I PRINCIPI GENERALI IN TEMA DI CYBERCRIMES E CYBERSECURITY
NEL DIRITTO INTERNO E SOVRANAZIONALE
Prof. Avv. LORENZO PICOTTI
Ordinario di Diritto Penale – Direttore Osservatorio Cybercrime - Università di Verona
MERCOLEDÌ 14 APRILE 2021 CORTE SUPREMA DI CASSAZIONE
AULA VIRTUALE TEAMS
LE NUOVE FORME DI CRIMINALITA’ VIRTUALE
La «rivoluzione cibernetica»
impatto sui rapporti sociali e giuridici
Informatica: trattamento automatizzato di dati (tramite programmi per «calcolatori») Rete: connessione di computer tramite protocolli di comunicazione: web > world wide web > apertura al pubblico (’94-95) Cyberspace: dimensione globale ed
interattiva > Social Network, dispositivi mobili (smartphone, tablet, portatili) >
connessione permanente (wifi, 5 G) per ogni attività: «Infosfera» > privacy??
© Prof. Lorenzo Picotti 2
DA COMPUTER-CRIME A CYBER-CRIME (E A.I. CRIME?)
COMPUTER CRIMES Raccom. CoE (1989)
▪ Frodi informatiche
▪ Falsità informatiche
▪ Danneggiamenti di dati
▪ Sabotaggi informatici
▪ Accessi non autorizzati
▪Intercettazioni non autorizzate
▪ Riproduzione non autorizzata di programmi e topografie
▪ Hacking, Cracking
▪ Spamming
▪ Mail-Bombing
▪ Phishing, Smishing
▪ Identity theft
▪ Cybersquatting, Pharming
▪ Malware
▪ Botnet
▪ DoS
▪ Cyberterrorism
▪ Cyberstalking
▪ Childpornograpphy
▪ Child grooming
▪ Revenge porn Internet 1994
Cyberspace
CYBER CRIMES
© Prof. Lorenzo Picotti 4
DA INFORMATICA AD I.A.
Automazione dell’elaborazione dati «secondo un programma»: risultato sostituisce quello
che avrebbe raggiunto l’uomo
Sistemi esperti, motori di ricerca, self-learning machine: acquisizione di dati nuovi da web (big data, IoT) ed ambiente : profili cognitivi I.A. porta a selezione e decisione: volontà dell’algoritmo? effetti imprevedibili?
Attuazione operativa: robotica, self driving
car, telemedicina, armi intelligenti, …
prof. Lorenzo Picotti ©
CONNETTIVITA’ PERMANENTE, BIG DATA, INTELLIGENZA ARTIFICIALE
▪ Capacità di memoria/cloud
▪ Velocità trasmiss./ricezione
▪ Wi-Fi «diffuso» e reti mobili
▪ Portatili, smartphone, tablet
▪ Interazioni e social network:
➢ sottostanti rapporti reali
▪ Cookies, dati di traffico
e personali (voci, immagini)
▪ Motori di ricerca
▪ Pubblicità personalizzata
▪Profilazioni e uso illecito
▪Internet of Things
▪ Trasporti: guida assistita, automatizzata, connessa, autonoma…..
