Le diverse figure di danneggiamento informatico introdotte nel codice penale dalla legge 547/1993 e le esigenze di riforma

Uno sguardo più da vicino all’intervento in tema di danneggiamento informatico, realiz-zato con la legge n. 547 del 1993, mi pare necessario per poter cogliere il senso complessivo della riforma attuata con la legge n. 48 del 2008.

a) Recependo le indicazioni del Consiglio d’Europa, era stata innanzitutto inserita all’terno dei delitti contro il patrimonio una figura “generale” di danneggiamento di sistemi in-formatici e telematici (art. 635-bis c.p.) che, ricalcando pressoché pedissequamente quella tra-dizionale (art. 635 c.p.), reprimeva le aggressioni all’integrità e alla funzionalità tanto della componente materiale (il ‘sistema informatico’) quanto di quella immateriale, rappresentata da “programmi, informazioni o dati altrui”². Si era invece rinunciato all’introduzione di un’ulteriore fattispecie di “sabotaggio informatico” che, stando alla Raccomandazione del 1989, avrebbe dovuto reprimere condotte di danneggiamento di dati e programmi, o di inge-renza in un sistema informatico, che fossero accompagnate dall’intenzione di “ostacolare il funzionamento di un sistema informatico o di un sistema di telecomunicazione”. A questo proposito, è stata verosimilmente ritenuta sufficiente la tutela assicurata ai “sistemi informati-ci” (oltreché ai dati e ai programmi) con l’introduzione del nuovo art. 635-bis c.p. e con l’am-2 Prima della sua sostituzione ad opera della legge n. 48 del 2008, l’art. 635-bis c.p. disponeva: “Chiunque

distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero pro-grammi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni”.

Claudia Pecorella 142

pliamento dell’art. 420 c.p., avente ad oggetto sistemi informatici di pubblica utilità3.

Anteriormente all’entrata in vigore della legge n. 547 del 1993, la giurisprudenza aveva ritenuto applicabile la figura tradizionale del danneggiamento di cose altrui (art. 635 c.p.) all’illegittima cancellazione di un programma, in considerazione della “inservibilità” del si-stema informatico che ne era derivata⁴. Coerentemente con quella soluzione, l’unica pronun-cia edita sul reato di danneggiamento informatico, successivamente introdotto nel codice pe-nale, si è limitata a ribadire la punibilità della cancellazione di dati dalla memoria di un com-puter ai sensi dell’art. 635 c.p., pervenendo peraltro ad escludere l’operatività retroattiva della disposizione speciale, contenuta nell’art. 635-bis c.p., per la sanzione più grave in essa previ-sta⁵. Per il danneggiamento informatico era, infatti, prevista la stessa pena (reclusione da sei mesi a tre anni) originariamente contemplata per il danneggiamento aggravato di cose ai sensi del secondo comma dell’art. 635 c.p.: una soluzione non del tutto comprensibile – perché “la dimensione informatica di un delitto non deve essere considerata in quanto tale una circostan-za aggravante del delitto stesso”⁶ – e diventata ancora più problematica da quando, con il d.lgs. n. 274 del 2000, il delitto tradizionale di danneggiamento è stato devoluto alla compe-tenza penale del giudice di pace, alla quale è estranea l’applicazione della pena detentiva.

A parte questo profilo, la nuova fattispecie di danneggiamento informatico risultava, da un lato, inutilmente e pericolosamente ampia nell’espressa menzione delle “informazioni” (accanto ai dati e ai programmi) tra i beni suscettibili di aggressione – perché si prestava a far rientrare nella più grave figura delineata dall’art. 635-bis c.p. il “danneggiamento” di infor-mazioni non ancora (o non più) codificate in dati, ma contenute su un supporto materiale, di tipo tradizionale, come un semplice foglio di carta – e dall’altro lato, eccessivamente delimita-ta nel richiedere che i dati e i programmi oggetto di danneggiamento informatico fossero “al-trui”. Non solo valevano anche qui le ragioni che, con riferimento alla fattispecie tradizionale di danneggiamento, avevano evidenziato la necessità di tutelare anche il titolare di un diritto di godimento su beni altrui, proprio nei confronti di condotte aggressive poste in essere dal proprietario del bene, ma appariva insuperabile la difficoltà di attribuire un diritto di proprietà su cose incorporee come i dati informatici e del tutto inadeguata una soluzione interpretativa che identificasse sempre e comunque nel proprietario del supporto, sul quale i dati fossero sta-ti registrasta-ti, la persona avente diritto di disporre dei dasta-ti stessi⁷.

