzione sul Cybercrime. Tramite suddetto intervento, vi è stata una significativa estensione del novero delle condotte tipiche anche se, sotto il profilo definitorio, non mancano talune perplessità con riguardo alle condotte originarie della consegna (che richiede probabilmente il trasferimento su un supporto fisico), la diffusione e comunicazione (la cui linea di discrimine sembra essere la caratteristica di determinatezza o meno dei destinarari). Accanto ad esse, oggi è possibile ritenere tipiche anche le condotte di chi “ si procura, produce, riproduce, importa tali apparecchiature. Come il reato precedente, anche in questo caso è possibile parlare di reato di pericolo e di anticipazione della tutela nell'ottica di sanzionare le condotte aventi natura prodromica rispetto ad eventi alterativi, dannosi,interrutivi del sistema informatico o telematico. Allo stesso modo, anche in questa norma l'elemento soggettivo è rappresentato dal dolo specifico in virtù di quanto previsto dalla Convenzione di

Budapest all'art. 6 c.2 nel quale si afferma come l'indicazione di inserire una fattispecie volta a contrastare le condotte criminose sopra descritte debba essere prevista quando vengano minacciate, come indicato in Convenzione, la riservatezza,la disponibilità e l'integrità dei dati e dei sistemi informatici.

Antecedentemente al 2008, il reato prevedeva un dolo generico e ciò si ripercuoteva su problemi applicativi concernenti un non sempre facile riscontro in concreto della rilevanza penale di talune condotte.

Il legislatore italiano non ha però seguito l'indicazione della Convenzione di inserire, a proposito della condotta tradotta nel nostro codice del “procurarsi” , un numero minimo di dispositivi. Nel testo del codice infatti non sussiste nessun genere di soglia numerica ma ovviamente questo non impedisce una rilevanza de facto, ad esempio, di un ingente numero di apparecchiature procurate, nella valutazione del dolo specifico117.

Sezione sesta

(La tutela della liberta' e riservatezza delle comunicazioni)

2.6 L'intercettazione,impedimento o interruzione illecita di comunicazioni informatiche o telematiche

2.6.1 Il bene giuridico tutelato e la definizione di “comunicazione informatica o telematica”

L'art. 617 quater, introdotto dalla l. 547 1993, sanziona penalmente chiunque fraudolentemente intercetti comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisca o le interrompa, venendo punito con la reclusione da sei mesi a quattro anni. Inoltre è soggetto alla stessa pena, salvo che il fatto costituisca un più grave reato, chiunque riveli, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle predette comunicazioni.

La tutela penale con riguardo alle comunicazioni era già presente nell'impianto codicistico grazie agli artt. 617 e ss. c.p. (relative alle comunicazioni o conversazioni telegrafiche o telefoniche). Il legislatore avrebbe potuto optare per un intervento diretto ad ampliare la portata dell'art. 623 bis c.p., ma ha preferito procedere all'introduzione di nuove fattispecie: gli artt. 617 quater (intercettazione, impedimento o interruzione di comunicazioni informatiche o telematiche) e 617 quinquies c.p. (Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche).

Occupandoci della prima disposizione, è opportuno individuare il bene giuridico oggetto della tutela penale. Quest'ultimo consiste nella libertà e riservatezza delle comunicazioni, secondo l'opinione maggioritaria in dottrina118. Le comunicazioni alle quali viene fatto riferimento devono

118 Alcuni autori sostengono che venga tutelata in modo esclusivo o principale

la sicurezza del sistema informatico o telematico, consistente nella capacità tecnica e nella idoneità a diffondere e veicolare una serie di comunicazioni tra una pluralità di soggetti, impedendo al contempo che il circuito in questione possa essere interrotto o alterato. A tale considerazione viene risposto sottolineando la presenza di diverse fattispecie nel codice dedicate espressamente alla tutela della sicurezza informatica o telematica come gli artt. 615 ter,615 quater, art. 615 quinquies, 635 bis nonché gli artt. 302 e 420 c.p.). Va inoltre menzionata quella parte di dottrina che si colloca in una posizione mediana sottolineando come nella fattispecie in esame siano in evidenza la genuinità delle informazioni e la riservatezza delle stesse. Infine è riscontrabile la teoria per cui il bene giuridico sarebbe rappresentato dalla indisturbata fruizione del sistema da

essere considerate nella fase in cui vengono trasmesse. Infatti per quanto riguarda la comunicazione nel suo profilo “statico” è presente già l'art. 616 c.p. (Violazione, sottrazione e soppressione di corrispondenza )119. Di conseguenza l'art. 617 quater andrebbe a tutelare il profilo dinamico della corrispondenza. Caratteri imprescindibili sono quelli della personalità e attualità della conversazione. In merito al profilo personalistico, esso potrà essere desunto dallo strumentario utilizzato e dagli accorgimenti posti a salvaguardia della riservatezza della conversazione (si pensi alla predisposizione di una password a titolo di esempio). Inoltre è necessario che le comunicazioni avvengano tra soggetti determinati. Date queste considerazioni ne consegue che la presa di cognizione di una conversazione cristallizzata in un qualsiasi supporto fisico (cd- rom, hard disk etc.) rientrerà nell'ambito applicativo dell'art. 616 c.p. mentre la captazione della conversazione in atto integra l'art. 617 quater c.p..

Infine il legislatore ha scelto di tutelare sia le conversazioni relative ad un sistema informatico o telematico che quelle intercorrenti tra due sistemi. Una scelta poco felice che ha finito per generare due diverse letture. La prima sostiene che in tal modo vengono tutelate sia le conversazioni trasmesse da e dirette ad un sistema informatico, sia i casi in cui il mittente/ricevente non sia classificabile come sistema informatico o telematico. La seconda interpretazione ha un approccio contenutistico: il legislatore avrebbe fatto riferimento al fatto che le conversazioni tra sistemi informatici o telematici si occupino dei sistemi in questione, ad esempio per permettere che la comunicazione

parte del relativo gestore, avvicinando così la norma all'art. 615 ter.

119 F. TAVASSI LA GRECA, Hacking e criminalità informatica,

tra loro abbia inizio.