UNIVERSITA’ DI PISA
DIPARTIMENTO DI GIURISPRUDENZA
LAUREA MAGISTRALE
Reati informatici e ordinamento italiano:
il panorama e le prospettive di riforma
Il Candidato Il Relatore
Dario Vasta Chiar.ma Prof.ssa Emma Venafro
Alla mia famiglia, sempre vicina. A Zio Giovanni, a Nonna Rosa e a Suor Edvige: maestri di vita.
Reati informatici e ordinamento italiano:
il panorama e le prospettive di riforma
INTRODUZIONE...7
CAPITOLO PRIMO I REATI INFORMATICI: LA CATEGORIA, LA STORIA, I BENI TUTELATI 1.1 I reati informatici: caratteristiche e definizione ...9
1.2 Computer crimes e cyber crimes: differenze...10
1.3 L'evoluzione normativa dei reati informatici in Italia: le prime figure di reato...12
1.4 La Convenzione di Budapest sul Cybercrime e la sua attuazione...14
1.5 Reati informatici e beni giuridici: visione unitaria o pluralistica?...16
1.6 Collocazione sistematica ...21
1.7 Reati informatici: oggetto e condotta materiale ...23
CAPITOLO SECONDO IREATIINFORMATICINELCODICEPENALE Sezione prima (reati contro il patrimonio mediante frode) 2.1.1 Art. 640 ter: La Frode Informatica ...25
2.1.2 La condotta tipica: non più “artifici e raggiri” ma alterazione del sistema ...26
2.1.3 Frode informatica e atto di disposizione patrimoniale...29
2.1.4 Le diverse concezioni dell'evento di danno; frode informatica e dolo specifico...30
2.1.5 Le aggravanti speciali ...31
2.1.6 Rapporti con altri reati...31
2.1.7 Un esempio di frode informatica: nascita, uso e abuso del dialer...32
2.1. 8 Art 640 quinquies: la frode del certificatore ...34
2.1.9 La condotta ...35
2.1.11 Il rapporto tra frode informatica e i reati riguardanti le carte magnetiche Bancomat ...38
2.1.12 Il Phishing...40
Sezione seconda (reati contro la fede pubblica) 2.2.1 Il falso informatico: dalla prassi giurisprudenziale alla modifica del 2008...44
2. 2.3 La richiesta di efficacia probatoria del documento informatico e natura del documento: aspetti definitori ...45
2.2.4 Documento falso e puniblità ...47
2.2.5 Falsificazione ed elemento soggettivo ...47
2.2.6 Le false dichiarazioni al certificatore ...48
Sezione terza (reati contro l'integrità di dati e programmi informatici) 2.3.1 I Danneggiamenti informatici: la storia ed una visione d'insieme ...49
2.3.2 Danneggiamento di informazioni,dati o programmi informatici ...52
2.3.3 Il danneggiamento di dati o programmi “pubblici”...57
2.3.4 Il danneggiamento di sistemi informatici e i problemi interpretativi del delitto di attentato a dati e sistemi informatici di pubblica utilità ...59
2.3.5 L'esercizio arbitrario delle proprie ragioni e l'informatica...61
Sezione quarta (la tutela del domicilio informatico) 2.4. Art. 615 ter c.p. : Accesso abusivo ad un sistema informatico o telematico ...62
2.4.1. Collocazione sistematica ...64
2.4.2 I primi sviluppi giurisprudenziali ...65
2.4.3 Il bene giuridico tutelato: prospettive interpretative ...66
2.4.4 Il domicilio informatico: caratteri strutturali, peculiarità e titolarità dello ius excludendi alios ...69
2.4.5 La legittimazione a sporgere querela...73
2.4.6 Il sistema informatico e telematico: una definizione ...73
2.4.7 Le misure di sicurezza: elemento costitutivo e strumento di protezione ...74
2.4.8 Giurisprudenza e misure di sicurezza ...76
2.4.9 Cenni sulle tipologie di misure di sicurezza e aggressioni informatiche ...77
2.4.10 Le modalità della condotta: accesso e trattenimento abusivi...79
2.4.11 L'elemento soggettivo: il dolo...83
2.4.12 Consumazione e tentativo...83
2.4.13 Le circostanze aggravanti...84
2.4.14 Rapporti con altri reati ...86
Sezione quinta (la tutela preventiva dei sistemi informatici) Le “norme di sbarramento”: la tutela anticipata nei reati informatici ...87
2.5.1 Dalla famiglia dei delitti di attentato alle norme di sbarramento ...87 2.5.2 Le c.d. Norme di sbarramento: caratteristiche generali e finalità ; cenni sulle
principali tipologie di software “dannoso” ...91
2.5.3 La detenzione e diffusione di codici di accesso a sistemi informatici o telematici 93 2.5.4 Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico...96
Sezione sesta (La tutela della liberta' e riservatezza delle comunicazioni) 2.6.1 Il bene giuridico tutelato e la definizione di “comunicazione informatica o telematica”...97
2.6.2 Le condotte: definizioni ...100
2.6.3 L'elemento soggettivo ...101
2.6.4 Le circostanze aggravanti...101
2.6.5 L'installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche...102
CAPITOLO TERZO REATIINFORMATICIERESPONSABILITA’DEGLIENTICOLLETTIVI 3.1 Le ragioni dell'intervento normativo del 2001...105
3.2 Quale natura giuridica per la responsabilità degli enti collettivi? ...107
3.2 I principi cardine della disciplina ...108
3.3 I soggetti destinatari della disciplina e i criteri di imputazione...110
3.3 La colpa di organizzazione dell'ente...112
3.4 Responsabilità dell'ente e reati informatici...115
CAPITOLO QUARTO REATI INFORMATICI E TUTELA DEL DIRITTO D’AUTORE Introduzione ...119
4.1 La concezione dualistica del diritto d'autore ...120
4.2 Un quadro sistematico ...121
4.3 Reati volti a tutelare la dimensione patrimoniale del diritto d'autore...123
4.4 Differenze delle risposte sanzionatorie concernenti la tutela del diritto d'autore “patrimoniale” e “morale” ...124
4.6 L'art. 171 bis: la tutela penale dei programmi per elaboratore ...128
CAPITOLO QUINTO
PROFILI DI RESPONSABILITA’ PENALE DEISERVICEPROVIDERS
5.1 La disciplina ...133
5.2 Il panorama giurisprudenziale e dottrinale : dall'ipotesi di responsabilità “da link” al caso Google vs Vividown ...136
5.3 Considerazioni conclusive ...145
CONCLUSIONI ...147
BIBLIOGRAFIA E SITOGRAFIA ...150
INTRODUZIONE
Nella realtà odierna, a fronte di uno sviluppo tecnologico tale che ha portato a definirla come “società dell'informazione”, il diritto penale si trova ad affrontare nuove affascinanti sfide. Per prima cosa vi è il generale ed inevitabile problema che deve affrontare il legislatore in qualsiasi campo del diritto ovvero quello di creare e modificare la normativa andando al passo coi tempi, e adattandola così allo sviluppo sociale, economico e tecnologico. Tema ancora più delicato nel caso del mondo dell'informatica dove il progresso negli ultimi tempi è stato talmente repentino da non essere immaginabile nemmeno pochi anni fa. Proprio per questo il primo capitolo sarà dedicato ad un'analisi dello sviluppo dei reati informatici sia a livello sovranazionale che sul piano del diritto interno. Successivamente sarà affrontata una tematica che sicuramente meriterebbe una trattazione dedicata, e che tratta del complesso e affascinante tema del beni giuridici e dei diritti della personalità, un percorso teorico che in più di un punto incrocia la via dei reati informatici. Una volta analizzato il substrato teorico, sarà opportuno dedicare la nostra attenzione alla disciplina nel nostro ordinamento, in primo luogo concentrando lo studio sulle fattispecie incluse nel codice penale.