▪ Smart Road
▪ Droni, usi bellici SISTEMI
ESPERTI
INTELLIGENZA ARTIFICIALE CONNETTIVITA’
PERMANENTE
Il web interattivo: utenti «autori» e
«vittime» spesso “vulnerabili”
▪ Vittime da proteggere: spesso ignare o “vulnerabili” – individui, enti, collettività: phishing, identity theft,
raccolta occulta o indiretta e trattamenti illecito dati
personali, «profilazione» commerciale (art. 22 GDPR)
▪ Minori: cyberbulling, cyberpornography,
childegrooming, sexting (Cass. SU 31.5.2018, n. 51815)
▪ Soggetti esposti a discriminazioni: caso Myanmar
▪ In generale “non aventi cittadinanza” in Stati membri >
il reato cibernetico è strutturalmente transnazionale Direttiva europea 2012/29/UE del 25.10.2012 protezione vittime di reato (attuata d.lgs. 15 dicembre 2015, n. 212)
© Prof. Lorenzo Picotti 6
Council of Europe
Convention on Cybercrime (Budapest, 23.XI.2001) Article 1 – Definitions
For the purposes of this Convention:
A) "computer system" means any device or a group of interconnected or related devices, one or more of which, pursuant to a program,
performs automatic processing of data;
B) "computer data" means any representation of facts, information or concepts in a form
suitable for processing in a computer system, including a program suitable to cause a
computer system to perform a function;
© Prof. Lorenzo Picotti 8
Direttiva 2013/40/UE
del Parlamento europeo e del Consiglio relativa agli attacchi contro i sistemi di informazione, che sostituisce la decisione quadro 2005/222/GAI
a) «sistema di informazione»: un’apparecchiatura o gruppo di apparecchiature interconnesse o collegate, uno o più dei quali svolge un trattamento automatico di dati informatici secondo un programma, nonché i dati informatici immagazzinati da tale apparecchiatura
o gruppo di apparecchiature, trattati, estratti o
trasmessi dagli stessi ai fini della loro gestione, uso, protezione e manutenzione;
b) «dati informatici»: una rappresentazione di fatti, informazioni o concetti in una forma che può essere trattata in un sistema di informazione, compreso un
programma atto a far svolgere una funzione a un sistema di informazione;
DEFINIZIONI (Art. 2)
I REATI PREVISTI DALLA
CONVENZIONE CYBERCRIME (Cons. Europa 2001)
• ART. 2: “Accesso illegale”
• ART. 3: “Intercettazione illegale”
• ART. 4: “Attentato all’integrità dei dati”
• ART. 5: “Attentato all’integrità dei sistemi”
• ART. 6: “Abuso di dispositivi”
• ART. 7: “Falsità informatica”
• ART. 8: “Frode informatica”
REATI INFORMATICI
“in senso stretto”
© Prof. Lorenzo Picotti 10
ALTRI REATI OGGETTO DI CONVENZIONI DEL CONSIGLIO D’EUROPA
• CONVENZIONE CYBERCRIME (2001)
Art. 9: Pedopornografia (anche “virtuale” e “apparente”)
Art. 10: Violazioni del diritto d’autore gravi: su “scala commerciale”
Art. 14, par. 2, (Conv. Cybercrime):
a) reati CIA: Confidentialty, Integrity, Availability e art. 9-10 b) Ogni altro reato commesso tramite sistemi informatici
c) Raccolta di prove in forma elettronica di qualsiasi reato Cap. III (art. 23 ss.): Cooperazione di polizia e giudiziaria
• PROTOCOLLO CONTRO IL RAZZISMO IN RETE (2003)
• CONVENZIONE DI LANZAROTE PER PROTEZIONE MINORI (2007)
REATI CIBERNETICI
“in senso ampio”
DISTINZIONI DEI «REATI INFORMATICI»
Reati informatici «in senso stretto»: elementi informatici nuovi «fatti»: accesso abusivo: art. 615 ter c.p.
nuove «modalità»: frode informatica: art.640 ter c.p.
nuovi «oggetti»: danneggiamenti: art. 635 bis ss.
c.p., falsità informatiche: art. 491-bis c.p., violazioni di esclusiva su programmi informatici, banche dati e opere digitali (legge dir. autore)
Reati «cibernetici»: Cyberspace ambiente di ogni crimine nuovi «reati»: attacchi DoS, phishing, identity theft, spamming, childgrooming, revenge porn,
cyberbulling, cyberstalking,….
reati tradizionali: diffamazione: art. 595, co.3, c.p., pedopornografia: art. 600 ter s. c.p., riciclaggio: art.
648 bis c.p., estorsione: art. 629 [+ 392 co. 3] c.p….
