La rilevanza del fenomeno dei reati informatici: inquadramento generale, normativa italiana ed esempi di classificazione

 

I reati informatici (o computer crimes): cenni introduttivi  

Sebbene non esista una definizione precisa e unanimemente accettata[1], vengono definiti reati informatici tutti i reati commessi per mezzo o con l’ausilio di un sistema o programma informatico e/o avente ad oggetto lo stesso sistema o programma informatico[2].

A questo punto dobbiamo precisare che:

  • per “sistema informatico o telematico” è da intendersi «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati»[3] e
  • per “programma informatico”, qualsiasi sequenza di istruzioni impartite al computer ed ordinate mediante algoritmi.

 

In Europa, il dibattito sul tema del contrasto ai reati informatici è scaturito nella Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001. Le disposizioni contenute in essa si occupano di fornire alcune definizioni terminologiche delle principali figure concettuali della materia[4], ma anche di armonizzare il diritto penale sostanziale e i profili processuali[5], nonché di rafforzare la cooperazione internazionale nella lotta al crimine informatico.

Per quanto concerne l’Italia, per far fronte alla necessità di adeguare la tutela giuridica alla presenza di nuove forme di aggressione tecnologica dapprima si decise di fare riferimento a preesistenti fattispecie incriminatrici (su tutte, il furto, il danneggiamento e la truffa), ma si pose subito il problema dell’applicabilità in via estensiva e soprattutto analogica di tali norme penali. Pertanto, il legislatore è intervenuto con la legge 23 dicembre 1993, n. 547[6] sia aggiornando la disciplina codicistica in modo da renderla funzionale alla repressione delle nuove forme di aggressione, sia introducendo nel Codice penale nuove figure di reato legate all’utilizzo degli strumenti informatici e digitali[7]. In particolare, sono stati aggiunti i seguenti gruppi di reati:

  • le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche[8];
  • le aggressioni all’integrità dei dati e dei sistemi informatici;
  • le condotte in tema di falso, estese ai documenti informatici;
  • le frodi informatiche[9].

 

Numerosi interventi successivi hanno poi portato alla creazione di ulteriori figure di reati informatici nel contesto di talune discipline normative di settore[10], fino ad arrivare alla legge 18 marzo 2008, n. 48, di attuazione della Convezione di Budapest, con cui il legislatore ha modificato le norme precedentemente introdotte dalla legge n. 547 del 1993[11], ha introdotto nuove figure di reati informatici[12], che non costituiscono più mere declinazioni solo tecnologiche delle classiche fattispecie di reato, ma tutelano diversi beni giuridici emersi nel contesto dell’era digitale[13], e infine ha esteso la responsabilità degli enti per gli illeciti amministrativi da reato anche alle ipotesi di reati informatici.

 

Il bene giuridico tutelato dai reati informatici  

Uno dei problemi maggiormente avvertiti dalla dottrina e dalla giurisprudenza è stato quello di individuare i beni giuridici tutelati dalla nuova disciplina in materia di reati informatici.

Infatti, alcuni autori hanno offerto una serie di risposte differenti in merito all’emergere di nuovi beni giuridici, nonostante il legislatore abbia deciso di non introdurre un’isolata normazione di settore sui reati informatici. La ragione di questa scelta si ritrova nell’assunto che tali nuove fattispecie incriminatrici costituissero soltanto nuove forme di aggressione, caratterizzate dalla particolarità del mezzo o dell’oggetto materiale, ai beni giuridici tradizionali.

In particolare, un primo orientamento ha sostenuto l’introduzione di un nuovo bene giuridico che può essere definito “bene giuridico informatico”, che consentirebbe di analizzare il fenomeno dei reati informatici da una prospettiva unitaria, unificando il diritto penale dell’informatica attorno ad un unico oggetto di tutela da individuarsi nell’affidabilità e sicurezza del ricorso alla tecnologia informatica, telematica e cibernetica[14].