In base al bene giuridico tutelato, sarà possibile analizzare le fattispecie di frode informatica,i reati di falso informatico, i danneggiamenti informatici, e l’accesso abusivo ad un sistema informatico e telematico. Inoltre sarà necessario soffermarsi, nella quinta sezione del capitolo, su quella importante serie di reati elaborati in un’ottica di anticipazione della tutela penale, le c.d. “norme di sbarramento”.E ancora, nella sesta sezione, sarà la volta di un’analisi
con riguardo alla tutela della libertà e riservatezza delle comunicazioni informatiche e telematiche.
Per completare il “panorama” dei reati informatici nell’ordinamento italiano esamineremo anche la legislazione speciale.
Infatti, nel capitolo terzo, verrà presa in considerazione la tematica della responsabilità penale degli enti collettivi, con riguardo ai reati informatici come reati – presupposto.
Sarà poi affrontata, nel quarto capitolo, la disciplina della tutela penale del diritto d’autore inerente all’ambito dei reati informatici.
Nel quinto capitolo verranno fatti cenni ad un tema che di recente è emerso anche nel contesto italiano, in particolare per via di un celebre caso al quale verrà fatto riferimento: la responsabilità degli internet service providers.
Infine, si trarranno le fila dell'articolato tema dei reati informatici in Italia, sottolineandone alcuni profili di criticità.
Capitolo primo
I REATI INFORMATICI: LA CATEGORIA, LA STORIA, I BENI TUTELATI
1.1 I reati informatici: caratteristiche e definizione
La peculiare caratteristica che connota la categoria di tali reati è quella di essere connessi con l'informatica. Con tale termine viene fatto riferimento alle “procedure ed attività di elaborazione e trattamento automatizzato di dati ed informazioni”. Come autorevole dottrina ha opportunamente evidenziato1, questa peculiarità si articola sotto tre diversi aspetti:
1) sotto il profilo delle modalità di realizzazione della condotta e i mezzi utilizzati, 2) la natura dell'oggetto materiale su cui ricade la condotta criminosa o l'evento, 3) esistenza di nuovi particolari beni giuridici. Per quanto concerne il primo aspetto basti pensare alle nuove possibilità di intervento,manomissione e accessibilità ai dati che fornisce oggi la tecnologia. Facendo riferimento all'oggetto materiale, invece, si intende indicare l'oggetto su cui la condotta viene ad articolarsi, tenendo presente come esso non sia limitato solo ad una res fisicamente tangibile, ma tale nozione deve essere estesa anche a dati,informazioni o programmi. Infine è stata oggetto di analisi in dottrina la possibilità di configurare nuove figure di beni giuridici, tutelati nelle fattispecie dei reati informatici, dotati di una loro
autonomia rispetto a quelli pre-esistenti. A titolo di esempio è sufficiente il richiamo alla tutela del c.d. domicilio informatico o al bene giuridico della integrità di dati o programmi. La dottrina penalistica ha sviluppato, nel corso degli anni, diverse accezioni di “reati informatici” tra le quali ricordiamo una delle più restrittive, di origine statunitense, che definisce i computer crimes come quelli la cui riuscita presuppone una conoscenza specifica della tecnologia elettronica. E' da sottolineare come oramai si siano superate concezione così limitative, anche sotto l'impulso di studi svolti a livello sovranazionale, fino a poter affermare che computer crimes sono, semplicemente, quelle figure di reato che concernono l'informatica. D'altra parte è opportuno tener presente i caratteri peculiari, come quelli indicati ad inizio capitolo, affinché la categoria possa avere una sua specificità e caratterizzazione.
1.2 Computer crimes e cyber crimes: differenze.
Molto utile, al fine dell'inquadramento dei reati informatici, risulta essere la concezione per “insiemi” elaborata da autorevole dottrina2. Questa impostazione metodologica e teorica sottolinea il cruciale momento di passaggio, a metà degli anni novanta, che ha visto come protagonista Internet. Dall'essere uno strumento prevalentemente militare, esso diviene aperto ed accessibile ad una sempre più ingente schiera di soggetti-utenti: l'informatizzazione del pianeta ha così avuto inizio. Se ciò ha indubbiamente reso più agevole e rapida la circolazione di una mole impressionante di informazioni e dati in ogni
2 L.PICOTTI, La tutela penale della persona e nuove tecnologie dell'informazione, Cedam, 2013, p.53
parte del globo, ha consentito anche l'emergere di un nuovo tipo di criminalità legata, appunto, al fenomeno Internet: il Cybercrime. Ecco che possiamo idealmente suddividere il macro insieme del Cyberspace nei due sotto-insiemi dei computer crimes e dei cyber crimes. Tra i primi figurano senz'altro quei reati informatici definibili “in senso stretto” aventi elementi tipizzanti ( oltre a rientrare nella categoria in base alle modalità di attuazione ,oggetto su cui ricade la condotta, peculiari beni giuridici) del mondo dell'informatica (connessi quindi a procedimenti di elaborazione automatizzata di dati secondo un programma). D'altra parte non è possibile negare l'esistenza di reati informatici “in senso lato” , privi degli elementi di tipicità dei reati informatici in senso stretto ma che, per quella che è la loro conformazione elastica ed ampia possono essere interpretati in chiave evolutiva3. I reati definiti come “cibernetici” vedono tra le loro fila quei reati che possono essere realizzati nel Cyberspace, da intendersi come spazio virtuale in grado di consentire lo scambio, con una rete capillare, di informazioni in tutto il mondo. Si tratta, in questo caso, di reati commessi “in rete” 4. Il novero dei reati commessi nel web non si esaurisce in quelli appena descritti: si pensi a situazioni nelle quali sia riscontrabile il ricorso alla rete ma, allo stesso tempo, non venga realizzato il fatto di reato trattandosi solamente di condotte di natura preparatoria,accessoria o strumentale5. Valga come esempio l'attività via rete di una associazione di natura terroristica o di stampo mafioso. La dottrina tende a sottolineare come in tale caso non si possa parlare
3 Si pensi al reato di agevolazione o rivelazione in qualsiasi modo della conoscenza, da parte di terzi non legittimati, di una notizia che debba rimanere segreta che, dopo essere stata memorizzata in un sistema informatico, venga poi rivelata tramite la copia del file.
4 Un esempio è rappresentato dal reato di diffamazione commesso a mezzo internet (attraverso un social network, un blog etc. etc.). Giova ricordare anche la diffusione in rete di materiale pedopornografico o il reato di riciclaggio a mezzo internet (il c.d. cyberlaundering).
di reati cibernetici, almeno in senso stretto, dato che non è riscontrabile la presenza di elementi tipici. Proprio in conseguenza di questo quadro complesso ed articolato, la stessa Convenzione Cybercrime del Consiglio d'Europa prevede non solo l'obbligo di inserire fattispecie penali rientranti nella categoria del reati informatici in senso stretto (dall'accesso abusivo ai sistemi informatici e telematici alle frodi, dalle falsità documentali ai danneggiamenti di sistemi), contemplando vuoi la previsione di reati informatici in senso lato (come la pedopornografia a mezzo internet) e parimenti alcune tra le primarie violazioni del diritto d'autore qualora commesse in rete o tramite un sistema informatico.