Con riguardo infine alle circostanze aggravanti contemplate nel secondo comma dell’art. 635-bis c.p., a parte l’inapplicabilità di gran parte di quelle contenute nel comma 2 dell’art. 635 c.p. al quale veniva fatto rinvio, particolarmente ambigua risultava quella consistente nel-l’abuso della “qualità di operatore di sistema”, per le incertezze interpretative cui dava luo-3 Nella sua originaria formulazione, l’art. 420 c.p., sotto la rubrica “Attentato a impianti di pubblica utilità”, prevedeva che la pena della reclusione da uno a quattro anni, comminata nel primo comma per i fatti diretti a

danneggiare o distruggere impianti di pubblica utilità, fosse applicabile anche nel caso in cui l’attentato avesse

ad oggetto “sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti”. Il terzo e ultimo comma dell’art. 420 c.p. prevedeva poi una pena più severa (la reclusione da tre a otto anni) per l’ipotesi in cui dal fatto fosse derivata “la distruzione o il danneggiamento (…) del sistema, dei dati, delle informazioni o dei programmi, ovvero l’interruzione anche parziale del funzionamen-to (…) del sistema”.

4 Cfr. Pret. Torino, 23 ottobre 1989, Vincenti, in Foro it., 1990, II, c. 462 ss. con nota di R.CASO; App. To-rino, 29 novembre 1990, Vincenti, ivi, 1991, II, c. 228.

5 Cfr. Cass., sez. un., 9 ottobre 1996, Carpanelli, in Cass. pen., 1997, 2428 ss. con nota di G. TOMEI.

6 Così COMITE EUROPEEN POUR LES PROBLEMES CRIMINELS,La criminalité informatique – Rapport final,

Strasbourg, 1990, p. 23.

7 Cfr., in proposito, C. PECORELLA, Il diritto penale dell’informatica, rist. con aggiornamento, Padova, 2006, p. 204 ss.

La riforma dei reati di danneggiamento informatico ad opera della legge n. 48 del 2008 143

go; incertezze che erano destinate, tra l’altro, a riproporsi nei confronti di tutte le figure di rea-to informatico per le quali tale aggravante era pure prevista⁸. Controverso era risultato il si-gnificato della locuzione “operatore di sistema”, non corrispondente ad alcuna figura profes-sionale specifica nel campo dell’informatica, e quindi identificabile vuoi con l’amministratore di sistema, per i particolari poteri sull’elaboratore che ad esso competono – secondo la tesi più restrittiva e più condivisibile – vuoi con l’operatore al terminale, che di regola è sprovvisto di alcun potere operativo sul sistema propriamente detto⁹.

b) Sollecitata in ambito internazionale, ad opera questa volta del XV Congresso del-l’AIDP, è stata anche l’introduzione nel codice penale della disposizione che reprime la diffu-sione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quinquies c.p.)¹⁰. Nonostante l’impropria collocazione sistematica, quella figura di reato mira-va a rafforzare la tutela dell’integrità e della funzionalità di dati e sistemi informatici, attraver-so l’incriminazione di condotte pericolose (la diffusione, la comunicazione o la consegna di un programma “avente per scopo o per effetto il danneggiamento” di un sistema o dei suoi dati), in quanto prodromiche alla possibile realizzazione di un danneggiamento informatico da parte di chi fosse venuto in possesso di un programma avente quelle caratteristiche. La “forte” anti-cipazione della tutela realizzata attraverso l’art. 615-quinquies c.p. poteva ritenersi legittima, alla luce del principio di proporzione, per l’importanza che assumono nella nostra vita privata e pubblica l’integrità e la funzionalità dei sistemi informatici e dei dati che essi gestiscono.

Tralasciando le perplessità sollevate dalla dottrina sulla mancata previsione di un dolo specifico di danno all’interno della fattispecie, che avrebbe rimosso ogni dubbio sulla liceità della consegna di un programma virus ad un esperto informatico ai fini della individuazione di un possibile antidoto¹¹, il profilo davvero problematico del reato in esame mi pare fosse quello del rapporto con il danneggiamento informatico (art. 635-bis c.p.), che sarebbe stato integrato tutte le volte in cui il programma illecitamente diffuso o consegnato ad altri fosse stato poi effettivamente utilizzato da chi ne era venuto illecitamente in possesso. Più precisa-mente, sarebbe stata necessaria una coincidenza tra i fatti puniti, in via anticipata, attraverso l’art. 615-quinquies c.p. e quelli sanzionati, più gravemente e in uno stadio successivo, da tut-te le altre disposizioni che, in aggiunta all’art. 635-bis c.p., consideravano il danneggiamento dei sistemi informatici e delle loro componenti immateriali come elemento costitutivo o circo-stanza aggravante di un diverso reato.