Art. 51, comma 3-quinquies c.p.p.
(L. 48/2008 e L. 172/2012)
Quando si tratta di procedimenti per i delitti,
consumati o tentati, di cui agli articoli 414 bis, 600 bis, 600 ter, 600 quater, 600 quater 1, 600
quinquies, 609 undecies, 615 ter, 615 quater, 615 quinquies, 617 bis, 617 ter, 617 quater, 617
quinquies, 617 sexies, 635 bis, 635 ter, 635 quater, 640 ter e 640 quinquies del codice penale, le
funzioni indicate nel comma 1, lettera a), del presente articolo, sono attribuite all'ufficio del pubblico ministero presso il tribunale del
capoluogo del distretto nel cui ambito ha sede il giudice competente.
© Prof. Lorenzo Picotti 12
CREAZIONE DI NUOVE FATTISPECIE AD HOC:
NUOVI BENI GIURIDICI
Es. ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza
ovvero
vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo
ART. 615-ter c.p.:
E’ punito con la reclusione da 6 mesi a 3 anni
© Prof. Lorenzo Picotti 14
CONTROVERSIE INTERPRETATIVE
Cass. Sez. un. 27.10.2011 (7.2.2012) Casani n. 4694 Cass. Sez. un. 26.3.2015 (24.4.2015) Rocco n. 17325 Cass. Sez. un. 18.5.2017 (8.9.2017) Savarese n. 41210
1) Se il fatto è commesso da un pubblico ufficiale o da un incaricato di pubblico servizio
con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio,
o da chi esercita anche abusivamente la professione di investigatore privato
o con abuso della qualità di operatore del sistema.
ART. 615-ter, comma 2, c.p.:
La pena è della reclusione da 1 a 5 anni
TECNICA DI FORMULAZIONE PER
«ANALOGIA» DEL LEGISLATORE Es. FRODE INFORMATICA (L. 547/1993)
Chiunque, alterando in qualsiasi modo il
funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalita’
su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se’ o ad altri un ingiusto profitto
con altrui danno [eventi consumativi = art. 640]
ART. 640 –ter c.p.:
E’ punito con la reclusione fino a 3 anni e la multa
© Prof. Lorenzo Picotti 16
FRODE INFORMATICA: AGGRAVANTI E MODIFICHE (D.L. 14.08.2013, n. 93 come conv. L. 15.10.2013, n. 119)
> reclusione da 1 a 5 anni e multa da euro 309 a 1.549 se ricorre una delle circostanze previste dal n. 1 )
del comma 2 ° dell’art. 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
> reclusione da 2 a 6 anni e multa da euro 600 a 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.
> Il delitto è punibile a querela della persona offesa,
salvo che ricorra taluna delle circostanze di cui al 2°e 3°
comma o un’altra circostanza aggravante.
ART. 640 –ter c.p., commi 2°, 3° e 4°:
specifiche qualità o modalità «informatiche»
PREVISIONE DI NUOVI OGGETTI LE «FALSITÀ INFORMATICHE» E LA TUTELA DELLA FEDE PUBBLICA
DOCUMENTI INFORMATICI
Art. 491-bis c.p.
[L. 547/1993 - modif. L. 48/2008 e D.lgs. 7/2016]
© Prof. Lorenzo Picotti 18
LA NOZIONE «EXTRAPENALE» DI DOCUMENTO INFORMATICO
NEL CODICE DELL’AMMINISTRAZIONE DIGITALE
DOCUMENTO INFORMATICO
Art. 1, lett. p) d.lgsl. 82/2005
“ Documento informatico:
la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti ”
ESTENSIONE DI CONCETTI GIÀ ESISTENTI:
ESERCIZIO ARBITRARIO DELLE PROPRIE RAGIONI MEDIANTE C.D. VIOLENZA INFORMATICA (L. 547/1993)
Si ha altresì violenza sulle cose allorché un programma informatico
viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato
il funzionamento di un sistema informatico o telematico.
