di Claudia Pecorella
3. Il deludente intervento del legislatore del 2008
Niente (o quasi) di quello che ci si poteva aspettare è stato realizzato con la legge n. 48 del 2008, che ha moltiplicato le figure di danneggiamento informatico, rendendo autonome le fattispecie, rispettivamente, di danneggiamento di dati e programmi (art. 635-bis c.p.) e di danneggiamento di sistemi informatici (art. 635-quater c.p.) – come suggerito dalla
Conven-14 Cfr. Trib. Torino, 12 dicembre 1983, Basile, in Giur. it., 1984, II, c. 352 ss. con nota di A. FIGONE.
15 Così F. MANTOVANI, Diritto penale. Parte speciale I, Delitti contro la persona, Padova, 2005, p. 504, per il quale quella difformità, frutto di una sorta di “logorrea legislativa”, comprometterebbe “il necessario ordine sistematico” delle disposizioni in esame.
Claudia Pecorella 146
zione di Budapest – e affiancando a ciascuna di esse una corrispondente ipotesi speciale, ca-ratterizzata dalla pubblica utilità dei dati e dei programmi (art. 635-ter c.p.) e dei sistemi (art. 635-quinquies c.p.), nonché dall’anticipazione della tutela penale secondo il modello del delit-to di attentadelit-to proprio dell’art. 420 c.p., che è stadelit-to, infatti, abrogadelit-to in quella sua parte.
Non si tratta tuttavia di una mera risistemazione di norme già contemplate nell’ordina-mento: il legislatore ha proceduto anche a una loro riformulazione, che purtroppo, se non ha evitato la riproposizione di quegli stessi aspetti problematici prima evidenziati, ha finito col rendere particolarmente complesse fattispecie di reato che nella loro versione originaria erano certamente più chiare e altrettanto (se non maggiormente) ampie nella ricomprensione dei fat-ti di danneggiamento informafat-tico ritenufat-ti meritevoli di sanzione penale.
Sul piano sanzionatorio, la distinzione introdotta, tra danneggiamento di dati e danneg-giamento di sistemi, ha comportato per quest’ultima ipotesi un inasprimento della pena, per-ché dalla reclusione da 6 mesi a 3 anni – prevista dall’originario art. 635-bis c.p. per il dan-neggiamento informatico e oggi solo per quello rivolto alla componente logica –, si è perve-nuti alla reclusione da 1 a 5 anni. Invariata è rimasta invece, rispetto a quella in precedenza comminata nell’art. 420 c.p., la pena per le due ipotesi di attentato, nei confronti delle quali nessun diverso disvalore è attribuito alla circostanza che sia l’intero sistema informatico di pubblica utilità a essere coinvolto dall’aggressione anziché solo i suoi dati o programmi: una soluzione che poteva essere ragionevole quando anche il danneggiamento dei dati e dei siste-mi era sottoposto ad un medesimo trattamento sanzionatorio, ma che genera oggi disarmonie nel sistema, per l’indubbia maggiore gravità che viene ad essere attribuita al danneggiamento di dati di pubblica utilità rispetto all’ipotesi generale (anticipazione della rilevanza penale alla soglia dell’attentato e contestuale inasprimento del minimo e del massimo edittale, oltreché perseguibilità d’ufficio), anziché al danneggiamento di sistemi di pubblica utilità che, pur in presenza della stessa anticipazione della tutela, viene punito con una sanzione uguale nel mi-nimo e addirittura inferiore nel massimo, rispetto a quella contemplata per la figura base dall’art. 635-quater c.p.
Va anche segnalata l’estensione ai delitti di attentato a dati e sistemi di pubblica utilità delle stesse circostanze aggravanti previste per le altre ipotesi di danneggiamento informatico: al riguardo, se meritevole di apprezzamento è la razionalizzazione del rinvio alle circostanze previste dal secondo comma dell’art. 635 c.p. – oggi limitato a quella dell’uso di violenza alla persona o di minaccia –, non si può certo salutare con favore il più esteso impiego di quella consistente nell’abuso della qualità di operatore di sistema, per quella sua intrinseca ambigui-tà, cui ho in precedenza accennato e alla quale il legislatore del 2008 non ha posto rimedio.