1.3 L'evoluzione normativa dei reati informatici in Italia: le prime figure di reato
La prima fattispecie a fare riferimento alla “elaborazione di dati” nel panorama italiano, è da ritenersi l'art. 420 c.p. come novellato a seguito dell'art.1 del d.l. 21 marzo 1978 n.59. Si trattava di un intervento in materia di antiterrorismo - era ancora recente l'attentato al Centro elaborazione dati della motorizzazione civile6 – ed il legislatore volle intervenire con lo scopo di incriminare in modo non solo più grave ma anche in via autonoma, rispetto al danneggiamento comune, il danneggiamento ad impianti di pubblica utilità, di ricerca o di elaborazione dati. Una norma che verrà riformulata in seguito al primo vero complesso normativo nel nostro codice penale in tema di reati informatici, nel 1993 con la l.547. Prima di siffatto intervento, nel
6 Si trattava, in particolare, di un attentato volto ad evitare il riconoscimento della falsità delle targhe apposte a veicoli rubati e poi utilizzati a scopi delittuosi.
1981, veniva previsto il delitto di comunicazioni o uso da parte di un pubblico ufficiale di dati ed informazioni in violazione della disciplina o dei fini previsti nella nuova normativa in tema di Pubblica Sicurezza7. Dieci anni dopo, sempre nel campo della legislazione speciale, si interviene per arginare l'uso del denaro contante con lo scopo di combattere il riciclaggio e, nella medesima cornice normativa,viene inserita una figura di reato che punisce chi utilizza indebitamente carte di credito o di pagamento o altre analoghe carte che abilitino al prelievo di denaro contante o alla prestazione di beni o servizi ovvero la loro falsificazione od alterazione o il possesso, la cessione, l'acquisto di carte di tale tipo o documenti, se di provenienza illecita, o comunque falsificati o alterati. Il vero punto di svolta, dato che rappresenta un vero intervento di natura sistematica, pur essendo ancora concernente il territorio della legislazione speciale, è a seguito del d-legisl. 29 dicembre 1992 n.518 che, a sua volta, è attuativo della direttiva CEE n.91/250 del 14 maggio 1991 con riguardo alla tutela giuridica dei programmi per elaboratore. L'anno successivo, grazie alle Raccomandazioni ad opera del Consiglio d'Europa8, il legislatore si determina ad intervenire con una legge, la n.547, portatrice di ampie “modificazioni ed integrazioni alle norme del codice penale e di procedura penale in materia di criminalità informatica”. Una legge quanto mai necessaria ed opportuna per fronteggiare i comportamenti delittuosi commessi via computer o web ovvero ai danni di sistemi informatici altrui, che la normativa tradizionale non poteva descrivere efficacemente, se non leggendola in chiave evolutiva, a scapito però del rispetto dei principi di legalità,tassatività e determinatezza che connotano il diritto penale. L'armamentario tecnico-giuridico di cui poteva disporre il giurista, infatti, non era adatto a sanzionare i
7 Art. 12 l. n.121/1981
comportamenti che si stavano affermando nel mentre che , sul piano internazionale, sorgeva la pressante esigenza di una risposta punitiva adeguata.
1.4 La Convenzione di Budapest sul Cybercrime e la sua attuazione
Il 23 Novembre 2001, consapevole della rilevanza e della necessità di
agevolare l'omogeneizzazione della disciplina dei reati informatici tra gli Stati parte, il Consiglio d'Europa approvava la c.d. Convenzione di Budapest sul Cybercrime per offrire un minimo standard di tutela dei beni giuridici offesi dai cyber crimes. In ragione di questo fine, la Convenzione prevede, innanzitutto, una serie di modelli di incriminazione proprio per agevolare l'auspicata armonizzazione di tutela. Inoltre viene previsto un apposito sistema di collaborazione tra organismi nazionali ed internazionali. Vengono fornite anche delle definizioni terminologiche per quanto concerne, ad esempio, la nozione di sistema informatico (da intendersi come qualsiasi apparecchiatura o un gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico dei dati sulla base delle indicazioni fornite dal programma di software), la nozione di dati informatici (qualsiasi tipo di rappresentazione di fatti, informazioni o concetti idonei ad essere oggetto di trattamento ed elaborazione da parte di un programma o di un sistema informatico). Negli articoli seguenti il testo suggerisce l'introduzione, negli ordinamenti interni degli Stati Parte, di normative volte a sanzionare determinate condotte tipiche di aggressione ai sistemi informatici9. Dopo aver descritto,
succintamente, tali fattispecie, ricorda come queste condotte delittuose debbano essere sanzionate con “pene effettive,proporzionate e dissuasive, ricomprendenti anche la privazione della libertà personale10”.Inoltre non va dimenticato che nel testo della Convenzione viene anche prevista la possibile responsabilità delle persone giuridiche nel caso in cui i delitti informatici, seppur commessi da persone fisiche, siano stati realizzati con lo scopo di soddisfare un interesse o far perseguire un vantaggio all'ente collettivo cui appartengono o di cui si trovano ad essere dipendenti. Infine risultano significative anche disposizioni strettamente procedurali in materia di indagini e in tema di giurisdizione11.
L'iter che porterà alla legge di ratifica 48/2008 è quantomeno complesso, in questa sede basterà ricordare che il relativo disegno di legge viene presentato nel giugno del 2007 e il 19 febbraio 2008, in tempi molto brevi con il consenso sostanzialmente unanime di maggioranza ed opposizione, viene trasmesso il testo alla Camera con un unico emendamento (concernente l'art 4 che concerne l'art 615 quinqies), il 20 avviene l'approvazione e la trasmissione al Senato per giungere poi al voto finale il 27 febbraio 200812. La rapidità dell'iter, secondo parte della dottrina, ha comportato talune manchevolezze ed incongruenze della novella da parte del legislatore che, consciamente, ha voluto adeguare l'ordinamento italiano ai dettami del Consiglio d'Europa nel più breve tempo possibile. Volendo riassumere il novero
intercettazione illegale, di falsificazione informatica, di attentato all'integrità dei dati e dei sistemi, di abuso di apparecchiature, di violazione della proprietà intellettuale, di pornografia infantile.
10 Art. 13 della Convenzione
11 L'art 22 afferma che “per limitare l'area delle fattispecie non punibili a causa dell'ontologica delocalizzazione del crimine informatico, per i reati indicati, ogni ordinamento debba perseguire le condotte commesse nel territorio di ciascuno Stato Parte della Convenzione.
12 L.PICOTTI, La ratifica della Convenzione Cybercrime del Consiglio d'Europa, dir. pen. e proc.. n.6/2008
delle modifiche apportate dalla l.48/2008, è possibile dividerle in una serie di sotto-gruppi: modifiche in materia di falsità informatiche (dall'intervento definitorio di documento informatico alla nuova fattispecie di false dichiarazioni al certificatore e alla nuova configurazione del delitto di frode informatica), novelle concernenti i delitti contro la sicurezza e l'integrità di dati e sistemi ( la riformulazione dell'art 615 quinquies, le modifiche al reato di danneggiamento di dati informatici, la nuova figura del danneggiamento di sistemi informatici e telematici, l'abrogazione del delitto di attentato informatico e l'inserimento delle fattispecie di danneggiamento di dati di pubblica utilità e danneggiamento di sistemi di pubblica utilità), la responsabilità da reato degli enti per i reati informatici.
1.5 Reati informatici e beni giuridici: visione unitaria o pluralistica?
Per far fronte alla mancanza di un sistema organico dei reati informatici nel nostro ordinamento, dato che nell'attuale disegno normativo non è possibile certo parlare di un corpus disciplinare unitario in tema di reati informatici, non sono mancate in dottrina letture volte a scorgere, in tutte le fattispecie in questione, un unico bene giuridico tutelato consentendo in tal modo una sorta di “reductio ad unum” concettuale.
