Il dato personale nell'era dell'informatizzazione, tra le luci e le ombre di una disciplina multilivello

(1)

UNIVERSITÀ DEGLI STUDI DI PISA

Facoltà di Scienze Politiche

Corso di Laurea in Scienze delle Pubbliche Amministrazioni

Tesi di Laurea

Il dato personale nell’era dell’informatizzazione, tra le luci e le

ombre di una disciplina multilivello

Relatore Candidato

Prof. Saulle Panizza Emanuele Tendola

(2)

Ringraziamenti

Quando sono in auto ascolto sempre una canzone, che dice più o meno così. Il finale è importante, l’inizio è fondamentale, ma in mezzo c’è il silenzioso costruire e costruire è potere e sapere rinunciare alla perfezione. Questo lavoro, che non pretende di essere perfetto, rappresenta il prodotto di un percorso, una “costruzione”, che non sarebbe stata possibile senza la presenza di alcune persone a cui vanno i miei ringraziamenti. Innanzitutto, al Relatore Prof. Saulle Panizza per il suo costante aiuto e i suoi preziosi consigli per la stesura di questa tesi. Non posso poi non ringraziare i miei genitori e mia zia Maria, i veri “costruttori” del mio passato e del mio futuro, senza i quali non sarei niente di quel che sono, e alla mia famiglia tutta, chi c’è e chi non c’è più. Infine, ringrazio la mia fidanzata Giulia che, come da tradizione, ha scritto questi ringraziamenti.

(3)

Indice

Introduzione………6

Capitolo I: Il dato informatico all’interno della Convenzione sulla criminalità informatica Introduzione………9

1.1. La Convenzione sulla criminalità informatica di Budapest del 2001……….9

1.2. Le definizioni………15

1.3. Elementi di diritto penale sostanziale……….18

1.4. Disposizioni di diritto processuale penale………36

1.5. Elementi di competenza giurisdizionale………62

1.6. La Cooperazione internazionale e la mutua assistenza………. 63

1.7. Conclusioni e osservazioni finali sulla Convenzione……….71

Capitolo II: il recepimento della Convenzione nell’ordinamento italiano Introduzione………..73

2.1. La legge 18 Marzo 2008, n. 48. Una legge frettolosa………..73

2.2. La modifica dell’articolo 491-bis c.p. La nuova definizione di documento informatico……….79

2.3. Le false dichiarazioni al certificatore e il fallimento della nuova fattispecie di frode informatica……….83

2.4. Introduzione alle nuove fattispecie di reato contro la sicurezza e l’integrità dei dati e sistemi informatici……….85

2.5. Il delitto di diffusione di dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico. Una nuova riformulazione……….86

2.6. La modifica ai delitti di danneggiamento di dati e sistemi informatici, una difficile qualificazione………90

2.7. L’abrogazione dell’attentato informatico e i danneggiamenti di dati e sistemi di pubblica utilità……….95

2.8. Le novità di diritto procedurale introdotte dalla legge 48/2008. Una breve introduzione………..99

(4)

2.8.2. Ispezione e perquisizione di sistemi informatici non sequestrabili e distinzione fra

ispezione informatica e perquisizione informatica………..107

2.8.3. L’accertamento urgente sui supporti informatici………110

2.8.4. La conservazione dei beni informatici sequestrati………..112

2.8.5. La conservazione preventiva dei dati informatici………..113

2.8.6. Il sequestro della corrispondenza inoltrata telematicamente………..119

2.8.7. Il sequestro di dati informatici detenuti presso fornitori di servizi informatici o telematici………..121

Conclusioni al Capitolo……….122

Capitolo III: il dato personale alla luce del nuovo Regolamento U.E. 679/2016, dalla sua definizione al trattamento Introduzione………125

3.1. Il diritto del soggetto alla privacy, un lungo percorso nel corso della storia………127

3.2. La tutela dei dati personali all’interno delle fonti dell’Unione Europea………..132

3.2.1. La protezione dei dati personali all’interno dell’ordinamento italiano………136

3.3. il dato personale all’interno del Regolamento 679/2016 e le categorie ascrivibili.138 3.3.1. I dati personali particolari e il loro trattamento, l’articolo 9 del GDPR……….140

3.3.2. I dati particolari e il loro trattamento all’interno del Codice della Privacy………144

3.3.3. I dati personali giudiziari all’interno del Regolamento 679/2016 e nel Codice della Privacy……….147

3.4. Il Garante della protezione dei dati personali, dall’evoluzione alle sue caratteristiche personali……….149

3.4.1. Le funzioni del Garante per la protezione dei dati personali………154

3.4.2. I codici di condotta e le regole deontologiche………158

3.4.3. Le funzioni del Garante nell’attività normativa, nonché i rapporti con la pubblica amministrazione………..161

3.4.4. Il Comitato europeo per la protezione dei dati, un diritto senza confini…………164

(5)

3.5.1. Gli strumenti di protezione dei dati personali ex ante, l’impostazione di privacy by design e by default………173 3.5.2. Gli obblighi ex post per la tutela dei dati personali……….175 3.6. I diritti conferiti ai singoli durante il trattamento. Il diritto all’oblio all’interno del Regolamento, un’inaspettata delusione……….181 3.6.1. Il diritto all’oblio all’interno delle aule di tribunali. Un percorso molto lungo….185 Conclusioni al Capitolo……….190

Conclusioni………..193 Appendice. La mia prima esperienza nella materia, breve illustrazione del tirocinio svolto nella Società della Salute Lunigiana………..196 Bibliografia………..199

(6)

Introduzione

Con l’avvento delle nuove tecnologie informatiche e l’ascesa dei social media, un’incalcolabile quantità di dati e informazioni viene continuamente condivisa in tale piattaforma digitale.

Una portata che assume i caratteri di una rivoluzione e che porta inevitabilmente con sé conseguenze economiche, sociali ed infine giuridiche.

È fenomeno in divenire, ancora troppo nuovo per non fare paura, bifronte nelle sue implicazioni.

Se da un lato tale innovazione ha eliminato le barriere fisiche fra persone, porta con sé il rischio derivante dalla gestione di queste tipologie di dati, in quanto è ben possibile cadere nella tentazione di utilizzare tali informazioni per scopi egoistici e privati.

È quanto successo nello scandalo Cambridge Analytica, in cui un ente sostanzialmente privato ha raccolto attivamente dati di utenti all’interno del web, al fine di promuovere un candidato, nel sensibile contesto di campagna elettorale.

L’uso distorto del potere di amplificazione dei social media, ha portato alla diffusione delle ormai notissime fake news, ossia notizie false create ad hoc spesso per istigare all’odio.

La tecnologia mostra i suoi chiaroscuri, il diritto è pronto a far luce.

Tenendo presente la gravità di queste attività, in sede europea si è attuata una vera e propria innovazione della materia del trattamento dei dati personali, con il Regolamento n. 679/2016, piantando paletti di carattere sostanziale per la miglior tutela della riservatezza e libertà di ciascuno.

L’elaborato ha l’ulteriore ambizione di indagare sulla natura giuridica del “veicolo” ormai più utilizzato dai dati personali, ossia il dato informatico.

Infatti, a parere di chi scrive, solo comprendendo l’essenza sia informatica che giuridica di tale strumento risulterà possibile cogliere il perché di una così stringente e omnicomprensiva disciplina delineata in sede europea.

Nel primo capitolo si esaminerà la Convenzione contro la criminalità informatica di Budapest del 2001, fonte importantissima di diritto internazionale, che ancor oggi risulta possedere principi cardine sulla sua definizione, riconoscendone, per la prima volta la natura di bene giuridicamente tutelato assieme al sistema informatico.

(7)

In questa sede si prenderanno inoltre in esami i principali istituti di diritto penale sostanziale e processuale, tesi alla tutela dell’integrità e genuinità del dato, nell’ottica di una cooperazione e armonizzazione tra ordinamenti degli Stati membri.