Venendo poi alla formulazione delle nuove fattispecie, si può notare che la figura base di danneggiamento di dati e programmi (art. 635-bis c.p.) riproduce per lo più il testo dell’art. 4 della Convenzione sul Cybercrime: l’ipotesi della “inservibilità totale o parziale” dei dati e dei programmi che, sulla falsariga della fattispecie tradizionale, era inserita nell’originario art. 635-bis c.p., è stata sostituita con le diverse ipotesi della “cancellazione, alterazione e sop-pressione” degli stessi. Un’operazione che, se da un lato ha aggiunto eventi dannosi già ri-compresi nella norma (cancellare o sopprimere dati e programmi corrisponde, in termini più appropriati, a quella che veniva e viene ancora indicata come loro “distruzione”), dall’altro lato rischia di sollevare problemi sulla consistenza della “alterazione”, alla luce della (ben la-ta) interpretazione di questo termine, accolta dalla Corte d’appello di Bologna nel caso Vieri-ka prima ricordato. Con una vena di ottimismo si può tuttavia sperare che proprio la presenza di questa ipotesi all’interno di una disposizione volta a reprimere il danneggiamento dei dati, e la sua equiparazione, nella descrizione del fatto tipico, ad altre ipotesi di indubbia connota-zione lesiva induca la giurisprudenza ad un’interpretaconnota-zione filologicamente corretta di quel termine, che ne colga la differenza rispetto alla mera “modificazione”.
La riforma dei reati di danneggiamento informatico ad opera della legge n. 48 del 2008 147
Più problematica è forse la scomparsa dalla fattispecie dell’ipotesi della “inservibilità”, che si prestava a ricomprendere tutte quelle forme di danneggiamento informatico che non comportano né una cancellazione né un deterioramento dei dati e dei programmi, ma ne com-promettono la funzionalità: è il caso, ad esempio, di quegli interventi sui dati che li rendono inaccessibili al legittimo utente del sistema, come l’introduzione di una chiave d’accesso pri-ma inesistente. Oggi quelle condotte sono rilevanti ai sensi del più grave reato di danneggia-mento di sistemi, ove determinino l’inservibilità del sistema stesso e sempreché si realizzino con una di quelle modalità richieste dall’art. 635-quater c.p. per la punibilità del fatto: la cau-sazione ai dati o ai programmi di uno degli eventi indicati dall’art. 635-bis c.p., ovvero “l’in-troduzione o la trasmissione di dati, informazioni e programmi”. Solo a queste condizioni – che solo l’esperienza applicativa potrà chiarire se esaustive o meno – risulta oggi penalmente rilevante la “distruzione, il danneggiamento o l’inservibilità totale o parziale” del sistema, co-sì come il fatto di aver ostacolato gravemente il suo funzionamento; di sicuro può dirsi che il danneggiamento (ivi compresa la distruzione) di un sistema informatico, che non sia causato da un intervento sulla sua componente logica, non ricadrà nell’art. 635-quater c.p., ma sarà punibile in base alla disposizione, molto meno grave, sul danneggiamento di cose (art. 635 c.p.), con la quale concorrerà quella sul danneggiamento dei dati e dei programmi (art. 635-bis c.p.), ogniqualvolta questi ultimi siano indirettamente coinvolti16.
Il danneggiamento dei sistemi informatici ha perso dunque quella connotazione di reato causale puro che aveva l’originario art. 635-bis c.p. e che ancora possiedono l’art. 635 c.p. e il nuovo art. 635-bis c.p.: a questo risultato si è pervenuti, più o meno consapevolmente, nel-l’intento di rendere la normativa italiana sul punto il più aderente possibile alle indicazioni contenute nell’art. 5 della Convenzione sul Cybercrime, che caratterizza il reato di System in-terference proprio nella causazione senza diritto di “un serio ostacolo al funzionamento di un sistema informatico, attraverso l’introduzione, la trasmissione, il danneggiamento, la cancel-lazione, il deterioramento, l’alterazione o la soppressione di dati”.