8 Cfr. artt. 640-ter (frode informatica), 615-ter (Accesso abusivo a un sistema informatico) e 615-quater (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici), 617-quater (Intercettazione, impe-dimento o interruzione illecita di comunicazioni informatiche), 617-quinquies (Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche) e 617-sexies (Falsificazione, alterazio-ne o soppressioalterazio-ne del contenuto di comunicazioni informatiche) c.p.

9 Per le diverse interpretazioni, cfr. C. PECORELLA, Commento all’art. 615-ter, in E. DOLCINI-G.M ARINUC-CI (a cura di), Codice penale commentato, III ed., Milano, 2011; in giurisprudenza, per la configurabilità dell’ag-gravante in capo all’impiegato di banca, abilitato all’uso del terminale per registrare le quotidiane operazioni di cassa, cfr. M.M. ALMA-C.PERRONI,Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici, in Dir. pen. proc., 1997, p. 504 ss.

10 Anche su questa disposizione, come si vedrà, è intervenuto il legislatore del 2008; nella sua versione ori-ginaria, l’art. 615-quinquies c.p. prevedeva la pena della reclusione fino a due anni e della multa fino a 10.329 euro per “chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, a-vente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento”.

11 A ben vedere, tuttavia, all’estromissione di queste condotte dall’ambito di applicazione dell’art.

615-quin-quies c.p. si sarebbe potuto (e dovuto) già pervenire sul piano interpretativo, considerando rilevanti solo condotte

Claudia Pecorella 144

A questo riguardo, poco comprensibile appariva, all’interno dell’art. 615-quinquies c.p., il riferimento alla “interruzione, totale o parziale” e alla “alterazione” del funzionamento del si-stema, tra gli scopi o gli effetti possibili del programma oggetto di illecita diffusione, come eventi ulteriori rispetto al più generico “danneggiamento”. A quest’ultimo erano, infatti, ri-conducibili tutti gli eventi dannosi dai quali poteva derivare una responsabilità per il reato previsto nell’art. 635-bis c.p., e quindi anche l’inservibilità totale o parziale del sistema o dei suoi dati, che tra quegli eventi era contemplata e che era destinata a realizzarsi ogniqualvolta il funzionamento del sistema fosse stato “interrotto” o “alterato”.

Le inaccettabili conseguenze che potevano derivare da quella inopportuna duplicazione di concetti tra le due disposizioni (e più in generale, tra le diverse disposizioni in materia di dan-neggiamento informatico) si possono cogliere nella sentenza della Corte d’appello di Bologna sul caso Vierika, che costituisce uno dei due casi soltanto di diffusione di programmi “infetti” sui quali la giurisprudenza ha avuto occasione di pronunciarsi12. Dopo aver escluso che, nel caso specifico sottoposto al loro esame, l’abbassamento del livello di sicurezza impostato dall’utente per la selezione delle informazioni reperibili in Rete – che costituiva un effetto del programma Vierika – potesse qualificarsi come “danneggiamento del sistema” (ai sensi, in particolare, dell’art. 615-ter, comma 2, n. 3, c.p., per il quale in primo grado l’imputato era stato altresì condannato), i giudici bolognesi hanno ritenuto realizzata un’ipotesi di “alterazio-ne” del funzionamento del sistema, rilevante (esclusivamente) ai sensi dell’art. 615-quinquies c.p.13. A tal fine si è precisato che “alterare” il funzionamento di un sistema equivale a “mani-polarlo in modo che compia azioni non volute dall’utente, ovvero modificarne i parametri di funzionamento, anche secondo opzioni e possibilità previste nel programma stesso, contro la volontà dell’utilizzatore”. Attraverso quella interpretazione – che presuppone una sostanziale coincidenza tra la (mera) modifica del funzionamento del sistema informatico e la (diversa e più grave) “alterazione” di esso –, si era compromesso quel rapporto, che ritengo necessario, tra la norma che punisce la condotta prodromica (la diffusione di un programma diretto a danneggiare) e tutte quelle che sanzionano i suoi eventuali sviluppi successivi (la verificazio-ne del danno temuto). L’alterazioverificazio-ne del funzionamento del sistema, non comportando un vero e proprio danneggiamento del sistema, in base alla valutazione dei giudici del caso in esame, non sarebbe stata punibile ad alcun titolo in base alle diverse disposizioni in materia di dan-neggiamento informatico, che quel particolare evento (dannoso?) non menzionano; attraverso l’art. 615-quinquies c.p. si sarebbe potuto dunque punire una condotta “pericolosa” che, se fosse stata portata a conseguenze ulteriori, non avrebbe cagionato un danno penalmente rile-vante.

c) Vanno infine ricordate due diverse fattispecie di reato che erano state ampliate dal legi-slatore del 1993 in corrispondenza con la nuova figura generale di danneggiamento informati-co, contestualmente inserita nel codice penale. Si trattava, in particolare, del delitto di eserci-zio arbitrario delle proprie ragioni con violenza sulle cose (art. 392 c.p.) e dell’attentato a impianti di pubblica utilità (art. 420 c.p.), che erano stati oggetto di applicazione giurispru-denziale proprio in casi di danneggiamento informatico, come prima ho ricordato.