Successivamente, occorre poi vedere come la definizione e la disciplina inerente al dato informatico sia stata recepita dal legislatore nazionale, il quale, con la Legge n. 48 del 2001 ha prevista l’effettiva implementazione di tali principi, delineati in sede internazionale, all’interno dell’ordinamento italiano.

L’operazione di recepimento mostra le debolezze di una scarsa conoscenza del legislatore che ha sottovalutato la portata dell’innovazione.

Il capitolo prenderà in esame i nuovi istituti introdotti di diritto penale sostanziale e processuale, contestualmente evidenziandone le principali mancanze del legislatore.

Subito dopo i primi due capitoli, che hanno come fine ultimo inquadrare dal punto di vista giuridico il dato informatico, occorre poi passare al cuore di questa indagine, ossia alla trattazione del dato personale così come previsto all’interno del nuovo Regolamento dell’Unione Europea, ossia il n. 679 del 2016, nonché facendo riferimento contestualmente al Decreto legislativo d’implementazione e adeguamento dei nuovi principi all’interno della fonte primaria di riferimento in materia di dati personali, ossia il Codice della privacy, il Decreto legislativo n. 196 del 2003.

Il terzo capitolo partirà quindi da un’indagine sulla definizione dello stesso, per poi illustrarne le principali modalità di trattamento., con particolare riferimento al significativo operato del Garante per la protezione dei dati personali.

Al fine di una più esaustiva esposizione della complessa materia della protezione dei dati personali, nonché del loro trattamento, si è rivelato necessario indagare sulle nuove modalità d’implementazione di principi della disciplina europea all’interno della struttura stessa dei suoi principali destinatari, mediante la previsione di strumenti definiti di privacy

by design e by default, mostrando il connubio fra l’esigenza di tutela dei diritti e le libertà

degli interessati e tecniche organizzative.

Infine, occorre poi spendere due parole sul diritto in capo al soggetto di cancellazione dei propri dati oggetto di trattamento, definito anche come diritto all’oblio, indagando sulla reale natura di tale diritto, nonché il coordina con diritto cardine di ogni democrazia, ossia il diritto all’informazione.

(8)

A chiusura dell’elaborato, in sede di appendice, si è riportata anche l’esperienza diretta di chi scrive in relazione alla prima esperienza sul campo in materia di trattamento dei dati personali attuata in sede di tirocinio curriculare svolto presso la Società della Salute Lunigiana.

(9)

CAPITOLO I

Il dato informatico all’interno della Convenzione sulla criminalità

informatica

Introduzione

Punto di partenza necessario al fine di una descrizione ottimale di cosa sia effettivamente un dato personale, è rappresentato dalla preliminare analisi del profilo definitorio della categoria con cui spesso si immedesima, ossia il dato informatico.

L’indagine proposta si muoverà guardando in primis l’ambito internazionale dove tale concetto ha trovato un chiaro e importante punto fermo soprattutto nella Convention on

Cybercrime promossa nell’ambito del Consiglio d’Europa nel 2001, fino ad arrivare

all’attuazione da parte del legislatore italiano dei principi redatti in questa sede.

Occorre tenere presente che queste fonti si muovono soprattutto nell’ambito penalistico e processual-penalistico, in quanto soprattutto tali branche del diritto si sono scontrate, sempre più duramente, con il concetto astratto di dato informatico. Infatti, in mancanza di una bussola interpretativa o concetto definitorio, per molto tempo si è registrato questo conflitto, portato avanti senza una definitiva risoluzione.

Finalmente in sede internazionale si è posta fine a questa mancanza concettuale, definendo una volta per tutte il dato informatico.

In questo capitolo si esamineranno le principali novità introdotte dalla Convenzione sulla criminalità informatica, partendo dalle definizioni iniziali contenute in quest’ultima, procedendo poi con l’individuazione delle nuove fattispecie penali e processuali e infine prendendo in esame brevemente le nuove misure di mutua assistenza, in applicazione del principio di collaborazione fra Stati contraenti.

1.1. La Convenzione sulla criminalità informatica di Budapest del 2001

Come anticipato nella breve introduzione al capitolo una prima fonte fondamentale è rappresentata dal lavoro portato avanti in sede di Consiglio d’Europa che ha avuto il suo esito nella Convenzione sulla criminalità informatica di Budapest del 2001, avente come

(10)

oggetto la difesa della società contro le nuove tipologie di reato, perpetrate mediante lo strumento informatico.

Dalla lettura dell’explanatory report redatto dal Comitato dei Ministri del Consiglio d’Europa si può evidenziare l’impatto che le nuove tecnologie hanno, e continueranno ad avere, sul contesto sociale. Infatti, guardando soprattutto al settore delle telecomunicazioni, sempre di più si assiste ad un nuovo tipo di scambio, in quanto ormai non è più al centro la trasmissione della voce umana, ma il trasferimento dei dati.

D'altronde sempre più frequenti sono gli scambi non solo tra persone, ma anche tra persona e macchina e tra macchine stesse.

Ulteriore caratteristica di questa rivoluzione è che ormai si assiste ad un cumularsi di dati contenuti in determinati network, tale per cui si registra sempre di più un’accessibilità, pressoché illimitata, alle informazioni.

Questi importanti passi avanti dal punto di vista tecnologico hanno contribuito ad un radicale cambiamento sia sociale che economico.

Se però da un lato è innegabile una valenza positiva di tale evoluzione tecnologica, dall’altro si disvela un vero e proprio “lato oscuro”1_{, ossia l’emergere di nuovi tipi di atti}

criminali, attraverso l’utilizzo di questa tecnologia, sfruttando il fatto che è ormai possibile raggiungere un numero illimitato di persone da ogni angolo del pianeta. È possibile trovare esempio di ciò nell’utilizzo di malware, oppure nella diffusione di notizie false; infatti, entrambe le attività criminali fanno perno sulla portata particolarmente ampia di ogni comunicazione.

A causa di ciò il diritto si trova ad affrontare e molto spesso a scontrarsi con nuovi concetti, che inevitabilmente dovranno trovare regolazione in istituti già esistenti. Infatti, come si evince dalle numerose fonti allegate alla Convenzione, è proprio questa una delle principali sfide mosse dal Consiglio d’Europa.

Uno dei documenti principali in cui si registra in maniera più pregnante tale problematica è la decisione del 1997 della European Committee on Crime Problems, o CDPC, in cui si è predisposta la costituzione di una commissione di esperti di crimine informatico.

(11)

In questa decisione non manca una specifica descrizione dello stato dell’arte e di come lo sviluppo tecnologico abbia permesso a chiunque di poter accedere ad ogni tipo di informazione circolante nei network.

Il connubio fra servizi di comunicazione e di informazione porta l’utente a creare un proprio spazio virtuale chiamato cyberspace ed è proprio entro questo spazio che si registrano la maggior parte delle azioni criminali. Infatti, queste attività hanno come scopo l’attentato all’integrità e alla divulgazione di informazioni che spesso si trovano proprio in quello spazio personale che il singolo utente crea.

Come si è evidenziato in precedenza, caratteristica di questo nuovo sistema è la sfida continua a vecchi concetti di diritto come quello di confine. Infatti, il flusso di dati o informazioni viene trasportato in spazi virtuali che per loro caratteristica non possono avere limiti di tipo fisico.

A causa di questa caratteristica di “cross-border”2_{del network informatico si è resa}

necessaria una regolazione internazionale del fenomeno, in quanto solo attivando strumenti di diritto internazionale è possibile seguirlo, e quindi regolarlo.

Punto finale della raccomandazione del 1997 della Commissione di esperti sulla criminalità informatica, è la richiesta, promossa dal professor H.W.K. Kaspersen, di implementare, mediante misure vincolanti, ossia attraverso una Convenzione, misure non solo di diritto penale sostanziale, ma soprattutto di diritto penale processuale, nonché procedure di diritto penale internazionale3_.

