La legge 18 marzo 2008 n. 48, nel ratificare e dare esecuzione alla Convenzione del Consiglio d’Europa sulla criminalità informatica, ha introdotto nel nostro ordinamento i reati informatici. Ad alcune di tali fattispecie è stata estesa anche la responsabilità amministrativa degli enti, attraverso la previsione dell’art.
24 bis del Decreto.
Si tratta, in particolare, delle seguenti fattispecie di reato, schematicamente riassunte qui di seguito.
Articolo Fattispecie Sanzione pecuniaria Sanzione interdittiva
491 – bis c.p. Falsità in un
documento informatico
fino a 400 quote si: divieto di contrattare con la pubblica
amministrazione;
esclusione da
agevolazioni, finanziamenti,
contributi o sussidi e revoca di quelli già concessi; divieto di pubblicizzare beni o servizi
640 – quinquies c.p. Frode informatica del soggetto che presta
servizi di
certificazione di firma elettronica
fino a 400 quote si: divieto di contrattare con la pubblica
amministrazione;
esclusione da
agevolazioni, finanziamenti,
contributi o sussidi e revoca di quelli già concessi; divieto di pubblicizzare beni o servizi
88 615 – ter c.p. Accesso abusivo ad un
sistema informatico o telematico
da 100 a 500 quote si: interdizione dall’esercizio
dell’attività,
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
615 – quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematico pubblicizzare beni o servizi sistema informatico o telematico pubblicizzare beni o servizi
617 – quater c.p. Intercettazione, impedimento o
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
89 617 – quinquies c.p. Installazione di
apparecchiature atte ad
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
635 – quater c.p. Danneggiamento di sistemi informatici o telematici
da 100 a 500 quote si: interdizione dall’esercizio
dell’attività,
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
90 635 – quinquies c.p. Danneggiamento di
sistemi informatici o telematici di pubblica utilità
da 100 a 500 quote si: interdizione dall’esercizio
dell’attività,
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione
dell’illecito; divieto di pubblicizzare beni o servizi
Si noti che l’art. 1 bis del d.l. 21 settembre 2019 n. 105, convertito con modificazioni dalla l. 18 novembre 2019 n. 133, ha introdotto nel nostro ordinamento il c.d. Perimetro di sicurezza nazionale cibernetica, con la finalità di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati che hanno sede nel territorio nazionale e da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. Il comma 11 bis del medesimo articolo ha introdotto un nuovo reato presupposto, sanzionando la condotta delle società che ostacolino o comunque condizionino i procedimenti di predisposizione ed aggiornamento degli elenchi di reti, sistemi informativi e servizi informatici rilevanti ai fini del perimetro di sicurezza nazionale, ovvero la comunicazione al CVCN dell’affidamento di forniture di beni, sistemi e servizi ICT, o le attività ispettive e di vigilanza in materia. Considerato che al momento non sono ancora stati emanati i decreti per l’esatta individuazione degli enti pubblici e privati che rientrano nel Perimetro di sicurezza nazionale cibernetica, non si ritiene che sussista un rischio di commissione per la Società, con la conseguenza che per ora il relativo Reato Presupposto non è stato qui considerato. La Società si impegna comunque ad intervenire sulla presente Parte speciale non appena l’ambito della normativa in questione sarà stato delineato, e ove ciò fosse necessario.
*****
Per agevolare la lettura e la consultazione del Modello, e vista la sua finalità, si riporta qui di seguito una sintetica descrizione degli illeciti per cui è prevista la responsabilità amministrativa. Nella disamina, viene seguito il medesimo ordine dell’art. 24 bis del Decreto.
Accesso abusivo ad un sistema informatico (art. 615-ter c.p.)
La norma sanziona il fatto di chi, similmente a quanto avviene per la violazione fisica del domicilio, si introduce abusivamente o si trattiene contro la volontà espressa o tacita di chi ha diritto ad escluderlo in un sistema informatico protetto da misure di sicurezza.
L’accesso al sistema informatico è considerato abusivo quando vi sia un’obiettiva violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso.
Al pari dell’accesso, la norma punisce anche la condotta di chi si mantenga in un sistema informatico contro la volontà – sia essa espressa o tacita – del titolare del sistema.
La giurisprudenza ha ritenuto configurabile il reato anche nel caso in cui un soggetto che sia legittimato ad accedere ad un sistema e a mantenervisi vi operi per conseguire finalità illecite o, comunque, diverse da
91
quelle per cui era stato autorizzato dal titolare dello stesso sistema.
