Nonostante l’esplosione a livello internazionale del fenomeno, non si riviene,
in alcuna disposizione giuridica sovranazionale una definizione specifica di
cybercrime
37.
Il temine cybercrime da molto tempo viene utilizzato, soprattutto dai media,
per raggruppare l’eterogenea gamma dei pericoli e degli illeciti che infettano il
cyberspace.
Questo vuoto normativo ha fatto si che in dottrina ci si interroghi circa il
rapporto intercorrente tra la nozione di “crimini cibernetici” e la nozione di
“criminalità informatica”, altrettanto priva di una specificazione giuridica
internazionalmente riconosciuta, nonostante il suo utilizzo in numerose fonti
interne e sovranazionali e la recente menzione tra i crimini che, ai sensi dell’art.
83, par. 1, del Trattato sul funzionamento dell’Unione (TFUE), rientrano nella
competenza penale diretta dell’Unione europea
38.
Pur in assenza di una enunciazione specifica si può affermare con certezza
che un crimine per poter rientrare nella categoria dei “reati informatici” deve
criminalità informatica sul mercato unico digitale, sull’economia digitale e sulle attività on line. Molti soggetti decidono di non sfruttare appieno tutte le possibilità offerte da Internet per timore della cyber criminalità: le due principali preoccupazioni riguardano l’abuso dei dati personali e la sicurezza dei pagamenti on line (rispettivamente secondo il 37% e il 35% degli intervistati).
37 I cybercrimes sono i crimini che vengono realizzati nel cyberspace: per questo forse sarebbe più appropriato parlare di cyberspace crimes. Cfr. WALL D. S., Cybercrime: The transformation of crime in the information age, Cambridge, 2007, p. 10 ss.
38 Per un’approfondita analisi dell’impatto della competenza penale riconosciuta all’Unione europea a seguito delle modifiche apportate al TFUE dal Trattato di Lisbona, adottato nel 2007 ed entrato in vigore nel 2009, che, oltre ad aver consolidato le basi del cd. diritto penale europeo, ha abolito la divisione in “pilastri” che in precedenza contraddistingueva la struttura istituzionale europea e riconosciuto il valore giuridicamente vincolante della Carta di Nizza, v. GRASSO G.,
PICOTTI L., SICURELLA R. (a cura di), L’evoluzione del diritto penale nei settori di interesse europeo alla luce del Trattato di Lisbona, Milano, 2011.
presentare una connessione con l’informatica ovvero con il trattamento e/o
trasmissione dell’informazione mediante procedure automatizzate
39.
La genericità di tale requisito, pur presentando il pregio di attagliarsi
perfettamente alla fluente mutevolezza delle forme criminose nell’informatica,
non permette all’espressione in esame di assumere un preciso significato tecnico-
giuridico ai fini esegetici e sistematici.
Focalizzando l’attenzione sulla “tipicità” del fatto costitutivo dei reati
informatici nel diritto positivo vigente, in dottrina si è evidenziato come essa
includa sempre un “elemento tecnico” tra i requisiti indispensabili per produrre
l’offesa ai beni giuridici tutelati
40.
Sulla base di tale acquisizione è possibile tracciare una distinzione tra reati
informatici in senso stretto e reati informatici in senso lato, a seconda che la
tecnologia informatica rappresenti il tratto distintivo o solamente eventuale del
mezzo tipico, della modalità di realizzazione della condotta o dell’oggetto passivo
offeso
41.
39 Cfr. La definizione di computer crimes in OECD (ORGANISATION FOR ECONOMIC
COOPERATION AND DEVELOPMENT),Computer-related Criminality: Analysis of legal Policy in the OECD Area (a cura di Briat U., Sieber U.), PIIC n. 10, Parigi, 1986. In relazione alle prime definizioni di “criminalità informatica” cfr., con ampi richiami alla bibliografia nazionale ed internazionale di riferimento, PICOTTI L.,Studi di diritto penale dell’informatica, Verona, 1992, p.
13 ss. V. inoltre ZICCARDI G., International Encyclopaedia of Laws – Cyber Law. Italy, The
Netherlands, 2012, p. 303 ss.