Ulteriore finalità della Commissione di esperti è la risoluzione delle numerose problematiche, che necessariamente la tecnologia ha creato, sempre nell’ottica di una regolazione penale delle attività criminali.

Il primo punto fondamentale riguarda i reati posti in essere mediante l’utilizzo di network di telecomunicazione. Tali tipologie di crimini riguardano soprattutto l’illecita transazione di denaro, prestazione di servizi illegali, violazione del copyright, atti contrari alla dignità umana e infine azioni in violazione della protezione di minori.

2_{Council of Europe, Explanatory Report to the Convention on Cybercrime, Budapest, 23.XI.2001} 3_{Implementation of Recommendation N° R (89) 9 on computer-related crime, Report prepared by}

(12)

Ulteriore necessità individuata dalla Commissione di esperti in materia è l’individuazione, in sede di cooperazione internazionale, delle “definizioni, sanzioni, e responsabilità degli attori presenti nel cyberspace”4_.

Il punto 4 della raccomandazione riguarda i caratteri squisitamente processuali, in quanto si auspica la creazione di strumenti a carattere transfrontaliero. Infatti, è necessario l’esercizio di poteri intrusivi nel settore tecnologico, come l’intercettazione delle telecomunicazioni ovvero la sorveglianza dei flussi di informazioni presenti nei network, al fine di rendere inaccessibile il materiale illegale.

Ne consegue inoltre la regolazione della competenza per la persecuzione di queste tipologie di reato, come i criteri di individuazione del luogo del fatto, ovvero la disciplina applicabile e infine i meccanismi di risoluzione di eventuali conflitti che potrebbero sorgere. A seguito della decisione del CDPC, la Commissione dei Ministri ha poi creato una nuova istituzione, ossia the Committee of Experts on Crime in Cyber-space, o PC-CY, al fine di negoziare con gli Stati contraenti una bozza di convenzione sul crimine informatico.

Tuttavia, essendo la scadenza naturale della delega nel 1999, si operò, a causa della complessità sia della materia che delle negoziazioni, una proroga.

I Ministri di Giustizia del Consiglio d’Europa hanno espresso il proprio sostegno ben due volte in sede di negoziazione. La prima con la risoluzione numero uno, adottata a seguito della 21esima Conferenza, in cui si esprimeva il supporto al lavoro della CDCP concernente i reati informatici, sia per creare un’armonizzazione in materia di diritto penale, che sia il più possibile uniforme, ma anche costituendo mezzi efficaci di ricerca della prova.

La seconda con la risoluzione numero tre, adottata dalla 23esima Conferenza dei Ministri di Giustizia Europei, in cui si incoraggia la ricerca di soluzioni comuni anche al fine di estendere la partecipazione a tale Convenzione ad altri Stati e la creazione di una cooperazione rapida ed efficiente.

Tra l’aprile del 1997 e il dicembre del 2000, la Commissione PC-CY si riunì dieci volte in composizione plenaria e alla vigilia della naturale scadenza si effettuarono ulteriori incontri sotto l’egida del CDPC per la revisione definitiva dell’allora bozza di Convenzione. Infine, venne proposta all’Assemblea Parlamentare, al fine di esprimere un giudizio sul testo. A

4_{Implementation of Recommendation N° R (89) 9 on computer-related crime, Report prepared}

(13)

seguito del parere positivo sia dell’assemblea parlamentare, che del CDPC, la proposta di Convenzione passò alla Commissione dei Ministri per l’adozione e contestualmente l’apertura del procedimento di ratifica da parte degli Stati membri.

Guardando alla Convenzione, si possono individuare almeno tre importanti linee direttive, già oggetto delle varie raccomandazioni del CDPC.

il primo target della Convenzione riguarda soprattutto l’armonizzazione, per quanto possibile, delle discipline di diritto penale sostanziale degli Stati contraenti.

Ulteriore elemento necessario è costituito dal conferimento all’autorità giudiziaria di nuovi poteri di investigazione e persecuzione dei crimini posti in essere mediante supporto informatico o in relazione ad esso. Infine, si fa richiamo all’essenziale attività di cooperazione fra gli Stati.

Il triplice obiettivo si ritrova nella parte introduttiva della Convenzione, ossia il preambolo.

Infatti, si fa in questo spesso riferimento alla creazione di una politica comune in campo penale al fine di proteggere la società da azioni criminali di questo tipo.

Non manca anche in questa sede l’individuazione dei potenziali rischi legati soprattutto alla rivoluzione in campo informatico.

A tal fine occorre creare uno strumento efficace di cooperazione non solo fra Stati, ma anche con le società di diritto privato, per potere tutelare “gli interessi legittimi nell’uso e nello sviluppo delle tecnologie informatiche”5_.

La Convenzione oggetto della presente trattazione si presta a divenire possibile deterrente alle azioni contro la segretezza, l’integrità e infine la disponibilità dei sistemi, dei dati e delle reti informatiche, sia attraverso il sapiente utilizzo di norme di diritto penale sostanziale, sia tramite l’attivazione di poteri per facilitare “l’individuazione, investigazione e l’esercizio dell’azione penale”.6

Tuttavia, si fa anche esplicito riferimento alla necessità di un equo bilanciamento tra azione di persecuzione e i principali diritti individuati in primis in sede internazionale dalla Convenzione del Consiglio d’Europa per la Tutela dei Diritti dell’Uomo e delle Libertà

5_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Budapest, 23.XI.2001,}

Preambolo

(14)

Fondamentali, ovvero dalla Convenzione delle Nazioni Unite sui Diritti Civili e Politici, così come da altre fonti di diritto internazionale aventi ad oggetto il diritto di aver opinioni senza condizionamenti, il diritto alla libertà d’espressione, il diritto di cercare, ricevere e trasmettere informazioni e idee di ogni genere, così come il diritto al rispetto della privacy. Si richiamano all’interno del preambolo alla Convenzione, ulteriori e fondamentali documenti come ad esempio la Raccomandazione del Comitato dei Ministri No. R (85) 10, concernente l’applicazione della Convenzione Europea sulla mutua assistenza legale in campo penale nel rispetto delle rogatorie in materia di intercettazione delle telecomunicazioni, la Raccomandazione No. 2 sulla pirateria nel campo del copyright, ma soprattutto la Raccomandazione No. 4 sulla protezione dei dati personali nel campo dei servizi di telecomunicazione, con un evidente riferimento al settore telefonico.

Affrontate queste questioni preliminari richiamate dalla Convenzione, occorre soffermarsi sulla struttura della stessa.

La Convenzione sulla criminalità informatica è costituita da ben quattro capitoli. Il primo, intitolato “Uso dei termini” rappresenta la sede definitoria dei concetti di base della regolazione penale. Il secondo, denominato “Provvedimenti da adottare a livello nazionale” si presenta ulteriormente strutturato in sezioni.

La prima riguarda sostanzialmente la descrizione di fattispecie di diritto penale sostanziale, descrivendo le condotte penalmente rilevanti.

La seconda sezione invece si occupa principalmente di disciplinare istituti di diritto penale processuale, al fine di tutelare i beni giuridici individuati dalla Convenzione.

Il terzo capitolo, rubricato “Cooperazione internazionale”, prevede le principali misure di cooperazione al fine della persecuzione delle attività criminali per mezzo di strumenti informatici. Infatti, oggetto del capitolo è la regolazione della mutua assistenza fra Stati, con particolare riguardo a due principali situazioni. La prima che si verifica in caso di assenza di una disposizione di diritto internazionale in materia di cooperazione tra Stati e la seconda che invece vede la presenza di tali disposizioni. Sotto quest’ultimo profilo sarà infatti necessario stabilire se a questa tipologia di accordi si può applicare quanto statuito dalla Convenzione.