Viene sostenuto infatti, da parte di autorevoli autori13, che“sarebbe ontologicamente percepibile una dimensione unitaria del fenomeno come prodotto della tecnologia informatica,telematica,cibernetica” in
modo da individuare un unico oggetto di tutela consistente nella “affidabilità e sicurezza del ricorso alla tecnologia informatica,telematica e cibernetica”14.
D'altro canto è possibile obbiettare che la dislocazione normativa dei reati informatici sembra essere indicativa di una pluralità di beni giuridici. Non solo il legislatore disciplina la materia sia nel codice penale che nella legislazione speciale ma, anche considerando solamente le figure codicistiche, è evidente come i reati informatici siano stati collocati all'interno di titoli e capi preesistenti (già preposti alla tutela di determinati beni giuridici). Appare indispensabile, al fine di uno studio approfondito delle fattispecie in esame, esaminare quali possano essere i beni giuridici della persona dotati di rilevanza, e quindi oggetto di tutela, nell'ambito dei reati informatici. Particolarmente illuminante viene ad essere l'analisi offerta da Picotti15 che affronta una suddivisione in quattro macro categorie in base ai beni protetti. Quale primo bene giuridico esaminato, è menzionato il diritto ad una sfera esclusiva e sicura di riservatezza informatica. Viene affermato come, tentando un approccio diverso da quello meramente analogico che tende ad assimilare sul piano concettuale questi “nuovi beni giuridico-informatici” con quelli tradizionalmente intesi, debba essere riconosciuto un carattere autonomo ed innovativo del predetto bene in questione. Il diritto alla “riservatezza informatica” implica il riconoscimento di una sfera personale protetta che consente, al titolare, uno jus excludendi alios in modo da essere garantito da intrusioni ed interferenze indesiderate. Questo spazio informatico-cibernetico potrà assumere la forma di un social network, un settore in un complesso aziendale, determinati servizi messi a disposizione da un provider.
14 F.R. FULVI ,La Convenzione, cit. p.642
15 L.PICOTTI,La tutela penale della persona e nuove tecnologie
Occorre inoltre ricordare il legame sussistente tra la riservatezza e la sicurezza informatica, che comunque hanno una loro autonomia concettuale. La riservatezza informatica infatti può essere vulnerata sia da condotte aggressive potenzialmente dannose del sistema e dei dati in esso contenuti nonché delle misure di sicurezza relative, sia da accessi abusivi da parte di soggetti privi di legittimazione, anche nel caso in cui non vi sia un'effettiva conoscenza di particolari e specifici contenuti di carattere informativo. La tutela di questo spazio informatico consiste nel poterne garantire la riservatezza e l'esclusività dell'accesso. Oltre all'accesso abusivo, vi sono altre norme volte a tutelare il bene giuridico in questione: basti pensare ai delitti di detenzione e diffusione abusiva di codici di accesso (art. 615-quater), di diffusione di dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico (art. 635-bis), di danneggiamenti informatici (art. 635-bis e segg.). Con riferimento al bene giuridico della riservatezza informatica merita una menzione quanto previsto dalla Decisione quadro dell'Unione Europea 2005/222/GAI con riferimento agli attacchi ai sistemi di informazione16 nell’intento “di migliorare la cooperazione tra le autorità giudiziarie e le altre autorità competenti degli Stati membri, compresi la polizia e gli altri servizi
16 In particolare:
Articolo 2 : Accesso illecito a sistemi di informazione 1. Ciascuno Stato membro adotta le misure necessarie affinché l’accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato, almeno per i casi gravi. 2. Ciascuno Stato membro può decidere che i comportamenti di cui al paragrafo 1 siano punibili solo quando il reato è commesso violando una misura di sicurezza.
Articolo 3 :Interferenza illecita per quanto riguarda i sistemi. Ciascuno Stato membro adotta le misure necessarie affinché l’atto intenzionale di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l’immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l’alterazione, la soppressione di dati informatici o rendendoli inaccessibili sia punito come reato se commesso senza diritto, almeno per i casi gravi.
Articolo 4: Interferenza illecita per quanto riguarda i dati. Ciascuno Stato membro adotta le misure necessarie affinché l’atto intenzionale di cancellare, danneggiare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione sia punito come reato se commesso senza diritto, almeno per i casi gravi.
specializzati incaricati dell’applicazione della legge, mediante il ravvicinamento delle legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione”.
Inoltre è possibile ricondurre tale bene, sul piano dei diritti fondamentali della persona, all'art 7 della Carta di Nizza17 nel quale viene tutelato il rispetto della vita privata.
Altro bene centrale che merita attenzione è la c.d. riservatezza e sicurezza delle comunicazioni informatiche che consta nell'interesse del singolo a non dover subire intercettazioni, o qualsiasi interferenza di natura illecita, nelle proprie comunicazioni telematiche (anche se possono non essere rivolte a persone determinate18). Si tratta di un diritto fondamentale che assume una importanza centrale nelle moderne società democratiche, essendo una delle varie declinazioni della più generale libertà di espressione. La stessa Convenzione sul Cybercrime prevede l'obbligo, da parte degli Stati Membri, di incriminare penalmente le c.d. “intercettazioni illecite19”. Nel nostro ordinamento, fin dai primi interventi in materia nel 1974, si è manifestata particolare attenzione nel tutelare tale bene e, con l'intervento del 1993, sono state inserite ben 3 figure che riguardano le intercettazioni di comunicazioni informatiche e telematiche, tra l'altro avendo come oggetto anche le condotte di carattere prodromico , assumendo i connotati di un “delitto-ostacolo” (come l'installazione di un'apparecchiatura volta ad intercettare) o successive (come può
17 “Rispetto della vita privata e della vita familiare
Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.”
18 Basti pensare al fenomeno delle chat on line o ai vari social network
19 Cfr. art 3 Convenzione Cybercrime : “Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system.”
esserlo una condotta di manipolazione di contenuti intercettati anche in maniera occasionale). La grande facilità e accessibilità dei contenuti informativi circolanti in rete, oggi, ha comportato anche il sorgere di fenomeni che hanno l'effetto di alterare la sicura e libera circolazione delle informazioni. Per questo motivo è stata avvertita l'esigenza, sia in sede nazionale che in un'ottica internazionale, di salvaguardare questo bene giuridico anche attraverso lo strumento sanzionatorio penale. Altrettanto fondamentale e meritevole di tutela è senz'altro il bene della protezione dei dati personali. Oggigiorno moltissimi servizi richiedono l'inserimento di contenuti informativi strettamente personali e la sfida che il legislatore (nazionale e non) deve affrontare è, in particolare, quella di operare nel modo migliore il bilanciamento tra la protezione della privacy del soggetto-utente e le esigenze di trattamento dati che risultino indispensabili per lo svolgimento di determinate attività. La stessa Carta di Nizza prevede la tutela della protezione dei dati di carattere personale, dando a questo diritto dignità e autonomia concettuale nei confronti del rispetto della vita privata e famigliare di cui all'art 720. A livello di ordinamento interno giova menzionare le norme in tema di violazioni su requisiti,condizioni e modalità essenziali da rispettare per il trattamento lecito dei dati21, le falsità di comunicazioni al Garante22, l'inosservanza di suoi provvedimenti23, l'omissione delle misure minime di sicurezza 24. Parte
20 All'art 8 viene infatti previsto che “Protezione dei dati di carattere personale: 1.Ogni
individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.”
21 Codice della Privacy 196/2003, art 167 22 Art 168
23 Art 170 24 Art 169
della dottrina auspica caldamente un intervento del legislatore di natura codicistica con lo scopo di inserire fattispecie penali per sanzionare condotte quali la violazione di condizioni e la irregolare acquisizione, trattamento,conservazione ed utilizzo dei dati personali25. Infine è opportuno ricordare la portata amplificatrice e il potenziamento, sotto il profilo sul piano dell'offensività, di condotte criminose nell’ambito del Cyberspace. Si faccia riferimento, ad esempio, alla lesione dell'altrui onore e reputazione o, a maggior ragione, la diffusione di materiale pedopornografico o l'incitazione al razzismo. Le loro peculiarità hanno portato alla elaborazione di fattispecie dedicate, talora con gli elementi caratterizzanti i reati informatici in senso stretto26.