40 Cfr. PICOTTI L., La nozione di «criminalità informatica» e la sua rilevanza per le competenze penali europee, in Rivista trimestrale di diritto penale dell’economia, n. 4/2011, p. 845 ss.
41 Già agli inizi degli anni ottanta Sarzana suggeriva la distinzione tra un diritto penale dell’informatica in senso ampio, concernente quegli illeciti penali «comunque connessi all’uso del computer», ed un diritto penale dell’informatica in senso stretto, definibile come «quel gruppo di norme giuridiche con le quali lo Stato proibisce mediante la minaccia di una pena, determinati specifici comportamenti umani nel campo dell’informatica». Cfr.SARZANA C., Note sul diritto penale dell’informatica, in La Giustizia Penale, n. 1/1984, p. 21 ss.
Si ascrive alla prima tipologia, ad esempio, il reato di accesso abusivo ad un
sistema informatico previsto dall’art. 615 ter c.p.
42.
Tra i reati informatici in senso lato vanno invece annoverati tutti quei reati che
presentano una formulazione “elastica” passibile di applicazione nel caso di
connessione del fatto con l’informatica. Basti a tal riguardo considerare la
fattispecie di cui all’art. 171 ter lett. b) della Legge 22 aprile 1941, n. 633
43: anche
se il legislatore non ha espressamente previsto elementi di tipizzazione connessi
alla tecnologia informatica, non vi sono dubbi circa la possibilità di commettere
tale reato per via informatica, riproducendo ad esempio l’opera cartacea protetta
in formato elettronico.
A seguito di questa prima distinzione chiarificatrice è necessario tornare al
quesito di partenza, ovvero valutare se la relazione che intercorre tra l’ampia
categoria dei reati informatici e quella dei reati cibernetici sia di inclusione stretta
o si possano solamente individuare aree di intersezione tra le due.
42 L’art. 615 ter c.p. sanzione fatto di chi «abusivamente si introduce in un sistema informatico telematico protetto da misure di sicurezza ovvero che si mantiene contro la volontà espressa tacita dici al diritto di escluderlo». Per un’analisi della fattispecie v. SALVADORI I., L’ accesso abusivo ad un sistema informatico telematico. Una fattispecie paradigmatica dei nuovi
beni giuridici emergenti del diritto penale dell’informatica, in PICOTTI L.(a cura di), Tutela penale
della persona e nuove tecnologie, Padova, 2013, p. 125 ss.
43 L’art. 171 ter lett. b) della legge n. 633/1941 sulla “Protezione del diritto d’autore e di altri diritti connessi al suo esercizio” (l.d.a.) punisce, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire, chiunque a fini di lucro e per uso non personale «abusivamente riproduce, trasmette o diffonde in pubblico, con qualsiasi procedimento, opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico-musicali, ovvero multimediali, anche se inserite in opere collettive o composite o banche dati». Per uno sguardo sintetico e complessivo alla tutela penale dei diritti d’autore cfr. FLOR R., Concezione dualistica dei diritti d’autore e tutela penale: quali prospettive per la rivalutazione della
componente personalistico?, in PICOTTI L. (a cura di), Tutela penale della persona e nuove
Il tratto distintivo dei reati cibernetici è da scorgere nella loro realizzazione e
proiezione nel cyberspace.
In modo particolare si parla di reati cibernetici in senso stretto (o proprio) in
relazione ai reati informatici in senso stretto contraddistinti dal riferimento alla
rete nella formulazione normativa.
Ne è un esempio la messa a disposizione del pubblico di un’opera
dell’ingegno protetta tramite immissione in un sistema di reti telematiche di cui
all’art. 171 lett. a) bis della legge n. 633/1941
44.
Con l’espressione reati cibernetici in senso lato (o impropri) si indentificano,
invece, i reati realizzabili solo eventualmente in rete, per la presenza di elementi
costitutivi suscettibili di applicazione, in via interpretativa, alla specifica modalità
o sede di commissione nel cyberspace.