Ulteriore argomento, trattato nel terzo capitolo, riguarda l’istituto dell’accesso transfrontaliero ai dati contenuti in sistemi informatici.

(15)

1.2. Le definizioni

Il primo capitolo rappresenta una base di partenza importante per l’intera Convenzione, contenendo il prodotto dell’attività definitoria posta in essere dal Consiglio d’Europa che muove i primi passi verso nozioni certe di quelle parole chiave che saranno oggetto di disciplina giuridica.

L’articolo 1 lettera a) della Convenzione afferma che per sistema informatico si intende “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati”7_.

Accanto a questa definizione occorre tenere presente quanto affermato in sede di

explanatory report allegato alla Convenzione che afferma come il sistema informatico sia

sostanzialmente lo strumento che contiene sia parti hardware che software, idonee ad attuare un’elaborazione automatica dei dati8_.

Occorre però tener presente che questa definizione omnicomprensiva di sistema informatico ingloba tutte le attività di input, output e di conservazione dei dati.

Infine, si intende come elaborazione automatica dei dati quell’attività, che non necessita di alcun intervento umano e atta all’esecuzione di un programma, ossia un set di istruzioni rivolte all’ottenimento di un determinato risultato.

L’ultimo elemento, degno di una dettagliata esposizione, è rappresentato dall’elemento di connessione tra i diversi sistemi informatici richiamato dall’articolo 1 lettera a). Infatti, secondo l’explanatory report, le connessioni fra sistemi informatici possono essere effettuate via terra, collegata attraverso un cavo, oppure wireless.

Ulteriore elemento di distinzione fra i vari tipi di connessione deriva dal perimetro entro il quale il network opera, ossia se è limitato localmente, ovvero copre una quantità ampia di aree.

Una volta definito il concetto di sistema informatico, occorre successivamente porre l’accento sul contenuto, ossia il dato informatico.

7_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Budapest, Capitolo 1 Articolo}_1A 8_{Council of Europe, Explanatory Report to the Convention on Cybercrime, Budapest}

(16)

L’articolo 1, lettera b) della Convenzione sulla criminalità informatica definisce come dato informatico “qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione”9_.

Questa definizione di dato informatico è coerente con lo stesso concetto definito dall’Organizzazione Internazionale per la normazione.

La nozione, come evidenziato dall’ explanatory report, pone l’accento sulla necessaria forma che il dato deve avere, ossia esso deve essere direttamente lavorabile dal sistema informatico.

Questa caratteristica rende inscindibile il dato informatico dal suo contenitore. A riprova di ciò, si può notare come in entrambe le definizioni si ritrovano reciproche caratteristiche. Inoltre, guardando al tenore delle definizioni, l’articolo 1 lettera a), evidenzia la finalità del sistema informatico, ossia la rielaborazione automatica dei dati.

Il medesimo elemento si ritrova all’articolo 1 lettera b); infatti, la nozione di dato informatico sottolinea, come elemento fondante del concetto stesso, la sua necessaria forma elettronica, in quanto deve essere oggetto di lavorazione da parte del sistema informatico.

Ulteriore caratteristica di entrambe le nozioni riguarda la portata inclusiva della definizione. Si tratta quindi di concetti assolutamente generali e astratti, in quanto ben si prestano ad inglobare le future innovazioni nel settore informatico e ad adattarsi a queste stesse.

L’articolo 1 lettera c) sottolinea il concetto di service provider o fornitore di servizi, con il quale si intende “qualunque entità pubblica o privata che fornisce agli utenti dei propri servizi la possibilità di comunicare attraverso un sistema informatico” ovvero “qualunque altra entità che processa o archivia dati informatici per conto di tale servizio di comunicazione o per utenti di tale servizio”10_.

Il termine service provider ricomprende un’ampia categoria di soggetti, che hanno un diverso ruolo nella comunicazione oppure nella lavorazione dei dati.

9_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 1 Articolo}_{1 B} 10_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 1 Articolo}_{1 C}

(17)

La definizione proposta dalla Convenzione riguarda tutti coloro che operano nel settore sia pubblico che privato e per questo motivo è potenzialmente irrilevante il fatto che il soggetto offra i suoi servizi ad una platea limitata di utenti oppure aperta al pubblico; così come è irrilevante che il servizio venga offerto gratuitamente, oppure dietro corrispettivo. Ulteriore elemento fondante della definizione è che il concetto di service provider si estende a tutti quei soggetti, sia pubblici che privati, che operano un’attività di conservazione e di lavorazione di dati informatici anche per conto degli stessi utenti.

Infine, si procederà a trattare la lettera d) dell’articolo 1, relativamente alla trasmissione dei dati.

Secondo la Convenzione è trasmissione di dati “qualsiasi informazione computerizzata relativa ad una comunicazione attraverso un sistema informatico che costituisce una parte nella catena di comunicazione, indicando l'origine della comunicazione, la destinazione, il percorso, il tempo, la data, la grandezza, la durata o il tipo del servizio”11_.

Sin dalla prima lettura della definizione si può notare il riferimento ad una specifica categoria di dati informatici, ossia i dati sul traffico, che sono regolati da uno specifico regime giuridico in ragione del fatto che tali tipologie di dati vengono generati da sistemi informatici al fine di porre in essere un’attività di indirizzamento della comunicazione dalla sua origine fino alla destinazione prefissata.

Questa particolare categoria individuata dall’articolo 1 lettera d) della Convenzione è particolarmente importante in sede di ricerca della prova, in quanto, in molti casi, l’attività di trasmissione dei dati risulta fondamentale al fine di individuare sia la fonte della comunicazione che gli elementi che costituiscono la prova del reato.

Caratteristica del flusso di dati è la loro durata limitata, per questo motivo è necessario creare meccanismi di conservazione preventiva, al fine di mantenerne l’integrità a fini probatori.

La definizione proposta elenca in maniera esaustiva tutte gli elementi che costituiscono il traffico dei dati; l’origine, la destinazione, il percorso, Il tempo, la data, la grandezza, la durata e il tipo di servizio.

(18)

Occorre però specificare alcuni degli aspetti sopra illustrati. Con il termine origine si intendono tutti quegli strumenti informatici, che fungono da principale stimolo, come ad esempio numeri telefonici e indirizzi IP.

Per destinazione invece si riferisce qualsiasi sistema informatico indicato come destinatario del flusso dei dati.

Un appunto importante da tenere in considerazione riguarda la facoltà, lasciata agli Stati contraenti, di poter introdurre una specifica differenziazione, in materia di traffico dei dati, per la regolazione della protezione di dati particolarmente sensibili. Infatti, guardando all’articolo 15, che tratta di mezzi a tutela dell’integrità del traffico di dati, si stabiliscono criteri minimi per la protezione, che siano però coerenti con i diritti individuati dalle più importanti carte internazionali.

Da questa particolare impostazione deriva, in maniera indiretta, la necessità di differenziare, soprattutto in sede di ricerca della prova, i criteri sostanziali e le relative procedure, guardando proprio, come elemento di discrimine, il grado di sensibilità dei dati.

1.3. Elementi di diritto penale sostanziale.

Come già anticipato in principio alla presente trattazione, il secondo capitolo della

Convenzione sul crimine informatico si compone di tre sezioni, la prima contiene una disciplina di diritto penale sostanziale, la seconda di diritto processuale penale e infine la terza riguarda le norme in generale in materia di giurisdizione.

Le finalità della prima sezione del capitolo in esame sono chiaramente indicate nell’

explanatory report. Infatti, al fine di perseguire al meglio i crimini attuati con sistema

informatico, occorre individuare “uno standard minimo comune di condotta di reato”12_.

Questo tipo di armonizzazione, previsto dalla Convenzione, ha come fine utile il rafforzamento dell’azione penale sia a livello nazionale che a livello internazionale.