[applicabile ad es. per estorsione via Internet: ransomware]
ART. 392, comma 3 c.p.:
«Violenza sulle cose [?]»
© Prof. Lorenzo Picotti 20
COLLOCAZIONE TOPOGRAFICA NEL CODICE PENALE E BENI GIURIDICI TUTELATI
“violenza informatica”
▪ ART. 392 comma 3 TITOLO III –
Amministrazione della giustizia
CAPO III
Esercizio arbitrario proprie ragioni
TITOLO VII - Falsità CAPO III
“in atti”
“falsi informatici”
•ART. 491-bis
“false dichiarazioni al certificatore di firme elettroniche”
▪ART. 495-bis TITOLO VII -
Falsità CAPO IV
“personali”
COLLOCAZIONE “TOPOGRAFICA” - TITOLO XII: CONTRO PERSONA
“pedopornografia”
• ART. 600-ter -quater
“pedoporn. virtuale"
• ART. 600-quater.1 CAPO III - Sezione I
Personalità individuale
CAPO III - Sezione IV Inviolabilità domicilio
“accesso abusivo”
• ART. 615-ter
• ART. 615-quater
• ART. 615-quinquies
“corrispondenza”:
▪ ART. 616, ult. comma
“intercettazioni”:
• ART. 617-quater
• ART. 617-quinquies
▪ ART. 617-sexies
“documenti segreti”:
▪ART. 621, comma 2
“altre comunicazioni”: CAPO III – Sezione V
Inviolabilità segreti CAPO III - Sezione III
Libertà morale “revenge porn”
ART. 600-quater.1
© Prof. Lorenzo Picotti 22
COLLOCAZIONE “TOPOGRAFICA” E BENI GIURIDICI TITOLO XIII: DELITTI CONTRO IL «PATRIMONIO» [e non solo]
TITOLO XIII - contro patrimonio
CAPO I
“mediante violenza”
“danneggiamenti informatici”
• ART. 635-bis
• ART. 635-ter
• ART. 635-quater
• ART. 635-quinquies
TITOLO XIII - contro patrimonio
CAPO II
“mediante frode”
“frode informatica”
• ART. 640-ter
“frode del certificatore di firme elettroniche”
• ART. 640-quinquies
FATTISPECIE «MERAMENTE» SANZIONATORIE EXTRA CODICE PENALE
A) REATI PREVISTI DAL “CODICE” DELLA PRIVACY
(artt. 167, 167 bis, 167 ter, 168 segg. T.U. 30 giugno 2003 n. 196 modif. dal d.lgs. 10 agosto 2018, n. 101 di adeguamento Regol. UE 2016/679 – GDPR) NB «doppio binario» con sanzioni amministrative europee e nazionali
B) REATI IN MATERIA DI DIRITTO D’AUTORE E DIRITTI CONNESSI SULLE OPERE DELL’INGEGNO
(L. 22 aprile 1941, n. 633: programmi per elaboratore, banche di dati, opere in formato digitale e multimediale, misure tecniche di protezione, ecc.)
C) REATI DI VIOLAZIONE DI SINGOLI PRECETTI EXTRAPENALI
(Giochi e scommesse, intermediazione finanziaria e pubblicità on-line,
perimetro sicurezza nazionale cibernetica , ecc.)