Rispetto al primo, si era ampliata la nozione di violenza sulle cose attraverso, tra l’altro, il 12 In un altro caso, il fumus di questo reato era stato ravvisato nella comunicazione di un dialer che, per so-stituire il sistema di connessione in uso con un altro a prezzo maggiorato, aveva provocato per un brevissimo las-so di tempo l’interruzione della connessione alla Rete del sistema informatico: cfr. Trib. La Spezia, 23 settembre 2004, in Giur. merito, 2005, 3, p. 615.

13 La sentenza della Corte d’Appello di Bologna sul caso Vierika è reperibile sul sito www.penale.it; per quella di primo grado, cfr. Trib. Bologna, 21 luglio 2005, in Corr. merito, 2006, p. 759 ss. con nota di F. D’AR

La riforma dei reati di danneggiamento informatico ad opera della legge n. 48 del 2008 145

riferimento alla “alterazione, modificazione o cancellazione di un programma informatico”. A questo riguardo mi limito a segnalare che, se proprio rispetto ad un caso di cancellazione di un programma informatico si era posto in passato il problema dell’applicabilità del reato di esercizio arbitrario delle proprie ragioni con violenza sulle cose (non essendo configurabile nel caso concreto il danneggiamento, perché l’autore era proprietario del programma)¹⁴, sareb-be stato opportuno che anche il danneggiamento dei dati fosse ricompreso nell’ambito della de-finizione di violenza sulle cose, diretta per di più ad operare “agli effetti della legge penale”.

Per quanto riguarda, invece, il secondo, si era chiarito che anche i sistemi informatici (e non solo gli impianti) dovessero essere “di pubblica utilità” perché l’aggressione a essi ri-volta potesse integrare il reato in esame e risultare offensiva del bene tutelato (l’ordine pub-blico), e si era estesa la punibilità alle condotte aventi ad oggetto “dati, informazioni o pro-grammi” contenuti in quei sistemi o “ad essi pertinenti”. Un corrispondente ampliamento aveva subito l’ultimo comma dell’articolo in esame, che prevedeva un aggravamento della pena per l’ipotesi in cui si verificasse la “distruzione o il danneggiamento” del sistema o dei suoi dati e programmi, ovvero la “interruzione anche parziale del funzionamento” del siste-ma. Si riproponevano quindi le stesse perplessità già segnalate sull’espressa menzione delle “informazioni” tra i beni suscettibili di aggressione e sulla “inspiegabile difformità di lin-guaggio”15 nell’indicazione degli eventi dannosi al cui verificarsi conseguiva l’aggravamen-to della sanzione.

In conclusione, si può affermare che le disposizioni sul danneggiamento informatico inse-rite nel codice penale con la legge n. 547 del 1993 non si segnalassero all’attenzione del legi-slatore per la necessità di urgenti modifiche (diversamente da quelle sulla frode informatica e sull’accesso abusivo), anche alla luce della scarsa applicazione giurisprudenziale che esse a-vevano ricevuto. L’occasione offerta dall’attuazione della Convenzione di Budapest ben si prestava, tuttavia, ad un intervento di “correzione” di alcuni aspetti specifici di singole dispo-sizioni, per assicurarne in futuro un’applicazione coerente con gli obiettivi di tutela perseguiti: alludo all’ampliamento della nozione di violenza sulle cose contenuta nel terzo comma del-l’art. 392 c.p., alla eliminazione delle “informazioni” tra i beni suscettibili di danneggiamento informatico e all’ampliamento della tutela apprestata dall’art. 635-bis c.p. ai beni informatici nei confronti delle aggressioni realizzate (eventualmente anche dal proprietario, laddove un diritto di proprietà sia configurabile) in violazione di un diritto altrui. Più in generale, mi sembrava necessario intervenire sulla formulazione delle diverse disposizioni, per assicurare un miglior coordinamento tra loro e, rispetto all’aggravante dell’abuso della qualità di opera-tore di sistema, per dare indicazioni univoche alla giurisprudenza sulla ratio di quella maggio-re punibilità.