Ulteriore conseguenza di questo tipo di impostazione è costituita dalla possibilità di rafforzare, tramite un continuo scambio di informazioni, le modalità di approccio al caso concreto.

(19)

La lista di illeciti penali proposta dalla Convenzione rappresenta un importante punto di partenza per la persecuzione di reati contro l’integrità di dati e sistemi informatici; tuttavia, non si esclude un’ulteriore integrazione dell’elencazione ad opera del legislatore italiano, fino ad includere fattispecie non previste nella Convenzione.

La Sezione I è suddivisa in ben cinque titoli. Il primo Titolo racchiude la maggior parte dei reati contro l’integrità, confidenzialità e accessibilità dei dati e dei sistemi informatici.

Queste condotte criminali rappresentano i principali rischi a cui i beni giuridici, individuati dalla Convenzione, sonno esposti.

Successivamente i Titoli dal secondo al quarto prevedono le ulteriori fattispecie di reato, attraverso l‘ausilio di computer oppure di altri strumenti di telecomunicazione, al fine di aggredire beni, che già sono oggetto di tutela contro azioni criminali poste con mezzi tradizionali.

I reati del Titolo II sono stati introdotti in seguito e grazie delle Linee guida previste dalla Raccomandazione n. 9 del Consiglio d’Europa.

Il Titolo III racchiude il principale assetto accusatorio dei reati concernenti la distribuzione e la produzione di materiale pedopornografico.

La Commissione preposta alla creazione di una bozza di convenzione saggiò la possibilità di incorporare, sempre all’interno del Titolo III, fattispecie di reato che puniscono la divulgazione di materiale informatico al fine di propaganda ed incitamento all’odio razziale. In merito a questa proposta la Commissione non poté operare a causa del mancato consenso favorevole alla criminalizzazione di tale condotta. Infatti, sebbene una buona parte degli Stati fosse favorevole ad attribuire rilevanza penale a queste tipologie di attività, alcune delegazioni sottolinearono la possibile illegittima limitazione del diritto d’espressione.

A causa quindi della complessità della materia, evidenziata in sede di negoziazione, si operò la scelta di non aggiungere questa fattispecie all’interno della Convenzione sulla criminalità informatica.

Il Titolo IV tratta l’annosa questione della tutela della proprietà intellettuale, attraverso l’individuazione di fattispecie penali lesive del copyright. Infatti, come si è sottolineato in sede di explanatory report, la maggior parte dei crimini informatici riguardano tali odiose attività in danno alla proprietà intellettuale.

(20)

Infine, all’interno del titolo V vi è la regolazione delle fattispecie di tentativo e di concorso nel reato, guardando, con particolare interesse alle forme di responsabilità, definite anche a livello internazionale, delle imprese.

Caratteristica rilevante della regolazione penale di questo settore informatico è il particolare utilizzo di un linguaggio, che sebbene richiami concetti tipici dell’informatica, risulta essere neutro, così da poter includere il maggior numero di fattispecie concrete in quelle astratte, ma avendo anche un occhio fisso al futuro e al cambiamento.

Ulteriore particolarità risiede nel continuo utilizzo di espressioni quali “senza diritto” oppure “senza autorizzazione”. Infatti, queste tipologie di condotte non sono sempre punibili, in quanto è sempre possibile l’applicazione delle cause d’esclusione delle responsabilità penale.

Alla luce di quanto definito poc’anzi occorre fare un’ulteriore precisazione riguardo alla definizione generale di “senza diritto” data dalla Convenzione. Infatti, seguendo le linee guida di interpretazione delineate dall’explanatory report, si nota che il significato è particolarmente ampio e vario a seconda del contesto di applicazione.

Alla luce di questa particolarità evidenziata si è cercato, in sede negoziale, di influenzare il meno possibile l’attività di implementazione di questo concetto in sede di recepimento, lasciando la libera interpretazione della definizione allo Stato contraente.

Tutte i reati contenuti nel Capitolo II Sezione I, prevedono come elemento soggettivo necessario, ai fini della loro integrazione, l’intenzione o il dolo.

In alcune disposizioni è lasciata allo Stato la possibilità, in sede di recepimento, di prevedere ulteriori fatti penalmente rilevanti, così come particolari eccezioni.

Queste clausole sono state inserite al fine di creare un sistema di regolazione penale della criminalità informatica il più flessibile possibile e capace di adattarsi alla prova del tempo.

Ulteriore raccomandazione posta in essere dalla Convenzione sulla criminalità informatica riguarda la fase di recepimento di queste nuove tipologie di reati. Infatti, si evidenzia la necessità di un’implementazione chiara e specifica, al fine di creare una certa determinatezza della condotta, che successivamente dovrà essere oggetto di sanzione penale.

Dopo questa breve introduzione occorre analizzare in maniera più dettagliata il contenuto del Titolo I, che, come ricordato poc’anzi, contiene i reati contro l’integrità, confidenzialità e accessibilità di sistemi e dati informatici.

(21)

L’articolo 2 della Convenzione sulla criminalità informatica tratta la regolazione penale di quelle attività di accesso, definito come illegale o senza autorizzazione, ad un sistema informatico o a parte di esso.

La disciplina di tale fattispecie si presta ad includere le principali condotte criminali avverse alla sicurezza dei sistemi e dei dati informatici.

Tali gravi intrusioni nello spazio privato della persona, come ad esempio l’accesso ad

e-mail o a password, espongono il sistema e il dato stesso a pericolosi rischi, oppure possono

costituire la base per crimini più gravi, come il reato di truffa o di contraffazione.

Ulteriore elemento della previsione da prendere in considerazione risiede nella definizione di accesso. Infatti, è necessario, per integrare la fattispecie criminale, entrare senza autorizzazione in un sistema informatico oppure in una parte di esso. Tuttavia, stando al tenore letterale della disposizione, è escluso dalla concezione di accesso il semplice invio a quel sistema informatico di e-mail oppure di altre tipologie di dati13_.

Elemento caratterizzante la condotta è l’accesso ad un sistema o dato informatico, senza autorizzazione, ossia mancando un’autorizzazione del proprietario ovvero, se si fa riferimento al caso dell’attività di ricerca della prova, difettando le condizioni previste dalla legge. Si noti che non si può ritenere penalmente rilevante un’attività di accesso a sistemi o dati informatici resi disponibili gratuitamente al pubblico, dovendosi in questo caso considerare l’autorizzazione come implicitamente presente.

In sede di redazione della Convenzione sulla criminalità informatica si è evidenziato anche la preesistenza, in alcuni ordinamenti, di norme che regolano, in modo variegato, tale fenomeno criminale e per questo motivo le novità introdotte in sede internazionale non possono essere considerate come assolutamente inconfutabili. Infatti, si lascia ai legislatori nazionali, l’individuazione di ulteriori qualificazioni della condotta criminale, così come le definizioni di casi in cui l’offensività dell’azione penale non rileva, come nel caso di intrusione senza autorizzazione al fine di testare la sicurezza dei sistemi (white hat

hacking).

Da ciò deriva un’ampia scelta, da parte degli Stati contraenti, delle modalità di implementazione. Infatti, si può procedere ad un recepimento a carattere più ampio,

(22)

seguendo semplicemente la nozione generale di accesso senza diritto o autorizzazione, oppure specificare una finalità della condotta, come la divulgazione di informazioni particolarmente riservate.

L’articolo 3 della Convenzione sulla criminalità informatica tratta invece la regolazione penale dell’intercettazione abusiva, affermando la necessità di individuazione della condotta criminale da parte degli Stati contraenti. Infatti, sono penalmente rilevanti le azioni di “'intercettazione senza autorizzazione, fatta con mezzi tecnici, di trasmissioni non pubbliche di dati informatici a, da o all'interno di un sistema informatico, incluse le emissioni elettromagnetiche da un sistema informatico che ha tali dati informatici”14_.