© Prof. Lorenzo Picotti 24
CYBERSPACE E RISERVATEZZA
«RISERVATEZZA INFORMATICA»
QUALE NUOVO BENE GIURIDICO
• Non solo «interesse disponibile» (art. 615 ter c.p.: «se protetto») ma: «diritto fondamentale» della persona avente nuova dimensione:
ex art. 8 CEDU e 7 CDFUE: «Rispetto della vita privata»
▪ Distinzione dalla disciplina del «trattamento» dei dati personali:
ex art. 8 Carta CDFUE : «protezione dei dati personali»: Autorità Garante, GDPR, Codice Privacy (d.lgs. 196/2003; 101/2018)
▪ Bilanciamento necessario con altri diritti fondamentali:
«libertà di espressione» (art. 21 Cost. ; art. 10 CEDU; art. 11 CDFUE
«ed informazione»)
e «persecuzione reati» (art. 8, par. 2 CEDU; art. 6 CDFUE:
«libertà e sicurezza»; Direttiva UE 2016/680; d.lgs. 51/2018)
▪ Rapporto «bifronte» con «sicurezza informatica»: suo presidio e motivo di legittima ingerenza «proporzionata» (CGUE, BVerfassG)
CYBERSPACE E SICUREZZA
«SICUREZZA INFORMATICA»
QUALE NUOVO BENE GIURIDICO
▪ Nuovo interesse protetto all’ «integrità di dati e sistemi»:
punizione di danneggiamenti e sabotaggi informatici:
Racc. CoE 1989, art. 4 e 5 Conv Cybercrime, Direttiva UE 2013/40, art. 635 bis , -ter, - quater. –quinquies [già art. 420] c.p.
▪ Onere per avere tutela giuridico-penale: se sistema
“protetto da misure di sicurezza” (artt. 615-ter e -quater c.p.)
▪ Per singoli «settori»: obbligo penalmente sanzionato:
cfr. abrogati art. 31, 33 e 169 Codice privacy: omissione colposa
“misure minime”e “adeguate ” (rinvio a D.M.) > oggi valutazione
«dinamica» dei rischi e responsabilità by design
▪ Tendenza: diventa interesse “condiviso” della collettività globale nella rete > responsabilizzazione di «terzi» con specifiche
© Prof. Lorenzo Picotti 26
CYBERSPACE e «CYBERSECURITY»
GENERALIZZAZIONE SOVRANAZIONALE DI OBBLIGHI PER PREVENZIONE RISCHI
Da reti e sistemi informatici dipendono
funzioni e servizi essenziali per società, economia, P.A., diritti fondamentali, interessi pubblici e privati
Direttiva UE 2016/1148 su sicurezza reti e sistemi (c.d. NIS)
settori sanitario, bancario, finanziario, energia, trasporti, acqua potabile, fornitori di servizi digitali > ENISA, CSIRT
Regolamento UE 2019/881 (c.d. Cybersecurty Act)
Prevenzione rischi: “mappatura” infrastrutture critiche, regole dinamiche ed organizzative di prevenzione e compliance,
segnalazione di attacchi ed incidenti (data breach)
Cfr. artt. 4, 33 e 34 GDPR e sanzioni amministrative ex art. 82
SICUREZZA CIBERNETICA
Perimetro di Sicurezza Nazionale Cibernetica
D.l.105/2019 conv. l. 133/2019 > obbliga soggetti pubblici e privati a compilazione elenchi reti, analisi rischi, notifica
incidenti, misure da adottare> art. 1, co. 11 punisce chi li viola È reato presupposto di responsabilità enti (d.lgs. 231/2001) -Comitato Interministeriale Sicurezza della Repubblica (CISR) -Centro di Valutazione e Certificazione Nazionale (CVCN)
-Golden Power (poteri speciali per sicurezza nazionale es. 5G)
Ampia discrezionalità governativa e amministrativa: occorre
controllo democratico nello Stato di diritto perché non diventi
esso la prima vittima delle minacce alla sicurezza cibernetica
Necessità di adeguamento categorie e regole del
sistema penale nel Cyberspace
sotto il profilo sostanziale > nozioni di
azione, evento, posizioni di garanzia, dolo, colpa, consumazione, concorso persone…
sotto il profilo processuale > mezzi di ricerca (es. captatore informatico) ed
acquisizione della c.d. prova elettronica, validità ed utilizzabilità, competenza
territoriale, cooperazione internazionale
© Prof. Lorenzo Picotti 28