Non posso tuttavia non rilevare che l’allineamento alle indicazioni della Convenzione è mancato proprio in quelle parti che avrebbero consentito di risolvere alcuni dei difetti della nostra normativa originaria: alludo all’espressa menzione del danneggiamento di “informa-zioni” – che sarebbe scomparsa, a favore di un generico riferimento ai “dati”, senz’altro com-prensivo dei dati che formano un programma informatico – e al requisito della “altruità” di dati, programmi e sistemi informatici, che sarebbe stato sostituito da una clausola di illiceità espressa, equivalente all’espressione inglese without right utilizzata dalla Convenzione.
Qualche considerazione infine sulle modifiche che hanno riguardato l’art. 615-quinquies c.p. e che hanno trasformato sensibilmente la fattispecie originaria, trasferendo sul piano dell’elemento soggettivo quei caratteri di oggettiva pericolosità che prima dovevano possede-re i programmi oggetto di diffusione illecita. In base alla sua nuova formulazione, la norma punisce un ampio spettro di condotte, aventi ad oggetto programmi informatici, dispositivi o apparecchiature, non altrimenti qualificati, la cui pericolosità, rispetto alla possibile futura realizzazione di un danneggiamento informatico, deriva soltanto dallo scopo perseguito dal-l’agente. È solo il dolo specifico di danno, il cui oggetto viene dettagliatamente indicato dalla legge (e ricomprende il danneggiamento del sistema o dei suoi dati, così come la volontà di favorire l’interruzione o l’alterazione del funzionamento del sistema), che rende punibili delle condotte di per sé neutre, consistenti nel diffondere o mettere in qualsiasi modo a disposizione
16 Alla stessa conclusione si deve pervenire rispetto alla corrispondente figura del danneggiamento di siste-mi informatici di pubblica utilità (art. 635-quinquies c.p.), che risulta integrata quando “il fatto di cui all’art. 635-quater” è diretto a cagionare uno degli eventi dannosi menzionati in questa disposizione.
Claudia Pecorella 148
di altri quegli strumenti, ovvero nel procurarsene in vario modo la disponibilità (producendoli, riproducendoli o importandoli).
Per sottrarre l’art. 615-quinquies c.p. a una censura d’illegittimità costituzionale è indi-spensabile un’interpretazione costituzionalmente orientata che ne circoscriva l’applicazione alle sole condotte oggettivamente idonee (oltreché soggettivamente dirette) a realizzare uno degli scopi perseguiti dall’agente, in considerazione delle particolari caratteristiche o qualità dello strumento che hanno ad oggetto17. Certo è che l’introduzione di una disposizione siffatta non risultava imposta dalla Convenzione di Budapest, che all’art. 6 indica come meritevole di sanzione penale la condotta di chi, senza diritto, “produce, vende, si procura per l’uso, impor-ta, distribuisce o altrimenti rende disponibile ad altri: a) un dispositivo, compreso un pro-gramma informatico, progettato o predisposto essenzialmente per la commissione” di uno dei reati indicati (oltre al danneggiamento di dati e di sistemi, l’accesso abusivo e l’intercetta-zione di comunicazioni informatiche), avendo l’intenl’intercetta-zione che sia utilizzato proprio per la lo-ro commissione. Per adeguare a quelle indicazioni la fattispecie originariamente contemplata nell’art. 615-quinquies c.p. sarebbe stato sufficiente ampliare l’elencazione delle condotte pe-ricolose e soprattutto estenderne l’oggetto a quei dispositivi, diversi e ulteriori rispetto al pro-gramma informatico, aventi quella specifica funzionalità indicata dalla Convenzione.
Quanto all’anticipazione della tutela penale così realizzata – e che comunque si sarebbe realizzata, recependo le indicazioni della Convenzione – si deve tornare a fare i conti con il principio di proporzione, che se non risultava calpestato dall’incriminazione di condotte di diffusione di uno strumento pericoloso, come un programma virus o similare, non altrettanto pacificamente appare rispettato con l’incriminazione di condotte ancora più lontane dal-l’offesa, come quella di chi produce un siffatto programma o un dispositivo avente analoghe funzioni, sia pure allo scopo di realizzare un danneggiamento informatico.
17 Cfr., in proposito, L. PICOTTI,La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale, in Dir. pen. proc., 2008, p. 708 ss.
L’elemento soggettivo nei reati informatici 149