L’articolo 3 ha come obiettivo la tutela della segretezza della trasmissione dei dati e a questo fine si prevede un impianto di regolazione simile al reato posto in essere attraverso mezzi tradizionali di intercettazione oppure per mezzo di registrazione della conversazione telefonica fra due persone.

Occorre ricordare che il diritto alla segretezza della corrispondenza, come ricordato dall’explanatory report, è un diritto previsto anche in sede internazionale e in particolare dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo e delle libertà fondamentali ed è anche per questo motivo che la Convenzione sembra avere particolarmente “a cuore” questa tematica.

Elemento fondamentale, al fine della corretta interpretazione della norma internazionale, è la definizione delle azioni criminali posti attraverso l’ausilio di “mezzi tecnici” e a tal fine viene in soccorso l’explanatory reports, affermando che sono penalmente rilevanti “le azioni di ascolto, monitoraggio o sorveglianza del contenuto delle comunicazioni, attraverso un accesso diretto al sistema informatico oppure indiretto, con l’ausilio di strumenti di intercettazione [….] per mezzi tecnici si includono strumenti immessi in una determinata linea di trasmissione, ovvero dispositivi di intercettazione di dati trasmessi per via wireless”15_.

Ulteriore elemento riguarda il carattere privato del dato illecitamente intercettato. Tuttavia, il termine “non pubblico” utilizzato dalla Convenzione si riferisce esclusivamente

14_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 1, Articolo 3} 15_{Council of Europe, Explanatory Report to the Convention on Cybercrime}

(23)

al processo di trasmissione della comunicazione e non alla semplice natura del dato carpito. Infatti, è penalmente rilevante l’illecita intercettazione di una comunicazione avente come contenuto informazioni che erano già disponibili al pubblico.

Ai fini dell’imputazione della responsabilità penale l’articolo 3 prevede l’elemento soggettivo dell’intenzione o del dolo accompagnato dalla mancanza di una particolare autorizzazione, che può essere prevista da una fonte prevista dall’ordinamento, oppure rappresentata dall’espresso consenso dei partecipanti alla conversazione.

Indagando le rispettive discipline penali degli Stati contraenti, in materia d’illecita intercettazione, molti ordinamenti hanno previsto una regolazione del fenomeno criminale simile per molti aspetti al reato di accesso illegale ad un sistema informatico previsto a livello internazionale.

L’explanatory report, per questo motivo, ha sottolineato la necessità di maggior coerenza possibile fra le due fattispecie, in relazione all’applicazione della norma penale. Infatti, qualora si operi una ricezione dell’articolo 2 della Convenzione mediante strumenti qualificatori della fattispecie, come la presenza dell’elemento soggettivo del dolo specifico, allora si ritiene necessario, al fine del corretto recepimento della normativa internazionale, l’estensione di tali elementi anche all’articolo 3.

Ulteriore caratteristica che deve essere presente in entrambi gli articoli in fase di ricezione è una definizione di “senza diritto” o “senza autorizzazione” simile, così da garantire una certa coerenza fra queste due fattispecie criminali.

L’articolo 4 della Convenzione sulla criminalità informatica regola la fattispecie di attentato all’integrità dei dati e proprio in questa disposizione assistiamo all’elevazione di questi a beni oggetto di tutela penale.

La condotta punisce il “danneggiamento, la cancellazione, il deterioramento, la modifica o la soppressione di dati informatici senza autorizzazione”16_.

La finalità di questa disposizione è offrire una solida protezione contro attività criminali a danno di dati informatici simile, per quanto possibile, a quella prevista per i beni fisici.

Oggetto di tutela è quindi soprattutto l’integrità e il funzionamento dei dati inseriti in sistemi informatici.

(24)

Passando ad esaminare la descrizione della condotta prevista all’articolo 4 si nota che per danneggiamento e deterioramento s’intendono “[…] atti collegati in particolare ad una alterazione negativa dell’integrità o dell’informazione di dati e programmi”17_.

Le attività di cancellazione, invece, sono attività equivalenti alla distruzione reale della cosa e per soppressione s’intende ogni azione contro l’accessibilità del dato.

Infine, il termine alterazione incorpora attività di illecita modificazione.

Anche in questa disposizione troviamo il riferimento alla mancanza di autorizzazione. Infatti, non possono essere considerate attività penalmente rilevanti le pratiche commerciali comuni nel settore aventi oggetto la modificazione o alterazione, come ad esempio il testare la sicurezza e la protezione del computer personale con il consenso del proprietario, così come attività di configurazione del sistema operativo qualora il proprietario acquisti un nuovo software.

Ugualmente prive di rilevanza penale risultano le attività di modificazione del dato informatico al fine di rendere la comunicazione anonima o più sicura.

Infine, a chiusa dell’articolo 4, si individua la possibilità per gli Stati contraenti di poter richiedere, come elemento di qualificante la fattispecie, che la condotta criminale abbia arrecato un grave pregiudizio al bene giuridico.

La definizione di grave pregiudizio sarà rimessa all’autonomia legislativa degli Stati che però sono obbligati a dare comunicazione al Segretariato Generale del Consiglio d’Europa dell’interpretazione accolta.

L’articolo 5 della Convenzione sulla criminalità informatica individua la fattispecie criminale dell’attentato all’integrità del sistema. A norma dello stesso è punito “il serio impedimento, senza alcun diritto, del funzionamento di un sistema informatico tramite l’introduzione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l’alterazione o la soppressione di dati informatici”18_.

La norma descritta mira alla criminalizzazione delle azioni poste in essere al fine di ostacolare l’uso legittimo non solo di sistemi informatici, ma anche di sistemi di telecomunicazioni.

17_{Council of Europe, Explanatory Report to the Convention on Cybercrime}

(25)

Il termine “impedire” si riferisce soprattutto ad azioni che interferiscono con il regolare funzionamento del sistema informatico attraverso attività “… di immissione, trasmissione, danneggiamento, alterazione o soppressione di dati informatici”19_.

Ai fini della rilevanza penale dell’attività di impedimento, questa deve inoltre risultare “seria”.

Gli Stati, in sede di recepimento, dovranno precisare i criteri di definizione del “serio impedimento”, prevedendo ad esempio l’individuazione di un danno minimo che la condotta deve causare per essere penalmente perseguibile.

Un’ipotesi di “serio impedimento” si può trovare nell’explanatoty report. A tenore di quest’ultimo possono essere definite serie le azioni di trasmissione di dati, aventi forma o frequenza tale da provocare un significativo deterioramento del funzionamento del sistema informatico oppure della sua capacità di comunicazione con altri sistemi.

Ne sono un esempio i programmi che generano attacchi di “rifiuto di servizio”, l’utilizzo di particolari tipi di virus, che prevengono oppure rallentano le attività del sistema e infine l’invio di numerose e-mail al fine di bloccare la comunicazione.

Per quanto riguarda attività di pubblicità indesiderata per mezzo di posta elettronica o

spam, nonostante la continuità e la persistenza di tali condotte la Convenzione nulla

dispone, anche se le azioni in esame spesso sono causa del blocco delle comunicazioni. Si lascia comunque libertà agli Stati contraenti di far ricadere questa attività all’interno del reato di attentato all’integrità del sistema.

Infine, a chiusura della Sezione I, troviamo disciplinata la fattispecie criminale di abuso di apparecchiature, ossia tutte quelle azioni commesse intenzionalmente e senza autorizzazione alcuna, di vendita, produzione, approvvigionamento, distribuzione o semplice messa a disposizione di apparecchiature, inclusi anche programmi, destinati alla commissione di tutti i precedenti reati.

Rientra ulteriormente nella fattispecie criminale la vendita e produzione di password, codici di accesso o altre informazioni utili all’intrusione in un sistema informatico.