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)
La norma punisce la condotta di chi fraudolentemente intercetta comunicazioni relative ad un sistema telematico o intercorrenti tra più sistemi, ovvero volontariamente le interrompe o le impedisce.
La stessa norma punisce anche chiunque riveli, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto di dette comunicazioni.
Per “intercettazione” si intende la presa di cognizione del contenuto della comunicazione, che si realizza tramite l’intromissione in questa; per “interruzione” ed “impedimento” si intende il compimento di atti idonei rispettivamente a far cessare una comunicazione in corso e ad impedire che una nuova abbia inizio.
Installazione di apparecchiature atte ad intercettare impedire o interrompere comunicazioni telematiche (art. 617-quinquies)
La norma sanziona l’installazione di apparecchiature adatte ad intercettare, impedire o interrompere le comunicazioni relative ad un sistema informatico, anche quando non sia seguita da alcuna effettiva attività di intercettazione, interruzione o impedimento.
Fattispecie di danneggiamento (635-bis – 635-quinquies c.p.)
Gli artt. 635 bis e seguenti sanzionano una serie articolata di fattispecie che hanno il proprio elemento comune in condotte di danneggiamento volontario di dati e sistemi informatici.
L’art. 635 bis, anzitutto, sanziona il danneggiamento volontario di programmi o dati informatici. Il comportamento punito è quello di chi distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui.
L’art. 635 ter punisce chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità.
L’art. 635 quater punisce il danneggiamento di sistemi informatici o telematici ed in particolare il fatto di chi, ponendo in essere una delle condotte di cui all’art. 635 bis finalizzate al danneggiamento di programmi e dati, ovvero mediante l’introduzione o trasmissione di dati, informazioni o programmi, danneggia il funzionamento di un intero sistema informatico.
L’art. 635 quinquies punisce le medesime condotte indicate dall’art. 635 quater, quando abbiano ad oggetto sistemi informatici o telematici di pubblica utilità.
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematica (art.
615-quater c.p.)
La norma sanziona la condotta di chi, al fine di ottenerne un profitto od arrecare un danno, abusivamente diffonde, comunica, consegna, riproduce o si procura codici, parola chiave o altri mezzi idonei a consentire l’accesso ad un sistema informatico protetto da misure di sicurezza.
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)
La norma sanziona la condotta di chi, allo scopo di: (i) danneggiare illecitamente un sistema informatico o telematico, ovvero le informazioni, i dati e i programmi in esso contenuti o ad esso pertinenti; ovvero (ii) favorire l’interruzione, totale o parziale, o l’alterazione del funzionamento del sistema, si procura, produce, riproduce, importa, diffonde, comunica, consegna o comunque mette a disposizione di altri apparecchiature, dispositivi o programmi informatici (c.d. virus informatici).
92
La diffusione può avvenire sia con la messa in circolazione di virus attraverso le reti telematiche sia con la materiale introduzione degli stessi nei sistemi sia con la loro incorporazione in supporti informatici sia con la messa a disposizione di detti supporti.
Falsità in documenti informatici (art. 491-bis c.p.)
La norma in questione estende le fattispecie di reato previste dal capo dedicato alle falsità in atti, ai casi in cui esse si la falsità abbia ad oggetto documenti di tipo informatico, intendendosi con “documento informatico”, la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.
Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art.
640-quinquies c.p.)
L’articolo sanziona il fatto del soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato.
2. AREE A RISCHIO
Devono ritenersi, astrattamente, aree a rischio, tutte le attività di soggetti che accedono, nell’ambito delle loro competenze aziendali, alla rete informatica e ne facciano uso.
In concreto, la tipologia delle fattispecie delittuose in esame consente di limitare le possibili attività illecite nell’interesse di Belron Italia alle seguenti attività:
- alterazioni e falsificazioni di documenti elettronici pubblici o privati;
- attività di spionaggio o sabotaggio per via informatica dirette a concorrenti, pubblici o p r i v a t i (creazione, modifica, alterazione di dati altrui; accesso abusivo in altrui sistemi; modifiche non autorizzate e programmi altrui e loro danneggiamento, detenzione indebita di password di accesso a sistemi altrui; intercettazione fraudolenta di altrui comunicazioni informatiche; installazione di dispositivi volti a tale illecita attività; diffusione di virus, ecc.).