1.6 Collocazione sistematica
E' stato già sottolineato che in una materia alquanto fluida, come quella dei reati informatici, data la rapidità del progresso tecnologico, il legislatore abbia difficoltà ad adattare il complesso normativo alle costanti novità che si susseguono. Allo stesso tempo è indubbia la scelta legislativa di inserire nel testo codicistico e non nella legislazione speciale il nucleo fondamentale dei reati informatici. Già nella commissione Pagliaro27 era riscontrabile la volontà di introdurre nel codice norme in materia di criminalità informatica quali le frodi, i
25 L.PICOTTI, op.cit.., p.69
26 Si veda, a proposito della pedopornografia virtuale, la richiesta di “tecniche di elaborazione grafica” tipiche di un intervento tramite computer (art 600 quater 1c c.p.) o, ancora, con riguardo alla diffusione di materiale razzista e xenofobo, al fatto che ciò possa avvenire tramite un sistema informatico (art 3, par 1, Protocollo addizionale del 28 gennaio 2003 alla Convenzione Cybercrime). 27 Commissione di professori universitari a nomina del Ministro di Grazia e
Giustizia Giuliano Vassalli, incaricata di redigere uno “Schema di legge delega per la riforma del codice penale” dal 1988 al 1992
falsi, le violazioni della riservatezza, la tutela dei segreti, la tutela della paternità delle opere dell'ingegno. Una scelta, coerente con quanto già elaborato in precedenza, è stata quella di non utilizzare una legge “speciale” ad hoc per i reati informatici28 bensì di prevedere le nuove norme nel cuore della normativa penale del nostro ordinamento e, contestualmente, di non rinchiudere le figure in questione in un autonomo capo o titolo29 bensì di inserirle accanto alle norme “tradizionali” corrispondenti30. Al di fuori del testo del codice penale rimangono quelle fattispecie che hanno un ruolo accessorio di natura sanzionatoria rispetto a discipline di carattere extrapenale: si pensi a titolo esemplificativo al diritto d'autore.
Volendo fornire un quadro d'insieme e seguendo la partizione voluta dal legislatore a partire dal 1993, è possibile distinguere all'interno dei 14 delitti introdotti nel libro II del codice penale: i reati contro il patrimonio mediante frode (si pensi alla fattispecie della frode informatica), i reati contro la fede pubblica (oggetto del nostro interesse saranno in particolare le falsità informatiche), i reati che vulnerano nuovi oggetti originati dal fenomeno informatico quali i dati ed i programmi ( a presidio dei quali sono presenti norme collocati vuoi nell'ambito dei reati contro il patrimonio, vuoi in altri titoli come quello dei reati contro l'ordine pubblico31), infine le figure volte a tutelare la c.d. riservatezza informatica (come l'accesso abusivo ai sistemi informatici e telematici). Oltre il testo codicistico ricordiamo la
28 Tale esperienza è, ad esempio, quella Portoghese grazie alla l. 17 agosto 1991, n.109
29 Il legislatore francese ha invece scelto tale via. Si veda il nuovo codice penale del 1994 nel quale è presente un capo dedicato a “tutti gli attentati ai sistemi di trattamento automatizzato di dati”. I falsi informatici invece rientrano nella categoria nelle falsità documentali.
30 Alla stregua di quanto avvenuto in Germania con la riforma del 1986 oppure in Spagna nel 1996 e in Austria a partire dal 1987.
31 In tale titolo è presente la fattispecie di “attentato ad impianti e sistemi informatici”.
disciplina in merito alla tutela dei dati personali (l.n. 675/1996: artt. 34,35,36,37) e al diritto d'autore.
1.7 Reati informatici: oggetto e condotta materiale
Anche se non è convincente l'idea di un bene giuridico unico per tutti i reati informatici, è comunque allo stesso tempo possibile pensare una seppur minima trattazione comune per quanto concerne l'oggetto materiale. Fondamentale risulta essere la definizione, fornita dalla Convenzione di Budapest, di sistema informatico32. Ciò che lo connota, anche per la dottrina, è la elaborazione di dati. E' da sottolineare la non rara ipotesi nella quale vi siano più elaboratori interconnessi tra loro che danno origine ad un unico macro-sistema di calcolo: per il diritto penale sussiste un solo sistema informatico. Le condotte illecite eventualmente tenute che abbiano come oggetto i diversi computer in questione dovranno essere prese in esame in maniera unitaria.
Per quanto concerne la condotta, occorre fare una riflessione globale su tale elemento nel contesto dei reati informatici: è pacifico che, in queste ipotesi, il soggetto attivo del reato impartisca ordini all'elaboratore per poi effettuare una più o meno corposa sequenza di operazioni. La peculiarità che merita attenzione è la distanza sotto il profilo temporale e spaziale tra l'azione condotta dal reo e il risultato conseguente agli ordini impartiti al computer. Gli effetti, difatti, vanno a concretizzarsi in un contesto spaziale e temporale diverso da quello
32 Definito come “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati”.
in cui si trova ad operare il soggetto agente. Si pensi a delle condotte che abbiano come oggetto una pluralità di personal computer33 (appartenenti ad un unico sistema in quanto posti in reciproca interconnessione), esse dovranno essere prese in considerazione in un'ottica unitaria, come una unica,complessa violazione criminosa34. Tutto ciò ha delle ripercussioni anche sulla tematica della giurisdizione: ai fini dell'individuazione della autorità giudiziaria competente territorialmente, la valutazione sarà tutt'altro che banale. La legge italiana, ai sensi dell'art. 6 c.p., dovrà essere applicata sia nel caso di scambio di dati avvenuto tra sistemi operanti in Italia, sia quando venga ad essere integrata in Italia solo una parte della condotta o dell'evento35.
33 Si prenda ad esempio una azienda che ha più postazioni pc. 34 C.SANTORIELLO E AA.VV., I reati informatici p.14 35 C.SANTORIELLO E AA.VV., op.cit.
Capitolo secondo
I REATI INFORMATICI NEL CODICE PENALE
Sezione prima
(reati contro il patrimonio mediante frode)
La frode informatica e la frode del certificatore informatico
2.1.1 Art. 640 ter: La Frode Informatica
L'articolo 640 ter c.p. è stato introdotto dalla l. 23 dicembre 1993 n.547 con lo scopo di punire quella condotta criminosa di chi “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati,informazioni o programmi ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”. Come verrà in seguito analizzato, il reato in esame risulta avere una struttura portante simile a quella del reato di truffa ex art. 640, avendone i medesimi elementi costitutivi ma, allo stesso tempo, differenziandosi poiché la condotta fraudolenta non investe una persona (eventualmente indotta in errore) bensì un sistema informatico o telematico in uso dalla stessa. Per quanto concerne il bene giuridico tutelato, è possibile riscontrare due letture differenti. La prima afferma che, mentre nel reato – modello della truffa oramai la maggioranza della dottrina parla di reato plurioffensivo, nel caso della frode informatica tale natura sarebbe da escludere. Infatti se il reato di cui al 640 c.p. ha una portata lesiva sia della libera auto determinazione della persona, sia del patrimonio
della stessa36, nel caso dell'art. 640 ter ciò non sarebbe possibile, dato che non può certo subire un pregiudizio personale la macchina oggetto della condotta di alterazione del sistema. La seconda linea ermeneutica, invece, lascia uno spazio al profilo plurioffensivo sostenendo che potrebbe essere leso il bene giuridico del funzionamento corretto del sistema in base all'assetto di fabbrica o secondo le impostazioni del proprietario dello stesso.