A tal riguardo si considerino ad esempio i reati di ingiuria o di diffamazione
di cui agli artt. 594, 595 c.p.
45, o ancora al reato di sostituzione di persona ex art.
494 c.p.
46.
In questa categoria potrebbero anche essere annoverati tutti quei reati
tradizionali non informatici (né in senso ampio, né in senso stretto), quali ad
44 In materia, molto interessante il caso “sky-calcio libero”, affrontato dalla Corte di Cassazione nella sent. 10 ottobre 2006, n. 33945, con nota di FLOR R., La rilevanza penale dell’immissione abusiva in un sistema di reti telematiche di un’opera dell’ingegno protetta: bene
iudicat qui beni distinguit?, inIl Diritto dell’Informazione e dell’Informatica, n. 3/2007, p. 557 ss.
In riferimento al reato di cui alla legge n. 633/1941, art. 171 lett. a) bis, ed ai problemi inerenti al sequestro preventivo di siti web cfr. FLOR R., Sequestro preventivo di siti web e abusiva trasmissione telematica di programmi televisivi. Nota a G.i.p. Trib. Milano (ord.), 07.1.2013, Giud. Ghinetti, in penalecontemporaneo.it, 15 Marzo 2013.
45 Cfr. PICOTTI L., Profili penali delle comunicazioni illecite via Internet, cit., p. 283 ss.; PIOLETTI U.,Ingiuria, diffamazione e reti sociali, in Giurisprudenza di merito, n. 12/2012, p. 2652
ss.; TABARELLI DE FATIS S.,Prospettive di riforma del delitto di diffamazione, con particolare
riferimento alla diffamazione on-line, in PICOTTI L. (a cura di), Tutela penale della persona e
nuove tecnologie, cit., p. 193 ss.
46 In argomento cfr. la recente sentenza della Corte di Cassazione, 23 aprile 2014, n. 25774, con commento di SANSOBRINO F.,Creazione di un falso account, abusivo utilizzo dell’immagine di una terza persona e delitto di sostituzione di persona, in penalecontemporaneo.it, 30 Settembre 2014.
esempio quelli associativi, in cui l’utilizzo della rete diviene elemento
contraddistintivo della fase preparatoria e quindi non influenza in alcun modo la
tipicità della fattispecie. In questi casi il coinvolgimento di Internet ha delle
ripercussioni importanti soprattutto dal punto di vista processuale, condizionando
in primis la sfera investigativa e probatoria nel suo complesso.
Riprendendo la matrice di Wall (riportata nel precedente paragrafo)
ritroveremo le stesse distinzioni: i “traditional crimes using computer” non sono
altro che i reati cibernetici in cui l’utilizzo della reta ha risvolti non sul piano della
tipicità ma su quello processuale; gli “hybrid‘ cybercrimes” coincidono con i reati
cibernetici impropri, mentre i “true cybercrimes” sono i reati cibernetici in senso
stretto.
Per valutare quali nuove fenomenologie criminose rientrino in quest’ultima
categoria, a fronte del fatto che la maggior parte dei “true cybercrimes” non sono
stati ancora disciplinati e tipizzati dal legislatore, il Prof. Wall suggerisce un
semplice “transformation test”, consistente nel considerare che effetto avrebbe
l’eliminazione dell’elemento della rete
47.
Schematizzando il ragionamento si potrebbe affermare che:
1. Se eliminando la rete il comportamento criminoso rimane inalterato, ci
troviamo dinnanzi ad un traditional crime using computer;
2. Se eliminando la rete il comportamento criminoso continua ad esistere, ma
non su così ampia scala e con la stessa diffusione, si tratta di un hybrid
cybercrime;
3. Se eliminando la rete anche il comportamento criminoso scompare, allora
è un true cybercrime.
Ma, se a causa della mancata traduzione di questi nuovi fenomeni in
fattispecie legislative ad hoc, la maggior parte dei true cybercrimes costituiscono
47 Cfr. WALL D.S.,Policing Cybercrimes: Situating the Public Police in Networks of Security within Cyberspace, in Police Practice & Research: An International Journal, 8(2), p. 183 ss., consultabile on line in ssm.com.