È sufficiente, al fine della punibilità della condotta, anche il semplice possesso di uno di questi tipi di programma.

(26)

La finalità ultima della disposizione è l’individuazione delle attività propedeutiche alla commissione dei reati in esame. Infatti, la sapiente scelta di trattare come fattispecie autonome e separate queste particolari azioni criminali, viene dettata dalla volontà di punire non solo i maggiori produttori di “hacking tool”, ma soprattutto il mercato, spesso invisibile, di tali strumenti lesivi della confidenzialità, integrità e disponibilità di dati e sistemi informatici.

In sede di Conferenza si è presa coscienza di quanto sia di vitale importanza il perseguimento di tali tipologie di reato, in quanto solo punendo direttamente alla fonte tali condotte si può scongiurare la maggior parte dei crimini informatici.

Occorre poi tracciare un confine tra attività di distribuzione e semplice messa a disposizione. Infatti, con la prima si intendono tutte le attività di promozione e di trasmissione ad un soggetto determinato, mentre con la seconda la semplice immissione

online dei questi tipi di programmi per la fruizione di una platea indefinita di utenti.

La terminologia utilizzata tende a coprire anche l’utilizzo di hyperlink, al fine di favorire l’accessibilità a questi strumenti di per sé criminali.

Successivamente occorre poi definire quali tipologie di programmi informatici sono oggetto di censura penale.

Dalla lettura dell’explanatory reports si può identificare questa categoria di programmi attraverso il criterio del fine ultimo della loro esistenza, ossia l’alterazione o la distruzione dei dati informatico, oppure la costituzione di un’indebita inferenza nelle operazioni poste in essere dal sistema stesso.

Questa spiegazione base dei programmi censurabili ex articolo 6 individua una categoria molto ampia costituita soprattutto da virus programmati per la distruzione o per la sottrazione di dati informatici.

Problematica fondamentale, affrontata in sede di stesura della Convenzione, è rappresentata dall’incorporazione o meno nella categoria di programmi progettati con finalità diverse, come programmi commerciali che, per le loro predefinite caratteristiche, possono però potenzialmente rientrare nei programmi individuati dall’articolo 6.

La Commissione incaricata della stesura della convenzione esaminò le possibili soluzioni percorribili.

Prima soluzione è identificata nella inapplicabilità della disposizione in esame a queste tipologie di programmi definite a doppio uso. Tuttavia, tale impostazione appare assai

(27)

discutibile in quanto porterebbe ad insormontabili difficoltà in sede di prova degli elementi fondanti la fattispecie.

La soluzione alternativa, ossia l’applicabilità a queste tipologie di programmi, anche se prodotti legalmente, è allo stesso modo da rigettare in quanto, non operando alcuna distinzione, si mettono sullo stesso piano programmi illeciti di per sé e programmi che non hanno questa finalità.

Da qui si opera la scelta di prevedere obbligatoriamente, come elemento di discrimine, l’elemento soggettivo ovvero l’intenzione.

Questa scelta, che ha natura di compromesso, tende però a comprendere solo i casi di utilizzo di strumenti informatici, adattati o creati, al fine della commissione di quei reati previsti dalla Convenzione, escludendo quindi, de facto, i programmi a doppio uso, in quanto nulla si afferma riguardo a questa peculiare categoria.

Interessante è la misura prevista al punto 1b) dell’articolo 2, laddove si afferma che è necessario, al fine del perseguimento di questa fattispecie di reato, il semplice possesso di questi strumenti criminali.

Nulla si dispone sulla necessità o meno della coscienza del possesso; tuttavia si afferma che agli Stati membri è attribuita la competenza di individuare il numero di programmi che possono essere posseduti dal momento che la quantità detenuta di questi può essere considerato elemento fondante dell’intento criminale.

Ulteriore elemento d’interesse si ritrova al secondo comma dell’articolo 6, laddove si afferma che “questo articolo non va interpretato nel senso di prevedere una responsabilità penale laddove la produzione, la vendita, l’approvvigionamento per l’uso, l’importazione, la distribuzione o l’utilizzazione in altro modo o il possesso di cui al paragrafo 1 di questo articolo, non avvenga allo scopo di commettere un reato in base agli articoli da 2 a 5 di questa Convenzione, come anche per il collaudo autorizzato o la protezione di un sistema informatico”20_.

Questa disposizione è nata al fine di evitare la overcriminalization di attività che nascono e si sviluppano in un mercato di per sé con scopi legali, come ad esempio quello dei programmi di difesa del sistema informatico.

20_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 1, Articolo 6}

(28)

Per questo motivo, grazie al principio sotteso a tale disposizione, l’elemento soggettivo della fattispecie deve essere inteso come un’intenzione, non solo diretta al danneggiamento del sistema o dato informatico, ma soprattutto all’abuso o all’uso improprio di questi programmi, nati con finalità differenti.

Con l’articolo 7 della Convenzione sulla criminalità informatica si apre il Titolo II della prima sezione, intitolato “Dei reati informatici”. Infatti, nell’ambito di questo, vengono trattate le fattispecie criminali collegate all’uso dei sistemi informatici.

Occorre però evidenziare che molti Stati hanno già previsto, all’interno del proprio ordinamento, molte delle fattispecie rientranti nel Titolo II. Tuttavia, le discipline già esistenti potrebbero non essere sufficienti all’adeguata tutela dei beni giuridici oggetto della Convenzione, non prevedendo ad esempio la criminalizzazione della detenzione e trasmissione di immagini elettroniche pedopornografiche. Infatti, in alcuni ordinamenti, questa tipologia di condotta non rientra nel reato di pedopornografia.

Alla luce di questa riflessione, gli Stati dovranno guardare principalmente alle loro leggi nazionali di regolazione di questi fenomeni criminali e, in sede di recepimento, dovranno modificarle, se necessario.

L’articolo 7 della Convenzione prevede la fattispecie criminale di falsificazione informatica e l’obiettivo, posto in essere dal trattato internazionale, è la creazione di un reato parallelo alla falsificazione tradizionale, con cui si richiedeva la sola contraffazione di un documento fisico, escludendo de facto i dati in forma elettronica.

L’attività di manipolazione di questi ultimi ha l’effetto simile, se non identico alla concezione tradizionale, di indurre in errore oppure ingannare i destinatari del dato.

L’articolo 7 descrive come reato di falsificazione informatica “l’introduzione, l’alterazione, il possesso o la soppressione di dati informatici derivanti da dati non autentici con l’intento che essi siano presi in considerazione o utilizzati con fini legali come se fossero autentici, senza avere riguardo al fatto che i dati siano o meno direttamente leggibili o intelligibili”21_.

(29)

Stando al tenore letterale della disposizione sono penalmente rilevanti le attività di falsificazione di dati contenuti in sistemi informatici, al fine dell’acquisizione del documento alterato come prova soprattutto in sede processuale.

I beni giuridici tutelati da questa disposizione sono essenzialmente due, ossia l’autenticità delle informazioni contenute nel dato informatico, così come la fede pubblica, in quanto queste tipologie di prove o documenti sono spesso pensati per la divulgazione ad una platea indefinita di individui e molto spesso a fine di propaganda di informazioni false, o meglio, usando un termine ormai popolare, di fake news.

Per quanto riguarda il concetto di falsificazione si registra una massiccia diversità di contenuti. Infatti, possono rientrare nello stesso le attività di falsificazione che riguardano l’autore del dato, ossia attività di plagio o di sostituzione di persona, ovvero il contenuto del documento o atto.

Per questo motivo l’inganno deve comunque, almeno in minima parte, riferirsi all’autore, a prescindere dalla veridicità o correttezza del dato.

La disposizione in oggetto comprende i documenti o dati sia pubblici che privati e le attività penalmente rilevanti si identificano nelle azioni di alterazione, cancellazione e soppressione, ossia nel nascondimento di parti del contenuto.