2.1.2 La condotta tipica: non più “artifici e raggiri” ma alterazione del sistema
Per apprezzare le differenze tra la fattispecie madre, il reato di truffa, e quella della frode informatica, è quantomai opportuno soffermarsi sulla natura della condotta nel reato ex art. 640 c.p.. Affinchè si possa avere la condotta fraudolenta del reato di truffa è opinione consolidata che, in primis, vengano posti in essere artifici o raggiri. Ciò ovviamente non risulta sufficiente in quanto è indispensabile che la condotta tipizzata abbia indotto in errore la vittima per poi far sì che avvenga l'atto di disposizione patrimoniale, generatore del duplice evento di ingiusto profitto con altrui danno. Per “artificio”, facciamo
36 La plurioffensività potrebbe anche essere ricavata in un'altra ottica, evidenziando non solo il pregiudizio inerente il singolo soggetto vittima degli artifici e raggiri ma, in aggiunta, la compromissione dei traffici commerciali e giuridici. A tale proposito la Cass.,sent. 6 maggio 2011, n. 17748: “Il bene giuridico tutelato dal delitto di frode
informatica, non può, dunque, essere iscritto esclusivamente nel perimetro della salvaguardia del patrimonio del danneggiato, come pure la collocazione sistematica lascerebbe presupporre, venendo chiaramente in discorso anche l'esigenza di salvaguardare la regolarità di funzionamento dei sistemi informatici - sempre più capillarmente presenti in tutti i settori più importanti della vita economica, sociale, ed istituzionale del Paese - la tutela della riservatezza dei dati, spesso sensibili, ivi gestiti, e, infine, aspetto non trascurabile, la stessa certezza e speditezza del traffico giuridico fondata sui dati gestiti dai diversi sistemi informatici. Un articolato intessersi, dunque, di valori tutelati, tutti coinvolti nella struttura della norma, che indubbiamente ne qualifica, al di là del tratto di fattispecie plurioffensiva,[...]”.
riferimento alla simulazione o dissimulazione della realtà esterna con lo scopo di ingenerare una falsa rappresentazione della realtà, mentre il “raggiro” è definibile come un’attività simulatrice sostenuta da parole o argomentazioni volte a far scambiare vero per ciò che tale non è. Se nella truffa il referente del reo risulta essere una persona fisica, la quale agirà in base alla percezione distorta etero-ingenerata, tale schema non può essere applicato alla frode informatica: solo un essere umano può cadere in errore, non una macchina.
La l. 547 del 1993 introduce un reato che presenta innovazioni legate proprio a tale evidente diversità, pur conservando la struttura di reato a forma vincolata, come la truffa. La condotta omissiva non ha diritto di cittadinanza nella fattispecie della frode informatica37, non sono difatti riscontrabili particolari dubbi38 sulla imprescindibilità della condotta attiva, il testo è chiaro in tal senso.
Come è noto la truffa è un reato che richiede la cooperazione della vittima. L'induzione in errore risulta essere un passaggio fondamentale nella dinamica della truffa: il reo, attraverso artifici o raggiri, induce in errore la vittima che, in base ad una falsa rappresentazione del reale ingenerata dalla condotta criminosa, giunge a realizzare l'atto di disposizione patrimoniale. E' pacifico che la condotta manipolatrice dell'agente debba essere diretta ad ingenerare l'induzione in errore, quello iato tra reale e non reale in base al quale la vittima orienterà la propria azione39. Se una persona può essere indotta in errore e avere, suo malgrado, una percezione distorta della realtà, altrettanto non può dirsi per una macchina. Essa esegue le operazioni per le quali è stata
37 Di diverso avviso è parte della dottrina che sottolinea come l'alterazione del sistema possa essere posta in essere con una qualsiasi modalità tanto da poter immaginare anche una condotta di natura omissiva quale la dolosa omissione di dati e informazioni in taluni registri informatici.
38 A differenza del reato di truffa per il quale è dubbio se la c.d. reticenza o il silenzio possano essere considerati strumenti idonei ad ingannare.
progettata e programmata, ciò che può essere fatto è alterarne il funzionamento. In dottrina, particolarmente illuminante è esaminare in parallelo l'intervento “ingannatorio”, vuoi nella truffa, vuoi nella frode informatica. Come è noto, nella condotta fraudolenta della truffa il momento di manipolazione, falsificazione del reale, è antecedente a quello che poi sarà l'atto di disposizione patrimoniale, anzi esso risulta essere causalmente efficiente a quest'ultimo. Se è vero che la vittima finisce per avere una visione distorta della realtà, non può negarsi che la dinamica decisionale che porterà all'atto di disposizione patrimoniale non presenta nessuna anomalia, ma segue i normali processi cognitivi-decisori. Di conseguenza è presente una falsa rappresentazione, ed è in virtù di essa che la vittima cade in errore, ma il momento decisorio che consegue alla visione distorta della realtà è esente da vizi del pensiero. Ad esempio, se un soggetto viene convinto, attraverso artifici e raggiri, della paternità di un'opera di un artista celebre, sarà disposto a offrire una somma ingente di denaro per acquistarlo, in quanto a fondamento del suo atto di disposizione risiede la convinzione dell'autenticità dell'opera d'arte in questione.
Nell'ambito della frode informatica, invece, è necessario distinguere tra le condotte alternative dell'alterazione del funzionamento del sistema e dell'intervento senza diritto.
L'alterazione viene a collocarsi, idealmente, all'interno del processo operativo del sistema che si trova a svolgere attività per le quali non è stato programmato. E', quindi, il funzionamento del sistema stesso ad essere pregiudicato.
Cosa ben diversa avviene con l'intervento senza diritto perché, in questo caso, la condotta fraudolenta può anche svolgersi prima della fase vera e propria di elaborazione da parte della macchina, anzi spesso presuppone che il sistema funzioni in maniera corretta. Basti pensare ad un intervento sull'imput sul quale poi svolgerà le consuete
operazioni l'elaboratore. Se, nel primo caso, ad essere inficiato è il modo nel quale opera il sistema nel suo complesso, nel secondo, invece, si agisce sulla “materia prima”, che sarà poi oggetto dell'attività regolare della macchina.
2.1.3 Frode informatica e atto di disposizione patrimoniale
In dottrina, è pacifico ritenere come nel reato di truffa sia requisito essenziale, anche se implicito, l'atto di disposizione patrimoniale realizzato dal soggetto passivo. Quest'ultimo, infatti, a causa dell'errore ingeneratogli da artifici e raggiri si determina a compierlo. Nell'ambito della frode informatica, invece, tale atto non viene compiuto dalla vittima bensì dall'agente: l'elaboratore finisce per essere solo lo strumento del quale il reo si avvale. La vittima difatti è spesso inerte ed ignara dell'atto in questione. La Suprema Corte ha infatti sottolineato come “il reato di frode informatica si
distinguerebbe da quello di truffa, perché l'attività fraudolenta dell'agente investe non una persona, quale soggetto passivo della stessa, di cui difetta l'induzione in errore, ma il sistema informatico di pertinenza della medesima, attraverso la manipolazione di tale sistema […]40” e ancora “l'attività fraudolenta dell'agente investe non la
persona (soggetto passivo), bensì il sistema informatico (significativa è la mancanza del requisito della "induzione in errore") che gli pertiene è […].41”
40 Cass.Pen. Sez. I, sent. 6 maggio 2011, n.17748 41 Cass.Pen. Sez VI, sent. 4 ottobre 1999, n. 3065
2.1.4 Le diverse concezioni dell'evento di danno; frode informatica e dolo specifico
La truffa è, come è noto, un reato di evento: il reato si consuma al verificarsi di un duplice evento: l'ingiusto profitto e l'altrui danno. Il primo non pone particolari problemi interpretativi, dato che può constare in qualsiasi utilità, non necessariamente patrimoniale. Assai più interessante risulta essere l'altrui danno, dove è riscontrabile la presenza di due letture alternative: quella giuridica e quella economico-patrimoniale. La prima parte dal definire il patrimonio come “insieme di beni economicamente valutabili facenti capo ad un soggetto42”. Di conseguenza “danno” sarà solo la depauperazione patrimoniale effettiva, avendo come effetto quello di preservare nel reato di truffa la struttura originaria voluta dal legislatore: quella di un reato di danno. Nel caso della frode informatica, l'orientamento della giurisprudenza tende a divergere significativamente43 : danno sarà qualsiasi situazione di natura sfavorevole all'insieme dei rapporti giuridici riferibili ad un soggetto, prescindendo da una deminutio
patrimonii effettiva, avvicinando la frode informatica all'area dei reati
di pericolo.