Su un piano più generale, è stata ipotizzata la sussistenza di un nuovo diritto soggettivo di libertà personale: il diritto di libertà informatica[15]. Si è obbiettato, tuttavia, che tale concetto, più che individuare un nuovo bene giuridico, è espressione dei diritti fondamentali della persona già tutelati a livello costituzionale[16].

Al contrario, secondo un diverso orientamento tali tesi non riescono a superare l’ostacolo rappresentato dal fatto che l’attuale sistema normativo relativo al fenomeno dei reati informatici non è concepito come sistema normativo unitario. Tale orientamento, pertanto, ha condiviso la scelta del legislatore di non creare un nuovo bene giuridico comune ai reati informatici, ma di concepire tali reati solo come nuove modalità di aggressione dei beni giuridici già oggetto di tutela[17]. Così, l’impossibilità di configurare un diritto penale dell’informatica quale settore autonomo del nostro ordinamento sanzionatorio non rende possibile individuare un unico bene giuridico tutelato dai reati informatici, e tale conclusione è quella maggiormente condivisa dalla dottrina[18].

Tuttavia, accanto ai beni giuridici tradizionali, si rileva la nascita di nuovi beni giuridici tutelati da alcune fattispecie di reati informatici (come, ad esempio, la tutela del corretto funzionamento dei sistemi informatici, la riservatezza informatica o il domicilio informatico) riconosciuti anche dalla stessa giurisprudenza[19].

 

La classificazione dei reati informatici

È possibile distinguere due diverse categorie di reati informatici[20]:

  • i reati informatici in senso stretto e
  • i reati informatici in senso ampio.

 

In particolare, la prima categoria è costituita da quei reati che presentano almeno un elemento essenziale o circostanziale che richiama espressamente le tecnologie informatiche o telematiche nella descrizione delle modalità della condotta, dei mezzi, degli oggetti, dell’evento o, comunque, delle altre condizioni dell’illecito[21]. In tale categoria rientrano, ad esempio, i reati di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.), frode informatica (art. 640 ter c.p.) e danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.). Essi rappresentano la tipizzazione di fatti nuovi, emersi con la progressiva diffusione delle nuove tecnologie ed estranei alle norme incriminatrici già esistenti[22].

Si qualificano, invece, come reati informatici in senso ampio quelle fattispecie che tipizzano forme di aggressione a beni giuridici già tutelati da norme incriminatrici comuni, ma che possono realizzarsi anche mediante strumenti informatici o su oggetti informatici, oppure attraverso modalità di condotta che coinvolgano l’utilizzo delle tecnologie informatiche o telematiche[23]. In questi casi, l’elemento informatico non deve essere necessariamente integrato ai fini della consumazione della fattispecie di reato, poiché esso compare nella formulazione della norma incriminatrice soltanto come possibile modalità, oggetto, strumento o risultato della condotta, in alternativa a quelli tradizionali, ritenuti ad essi equivalenti.

In sostanza, solo alla luce della concreta modalità di esecuzione della condotta compiuta dal soggetto attivo si potrà dire se quello consumato è un reato informatico in senso ampio oppure no. Si pensi, ad esempio:

  • al delitto di diffamazione, che può essere commesso mediante pubblicazione in Internet di contenuti offensivi della reputazione altrui, o
  • al reato di sostituzione di persona, integrato qualora siano utilizzate le generalità di una diversa persona per creare un falso account tale da provocare l’altrui errore, o, infine, alle truffe che si consumano online previa pubblicazione di inserti ingannevoli.
  • Si può, infine, menzionare il caso della pornografia minorile, con riferimento al quale le condotte punite possono riguardare sia il possesso di materiale cartaceo, fotografico o cinematografo, sia supporti o files informatici o digitali, ivi compreso il materiale prodotto con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali (definita dall’art. 600 quater 1 c.p. come “pornografia virtuale”)[24].