Infine, gli Stati possono ulteriormente specificare la fattispecie criminale attraverso l’enunciazione della volontà di truffare la vittima della falsificazione, purché però corrisponda una responsabilità penale del fatto.

L’articolo 8 della Convenzione sulla criminalità informatica tratta di un fenomeno sempre più in crescita nel mondo criminale, ossia la frode informatica, perpetrata molto spesso attraverso il trasferimento senza autorizzazione alcuna dei fondi monetari oppure elettronici detenuti in un sistema informatico.

La disposizione individua due modalità di estrinsecazione della condotta ossia, alla lettera a), “ogni introduzione, alterazione, cancellazione o soppressione di dati informatici” e, alla lettera b), “ogni interferenza nel funzionamento di un sistema informatico, con l’intento fraudolento o illegale di procurare, senza alcun diritto, un beneficio economico per sé

(30)

stesso o altri”22_{, attraverso le quali può essere cagionato un danno patrimoniale alla vittima}

del reato.

La lettera a) della disposizione copre le maggiori attività di intrusione in un sistema informatico, già trattate nel corso dell’indagine di diritto penale sostanziale, mentre la lettera b) ha carattere residuale, ossia incorpora tutte le attività che non sono espressamente previste al punto precedente, così da regolare penalmente la maggior parte delle attività di frode informatica.

Al fine dell’integrazione della fattispecie di frode informatica è necessario procurare alla vittima dell’azione criminale un danno patrimoniale, ovvero la perdita della proprietà di un bene, mentre, dal lato del soggetto attivo della fattispecie, è richiesto l’intento di conseguire un ingiusto guadagno frutto dei proventi dell’attività illecita.

Infine, per perdita di proprietà, essendo una nozione molto varia, s’intende la perdita di beni tangibili o intangibili aventi un qualsiasi valore economico.

Con l’articolo 9 si apre il Titolo III, dedicato ai reati relativi al contenuto di dati o sistemi informatici e in questa sede vi è la regolazione penale dei reati attinenti alla pornografia infantile, al fine di incrementare le misure di tutela dei minori attraverso la protezione contro lo sfruttamento sessuale e modernizzando le disposizioni in materia al fine di ricomprendere anche i sistemi informatici.

La disposizione contenuta all’articolo 9 della Convenzione sulla criminalità informatica è il risultato di un percorso nato in sede di Consiglio d’Europa, più precisamente nel secondo

summit, in cui si sono riuniti i capi di Stato e di governo a Strasburgo nel 1997, e in questa

sede si è adottato un action plan che corrisponde alla volontà espressa in sede internazionale di perseguire la pornografia minorile.

Ulteriore riprova di questa volontà internazionale si registra anche in sede di Nazioni Unite con il Protocollo opzionale alla Convenzione sui diritti del fanciullo sulla vendita dei bambini, la prostituzione dei bambini e la pornografia rappresentante bambini.

La disposizione in oggetto regola penalmente i maggiori aspetti del fenomeno criminale della pornografia minorile, partendo dalla produzione fino ad arrivare alla distribuzione e infine al possesso dei materiali pedopornografici.

(31)

Come si è già affermato in precedenza, molti ordinamenti nazionali già prevedono questa tipologia di reato. Tuttavia, essa è collegata ad una visione puramente tradizionale del reato, ossia all’elemento fisico della distribuzione, trattandosi però di un’impostazione ormai datata e che si rivela assolutamente insufficiente. Infatti, la consumazione di tale reato si è ormai spostata su una piattaforma virtuale che è l’internet, ossia un luogo puramente astratto e senza confini precisi e predeterminati.

Alla luce di ciò si è rivelata assolutamente necessaria una regolazione internazionale del fenomeno criminale, rimediando ai limiti che sono inevitabilmente presenti all’interno dei singoli ordinamenti.

Il punto 1a) dell’articolo 9 regola la fattispecie penale di produzione di materiale pedopornografico al fine di distribuzione per mezzo di un sistema informatico e in questa sede si combatte la prima e più importante battaglia contro questa attività criminale, colpendone soprattutto la fonte.

Il punto 1b) criminalizza l’offerta o la messa a disposizione di materiale pedopornografico. Per offerta s’intendono le attività di sollecitazione rivolte ad altri soggetti al fine dell’ottenimento del materiale illecito, mentre la locuzione rendere disponibile si riferisce alle attività di immissione su una piattaforma online, come ad esempio siti web, del materiale destinato però all’utilizzo di altri soggetti.

Il punto 1c) regola invece le attività di distribuzione del materiale pedopornografico, mentre i punti 1d) e 1e) regolano rispettivamente le attività di procuramento e di semplice possesso del materiale incriminato.

Successivamente al punto 2 dell’articolo 9 la Convenzione sulla criminalità informatica si occupa della definizione del concetto di materiale pedopornografico. Si identificano a tal proposito i tre principali metodi di raffigurazione, ossia “un minore coinvolto in un comportamento sessuale esplicito”, “un soggetto che sembra essere un minore coinvolto in un comportamento sessuale esplicito” e infine “immagini realistiche raffiguranti un minore coinvolto in un comportamento sessuale esplicito”.

In queste tre modalità di tipizzazione della fattispecie penale i beni giuridicamente tutelati sono lievemente diversi fra loro. Infatti, nel primo caso si difende il minore da atti di abuso, nel secondo e nel terzo caso si prevede una protezione da azioni che, anche se non creano alcun tipo di danno al soggetto raffigurato, possono incoraggiare l’adescamento e quindi favorire indirettamente l’abuso sui minori.

(32)

Infine, il terzo comma definisce il termine “minore”, coerentemente con la definizione data in sede di Nazioni Unite, come persona di età inferiore ai 18 anni e questo elemento risulta particolarmente importante, poiché si stabilisce uno standard internazionale a tale riguardo.

Si registra però, in alcuni ordinamenti, un limite d’età diverso da quanto statuito dalla disposizione e in linea di principio la Convenzione fa salve tali divergenze, purché il limite di età non sia inferiore ai 16 anni.

Per quanto riguarda la responsabilità penale in linea generale sono perseguibili le attività di produzione, distribuzione e semplice possesso attuato mediante dolo o con l’intenzione. Infatti, una persona non può essere considerata penalmente responsabile in assenza di tale elemento soggettivo. Occorre pertanto la dimostrazione della “conoscenza” e del “controllo” sull’informazione trasmessa oppure conservata.

Per questo motivo non possono ritenersi penalmente perseguibili le attività di service

provider, ossia servizi di passaggio dell’informazione oppure di host provider in determinati

siti web. Infine, il quarto comma dell’articolo 9 stabilisce il diritto degli Stati contraenti di prevedere eccezioni riguardo le fattispecie sopra descritte, previa informazione al Segretario Generale del Consiglio d’Europa.

Con la chiusura dell’articolo 9 si apre un nuovo titolo dedicato interamente ai reati concernenti il diritto di proprietà intellettuale e in questa sede si affronteranno le più comuni fattispecie criminali concernenti la riproduzione oppure la diffusione nell’internet di materiali letterari, audiovisivi e musicali, coperti da copyright.

La facilità e soprattutto la portata del fenomeno di riproduzione e diffusione in network elettronici di copie non autorizzate hanno portato alla necessità di una regolazione penale il più possibile uniforme al fine di una collaborazione internazionale.

Il comma 1 dell’articolo 10 individua la fattispecie criminale di violazione della proprietà intellettuale in quanto tale, mentre il comma 2 riguarda la violazione dei diritti connessi al copyright.

Le attività di censura delle infrazioni della proprietà intellettuale così come i diritti connessi vengono regolati soprattutto a livello nazionale in ottemperanza degli obblighi assunti in sede internazionale.

Infatti, agli Stati è richiesta la creazione di strumenti penali efficaci e precisi al fine di contrastare questo nuovo e sempre più frequente fenomeno criminale.