Per quanto concerne l'elemento soggettivo, esso assume la veste del dolo generico e, come tale, investe tutti gli elementi costitutivi della fattispecie. E' interessante notare come esso riguardi anche quelle conseguenze possibili prevedute dall'agente: di conseguenza potrà configurarsi anche con quella forma di dolo per la quale l'evento non è direttamente voluto dal reo ma è comunque previsto come una conseguenza possibile della propria condotta: il dolo eventuale.
42 M. GROTTO,op. cit., p.151
43 Cassa. Pen., sez. VI, 4 ottobre 1999 – 14 dicembre 1999 n.3065, in Cass.pen. 2001,481
Infine, se si aderisce alla concezione giuridica di danno, sarà configurabile il tentativo nella frode informatica.
2.1.5 Le aggravanti speciali
Se da un lato la frode informatica è procedibile a querela della persona offesa, ovvero colui che viene ad essere il titolare del sistema informatico o telematico, dall'altro diventa un reato procedibile d'ufficio quando ricorra una qualsiasi circostanza aggravante, in particolare le circostanze aggravanti speciali indicate nel secondo comma dell'art. 640 ter.
E' da sottolineare l'aggravante dell'abuso dell'operatore di sistema: come in precedenza affermato, tale circostanza trova la sua ragion d'essere nella maggiore facilità della commissione del reato da parte di un soggetto avente tale qualifica. Abbiamo anche ricordato, in tema di accesso abusivo ai sistemi informatici, come vi siano opinioni divergenti che concernono i requisiti necessari affinchè si possa parlare di “system operator”.
2.1.6 Rapporti con altri reati
Risulta fondamentale premettere che in tutti i casi in cui la persona offesa viene ad essere ingannata dall'agente, vuoi avvalendosi di strumenti informatici/telematici vuoi qualora l'atto di disposizione patrimoniale venga posto in via telematica, è configurabile il reato di truffa e non quello di frode informatica. Infatti, ai fini dell'applicabilità dell'art 640 ter è necessario che vi sia l'alterazione o l'intervento senza diritto sul sistema informatico.
Spesso tale reato viene realizzato insieme ad altre fattispecie, prodromiche alla frode informatica, quali l'accesso abusivo ai sistemi informatici (615 ter c.p.), la detenzione o diffusione di codici di accesso (615 quater c.p.), la diffusione di dispostivi o programmi volti a danneggiare o interrompere sistemi informatici (615 quinquies c.p.), i vari danneggiamenti informatici (635 bis e segg c.p.).
Con riguardo, in particolare, al concorso col reato di accesso abusivo, esso è senz'altro ammissibile poiché sussistono differenze in merito ai beni giuridici tutelati e alle condotte incriminate: un conto è tutelare il domicilio informatico, un conto è richiedere l'alterazione dei dati contenuti in un sistema al fine di conseguire un ingiusto profitto. L'intervento manipolatorio del sistema è elemento richiesto dall'art 640 ter mentre l'art 615 ter non lo prevede come necessario. Allo stesso tempo giova ricordare che quest'ultima fattispecie vede applicazione con riferimento ai c.d. sistemi protetti, mentre nulla è previsto in tema di frode informatica.
2.1.7 Un esempio di frode informatica: nascita, uso e abuso del dialer
Il dialer nasce con lo scopo di evitare la richiesta di carta di credito all'utente fruitore di un servizio via Web. Anziché fornire i propri dati personali e il numero della propria carta di credito, tale software permette di evitare l'identificazione dell'utente, poiché il costo sarà addebitato in bolletta telefonica dall'operatore telefonico con il quale il soggetto ha stipulato regolare contratto44. In un contesto illecito, tale strumento viene utilizzato per ingannare l'utente: il programma auto
eseguibile si installa nel computer della vittima ed esso poi andrà a sostituire il numero telefonico con uno a tariffazione speciale all'insaputa della persona offesa. Il navigatore della rete provoca inconsapevolmente l'installazione del software, ad esempio accedendo ad alcune pagine Web, e il dialer inizierà a generare una nuova chiamata telefonica verso uno dei numeri a c.d. tariffazione ripartita, il cui costo di utilizzo è sensibilmente elevato rispetto alla media. Il programma disconnette il modem e collega il computer a questi numeri telefonici, facendo conseguire un ingiusto profitto a chi gestisce l'utenza telefonica a valore aggiunto.
L'uso indebito e illecito del dialer rappresenta quindi un esempio, che trova facile riscontro nella quotidianità, di frode informatica.
Significativa è la pronuncia del Giudice di Pace di Firenze45 riguardante il rapporto tra frode informatica e reato di ricettazione proprio in relazione al fenomeno dei dialer. Il caso concerneva un soggetto che si era visto addebitare da Telecom Italia settanta euro per aver effettuato, in maniera del tutto inconsapevole, chiamate a numeri 899. Gli operatori assegnati a questi numeri risultavano essere le compagnie Eutelia e Teleunit. La Telecom aveva eccepito, a sua difesa, la mancata predisposizione di accorgimenti, da parte dell'utente, che avrebbero impedito l'accesso dei dialer nel suo sistema, come poteva essere l'attivazione della linea ADSL. Il giudice però ha evidenziato che “una volta insorto anche il più piccolo ragionevole dubbio circa la
possibile illiceità della provenienza del traffico del quale si richiede il pagamento, il fatto di non procedere cautelativamente all'annullamento della fatturazione di quel traffico restituzione dell'importo già pagato […] potrebbe integrare, a carico dei legali rappresentanti della Telecom […] il reato di cui all'art. 648 c.p.
(ricettazione) in relazione all'art. 640 ter c.p. (frode informatica) [...]”. Infatti, ai sensi del reato di ricettazione, viene punito non solo
“chi al fine di procurare a sé o ad altri un profitto, acquista, riceve od occulta denaro o cose provenienti da un qualsiasi delitto” ma pure chi
“si intromette nel farli acquistare, ricevere od occultare”. Telecom
quindi avrebbe integrato la condotta di “intromissione” nel far acquisire alle due compagnie i profitti di un reato (la frode informatica). Con riguardo al profilo soggettivo è stato ritenuto sussistente il dolo eventuale in quanto “la Telecom non poteva non essere consapevole del forte rischio della provenienza illecita (anche penalmente) degli importi fatturati all'utente relativi al traffico verso quelle direttrici.” Addirittura viene affermato che i rappresentanti della Telecom avrebbero potuto rispondere anche ai sensi dell'art. 362 c.p. per omessa denuncia in quanto pur essendo a conoscenza dell'illecito non aveva sporto denuncia nei confronti delle due compagnie.