 

Conclusioni

La necessità di introdurre una disciplina sanzionatoria di tipo penale con riferimento alle condotte integratrici dei reati informatici era dovuta all’alta lesività che tale tipologia di illecito portano con sé, sia in termini di danno al bene giuridico tutelato, sia in termini di elusività del sistema penale già predisposto dallo Stato a protezione del cittadino.

Tali condotte, infatti, non sono materialmente identificabili, bensì si celano dietro l’intangibilità della rete cibernetica, e proprio per questa ragione le organizzazioni criminali di ogni genere occupano stabilmente il cyberspazio e si giovano della possibilità di occultarsi agevolmente. L’attività investigativa soffre limitazioni e ostacoli dipendenti dai confini territoriali e dalla mancanza di uniformità delle legislazioni nazionali.

Dunque, si è intervenuti sia in ambito nazionale, sia internazionale, dovendosi segnalare il progetto delle Nazioni Unite su una nuova Convenzione contro i reati informatici, che costituisce un’ulteriore tappa del processo di internazionalizzazione del contrasto penale ai reati informatici. Tale Convenzione sarebbe posta non solo garanzia dei diritti fondamentali dell’uomo, ma anche a tutela della sovranità degli Stati, messa in pericolo da queste nuove categorie di reati, che, per la loro dimensione e per la difficoltà di accertamento, non possono essere efficacemente represse soltanto all’interno dei confini nazionali[25].

Informazioni

T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, in disCrimen, 2 dicembre 2021, 2-3.

L. Baj, La tutela penale del consumatore. Frodi informatiche, banche e intermediari, in E. Graziuso (collana diretta da), Il diritto del consumatore, Milano, 2015.

M. Cuniberti-G.B. Gallus-F.P. Micozzi-S. Aterno, Cybercrimine: prime note sulla legge di ratifica della Convenzione di Budapest, in Altalex, 8 maggio 2008.

S. Battaglia, Criminalità informatica al tempo di internet: rapporti tra phishing e riciclaggio, in Altalex, 18 settembre 2013.

S. Della Piazza, L’accesso abusivo ad un sistema informatico, in DirittoConsenso, 9 settembre 2021.

S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021.

L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009.

F. R. Fulvi, La Convenzione Cybercrime e l’unificazione del diritto penale dell’informatica, in Dir. pen. proc., 2009.

V. Frosini, La criminalità informatica, in Dir. informazione e informatica, 1997.

A. Romano, Sui reati informatici nella legalità costituzionale, in M. Sirimarco (a cura di), Informatica, diritto, filosofia, Roma, 2007.

E. Giannantonio, L’oggetto giuridico dei reati informatici, in Cass. pen., 2001.

R. Flor, Lotta alla “criminalità organizzata” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di internet.

G. D’aiuto-L. Levita, I reati informatici. Disciplina sostanziale e questioni processuali, Milano, 2012.

L. Picotti, La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. econ., 2011, 4.

D. Fondaroli, La tutela penale dei «beni informatici», in Dir. informazione e informatica, 1996, 2.

A. Mattarella, La futura Convenzione ONU sul cybercrime e il contrasto alle nuove forme di criminalità informatica, in Sistema Penale, 2022, 3.

[1] In questo senso si veda T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, in disCrimen, 2 dicembre 2021, 2-3, consultabile al sito https://discrimen.it/reati-informatici-e-concorso-di-norme-come-levoluzione-tecnologica-informa-il-diritto-penale-il-caso-delle-botnets/, secondo cui il termine “criminalità informatica” designa un concetto ampio e flessibile che ingloba al suo interno fenomeni di diversa natura. Peraltro, neppure nella Convenzione di Budapest sulla criminalità informatica si trova una definizione di “reati informatici”, dal momento che il legislatore europeo ha scelto di non cristallizzare il fenomeno in una formula definita stante il costante avanzamento delle tecnologie e degli strumenti informatici.

[2] Tale definizione è la più adeguata alla scienza penalistica, secondo L. Baj, La tutela penale del consumatore. Frodi informatiche, banche e intermediari, in E. Graziuso (collana diretta da), Il diritto del consumatore, Milano, 2015; nello stesso senso, si veda M. Cuniberti-G.B. Gallus-F.P. Micozzi-S. Aterno, Cybercrimine: prime note sulla legge di ratifica della Convenzione di Budapest, in Altalex, 8 maggio 2008, consultabile al sito https://www.altalex.com/documents/news/2014/03/08/cybercrimine-prime-note-sulla-legge-di-ratifica-della-convenzione-di-budapest; S. Battaglia, Criminalità informatica al tempo di internet: rapporti tra phishing e riciclaggio, in Altalex, 18 settembre 2013, consultabile al sito https://www.altalex.com/documents/news/2014/03/28/criminalita-informatica-al-tempo-di-internet-rapporti-tra-phishing-e-riciclaggio.

[3] Tale definizione si trova nell’art. 1, lett. a) della Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.

[4] Quali la nozione di sistema informatico, di dato informatico, di fornitore di servizi e di dati relativi al traffico (art. 1).

[5] Tra cui la disciplina delle prove e dei mezzi di ricerca della prova (artt. 14-22).

[6] Anche se il primo intervento del legislatore italiano diretto ad affrontare il tema dell’interazione tra tecnologie informatiche e norma penale risale alla legge n. 191 del 1978, con cui il legislatore, con riferimento all’art. 420 c.p., nel sanzionare l’attentato agli impianti di pubblica utilità menziona per la prima volta ed espressamente anche gli “impianti di elaborazione dei dati”. Questa disposizione è stata poi integralmente sostituita dall’art. 2 della legge n. 547/1993 e, successivamente, in parte abrogata dall’art. 6 della legge n. 48/2008, di attuazione della Convenzione di Budapest.

[7] Il legislatore ha scelto di non creare un titolo autonomo di reati all’interno del Codice penale, né un unico testo legislativo extracodicistico, per soddisfare l’esigenza di non discostarsi eccessivamente dai paradigmi delle fattispecie legali comuni, considerate più vicine alle nuove tipologie di condotte cibernetiche. Dunque, per alcuni reati informatici sono state scelte denominazioni, collocazione sistematica e livelli sanzionatori il più possibile analoghi alle figure classiche; in altre ipotesi, invece, il legislatore non ha nemmeno formulato nuove fattispecie incriminatrici, ma si è limitato a ridefinire o aggiungere oggetti passivi e materiali nuovi e talune semplici precisazioni in ordine alle modalità di esecuzione della condotta tipica, riproducendo gli elementi essenziali delle categorie classiche.

[8] Per un approfondimento sul reato di accesso abusivo ad un sistema informatico si veda https://www.dirittoconsenso.it/2021/09/09/accesso-abusivo-ad-un-sistema-informatico/.

[9] Per un approfondimento sul tema delle frodi informatiche si veda https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/.

[10] È il caso, ad esempio, del d. lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), o della legge 22 aprile 1941, n. 633 sulla tutela del diritto d’autore, in cui è stato introdotto l’art. 171 bis in tema di duplicazione abusiva di software informatici.

[11] È il caso della disciplina delle falsità informatiche, nell’ambito della quale viene soppresso il comma 1 dell’art. 491 bis c.p., che conteneva una definizione di documento informatico oramai anacronistica e obsoleta, nonché delle modifiche in tema di danneggiamenti, con la distinzione tra danneggiamenti di dati e danneggiamenti di sistemi informatici.

[12] Tra queste nuove fattispecie si segnalano, per esempio, l’art. 495 bis c.p., concernente la falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri, e l’art. 640 quinquies c.p., dettato in tema di frode informatica del soggetto che presta servizi di certificazione di firma elettronica.

[13] La nascita di nuovi beni giuridici, quali la tutela del corretto funzionamento dei sistemi informatici, viene riconosciuta anche dalla stessa giurisprudenza: si veda, per esempio, Cass. pen., Sez. II, 15 aprile 2011, n. 17748.