2.1. 8 Art 640 quinquies: la frode del certificatore
La fattispecie della frode del certificatore, prevista all'art. 640 quinquies c.p., è stata introdotta a seguito della l. 48/2008 la quale ha ratificato e attuato la Convenzione di Budapest sul Cybercrime.
E' interessante evidenziare come in tale figura di reato sia assente quella “continuità strutturale” caratterizzante il rapporto tra reato di truffa e frode informatica 46. Giova ricordare che nel disegno di legge n. 2807 si faceva riferimento, all'art 5 c.3, alla violazione di specifici obblighi indicati nell'art. 32 del codice dell'amministrazione digitale, al duplice evento del danno e del profitto e a un elemento soggettivo che
si configurava come dolo generico 47. In conseguenza di un emendamento presentato e accolto presso la Camera dei Deputati, è risultato il testo attualmente vigente che viene a presentare significative differenze con quanto originariamente previsto. Come sarà oggetto di esame, l'evento duplice è venuto meno, il dolo è ora da considerarsi specifico e non più generico e il reato oggi può definirsi proprio e non comune.
Prima di soffermarsi su tali punti, è utile sottolineare la modifica avvenuta anche con riguardo la condotta descritta: a differenza del testo del d.d.l., nel testo riferibile alla frode del certificatore oggi viene fatto riferimento alla “violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato”, scomparendo qualsiasi accenno specifico all'art. 32 del codice dell'amministrazione digitale. Parte della dottrina se da un lato tende a sottolineare come, in questo caso, la modifica sia da accogliersi positivamente in quanto viene superata la troppo abusata tecnica meramente sanzionatoria, dall'altro non può fare a meno di notare come manchi una descrizione sufficientemente precisa delle condotte penalmente rilevanti ai fini della frode del certificatore, con il concreto rischio di configurare l'art 640 quinquies come una norma indeterminata.
2.1.9 La condotta
Parte della dottrina non ha fatto a meno di notare un parallelismo tra la frode informatica e la frode del certificatore informatico: anziché
47 Art 5 c.3 d.d.l. 2807 presentato alla Camera dei Deputati il 19 giugno 2007: “il certificatore che, violando gli obblighi previsti dall'articolo 32 del codice dell'amministrazione digitale, di cui al D.lgs. 7 marzo 2005, n.82, e successive modificazioni, per il rilascio di un certificato, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione fino a tre anni o con la multa fino a 25.000 euro.”
esservi l'intervento senza diritto o l'alterazione del sistema di cui al 640 ter, troviamo la violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato. Allo stesso modo al posto dell'evento(tacito) della alterazione del sistema conseguente alla condotta, vi è il rilascio di un certificato qualificato come illegittimo. Nella norma esaminata la violazione degli obblighi di cui sopra da parte del certificatore pare portare alla realizzazione di un evento intermedio quale il rilascio del certificato qualificato in assenza dei presupposti legali necessari 48. Il motivo principale per cui la figura del certificatore qualificato diviene oggetto di interesse dell'intervento legislativo, è la tutela dell'affidamento che i terzi fanno proprio sull'operato di tale soggetto. Gli indici normativi a sostegno di ciò sono molteplici: si veda riferimento al ragionevole affidamento (con riguardo l'esattezza e la completezza delle informazioni necessarie alla verifica della firma e sull'adempimento degli obblighi previsti nell'art.32) nell'art. 30 D.Lgs. 82/2005. Merita una menzione anche il reato di cui all'art. 495-bis c.p. “Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri” che rappresenta un completamento proprio della fattispecie ex art. 640 ter. La norma in questione, infatti, mira a sanzionare chiunque rilasci al certificatore una dichiarazione o una attestazione falsa, non veritiera o non genuina, sull'identità o lo stato o altre qualità personali in modo che nel certificato sia rappresentata la situazione reale, in modo da tutelare l'affidamento (in modo da tutelare la pubblica fede) di chi si trova ad avere a che fare con un documento firmato con firma digitale.
48 “[...] solo in questo caso si realizza quel pericolo concreto per il bene tutelato
(evento finale) che l'art. 640 quinquies sembra sottendere” M. GROTTO, op. cit.,
2.1.10 La scomparsa dell'evento danno e la scelta del dolo specifico
Come precedentemente esaminato, il duplice evento caratterizza vuoi il reato di truffa, vuoi il reato di frode informatica. L'art. 640
quinquies, invece, sanziona semplicemente il soggetto che, prestando il
servizio di certificazione elettronica, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato. Sul piano dell'elemento soggettivo si assiste alla scelta di affidarsi al dolo specifico: “al fine di procurare a sé o ad altri un ingiusto profitto
ovvero di arrecare ad altri danno”. In dottrina, viene sottolineato un
ruolo particolare svolto dal dolo specifico: quello di limitare ulteriormente l'ambito applicativo di una determinata fattispecie, in particolare operando come secondo perimetro (dopo quello rappresentato dal fatto tipico) entro il quale definire la portata della fattispecie. Nel nostro caso, a fronte di una costruzione del fatto tipico lacunosa e quantomeno tendente ad una certa indeterminatezza come illustrato in precedenza, assume ancora più importanza il dolo specifico. La norma richiede che il fine del dolo specifico vada a sorreggere la condotta oggettiva, affinchè sia integrata la fattispecie della frode del certificatore, il reo, infatti, deve integrare la condotta con lo scopo di procurare a se stesso o ad altri un ingiusto profitto oppure con quello di arrecare danno ad altri. Il dolo specifico, infatti, svolge il ruolo di delimitare il perimetro del penalmente rilevante includendo, nell'ambito applicativo della fattispecie, le condotte idonee a raggiungere il fine prefissato. Dovrà quindi essere posto in essere un comportamento strumentale alla realizzazione del fine (in questo caso il procurarsi o procurare ad altri un ingiusto profitto o arrecare danno ad altri).
rappresentazione da parte dell'agente, quindi, ma abbia anche la caratteristica di avere efficacia causale su quella che viene ad essere l'azione esterna49. Va ricordata, inoltre, l'assoluta irrilevanza, ai fini dell'integrazione della fattispecie, dell’eventuale conseguimento effettivo dello scopo prefissato.
2.1.11 Il rapporto tra frode informatica e i reati riguardanti le carte magnetiche Bancomat
Per diverso tempo, in giurisprudenza50, è stato ritenuto integrato il reato di furto aggravato dall'uso di mezzo fraudolento (ai sensi dell'art. 625 c1 n2 c.p.) nelle ipotesi concernenti il prelevamento di banconote da uno sportello Bancomat tramite il ricorso ad una carta falsificata. Tale soluzione però veniva criticata in quanto trovava fondamento in un procedimento analogico. Veniva sottolineato, in dottrina, che la condotta consistente nel prelevamento allo sportello Bancomat non poteva essere definita come “sottrazione di una cosa mobile altrui” bensì era da considerarsi l'esecuzione di un ordine di consegna del denaro al detentore della carta, eseguito in via automatizzata presso lo sportello51. Secondo questa impostazione l'elemento volitivo dell'adempimento della banca non dovrebbe essere messo in discussione dato che è ravvisabile presso l'istituto bancario la volontà negoziale di adempiere anche se si è optato per una procedura automatizzata di erogazione del contante. In questo modo la carta magnetica figurativamente non finisce per essere una semplice “chiave di cassaforte”, ma uno strumento attraverso il quale la banca adempie
49 M. GROTTO, op.cit., p.155
50 Pret. Ancona 27 giugno 1986 Maiello e App; Cass sez. II, 7 dicembre 1989, Maiello