[14] In questo senso si vedano L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009, 18 e F.R. Fulvi, La Convenzione Cybercrime e l’unificazione del diritto penale dell’informatica, in Dir. pen. proc., 2009, 641-642.

[15] Cfr. V. Frosini, La criminalità informatica, in Dir. informazione e informatica, 1997, 488-489.

[16] Vengono in rilievo, per esempio, il diritto alla inviolabilità del domicilio (art. 14 Cost.) o il diritto alla segretezza della corrispondenza (art. 15 Cost.).

[17] In questo senso si veda A. Romano, Sui reati informatici nella legalità costituzionale, in M. Sirimarco (a cura di), Informatica, diritto, filosofia, Roma, 2007.

[18] Cfr. E. Giannantonio, L’oggetto giuridico dei reati informatici, in Cass. pen., 2001, 2029, secondo cui questa conclusione rende condivisibile la scelta del legislatore di inserire gran parte dei crimini informatici sia in punti diversi del codice penale, sia in testi normativi diversi e individuati a seconda del bene giuridico tutelato dalla fattispecie presa in considerazione. Dunque, ad esempio, l’art. 491 bis c.p., volto alla protezione della cosiddetta fede pubblica, è stato collocato nel capo III del titolo VII del libro II del codice penale, poiché tale previsione estende la tutela prevista in tema di fede pubblica anche al documento informatico, così come l’art. 640 ter c.p., che sanziona la c.d. frode informatica, tutela l’altrui patrimonio, essendo tale fattispecie modellata sul paradigma della truffa di cui all’art. 640 c.p.

[19] Cfr. Cass. pen., Sez. II, 15 aprile 2011, n. 17748; Cass. pen., sez. II, 14 gennaio 2019, n. 21987.

[20] Per un approfondimento in merito a tali categorie si vedano, tra gli altri, T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, cit., 3 e ss.; R. Flor, Lotta alla “criminalità organizzata” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di internet, consultabile al sito www.dirittopenalecontemporaneo.it, 4; G. D’aiuto-L. Levita, I reati informatici. Disciplina sostanziale e questioni processuali, Milano, 2012, 3 e ss.

[21] Cfr. L. Picotti, La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. econ., 2011, 4, 845.

[22] Cfr. D. Fondaroli, La tutela penale dei «beni informatici», in Dir. inform., 1996, 2, 295, il quale evidenzia come l’immaterialità dei beni informatici – quali dati, programmi e sistemi informatici – su cui incidono le condotte criminose determina non poche difficoltà qualora si debba applicare al caso concreto fattispecie incriminatrici già esistenti (come, ad esempio, i reati di furto, truffa o appropriazione indebita), evidentemente incentrate sulla materialità degli oggetti.

[23] Diversamente, secondo parte della dottrina ai reati informatici in senso stretto si affiancano non una, ma due diverse categorie, secondo la seguente tripartizione:

  • norme penali eventualmente informatiche: comprende tutte quelle disposizioni che, non tipizzando una specifica modalità di condotta, sono applicabili anche a fatti realizzati contro (o per mezzo) le tecnologie;
  • norme penali informatiche in senso ampio:
  • norme penali informatiche in senso stretto.

Il primo gruppo comprende tutte quelle disposizioni che, non tipizzando una specifica modalità di condotta, sono applicabili anche a fatti realizzati contro le (o per mezzo delle) tecnologie. Per norme penali informatiche in senso ampio si intendono, invece, quelle disposizioni che richiamano nel fatto tipico elementi informatici, pur essendo, in realtà, l’aggiornamento in chiave tecnologica di norme preesistenti. In questo senso, si veda, P. Galdieri, Teoria e pratica nell’interpretazione del reato informatico, in Rivista Elettronica di Diritto, Economia, Management, 2010, 3, 95, il quale, a titolo esemplificativo, riconduce nella prima categoria il reato di estorsione (art. 629 c.p.) e nella seconda l’esercizio arbitrario delle proprie ragioni (art. 392 c.p.) che, a seguito della l. n. 547/93, può riferirsi anche alla violenza realizzata contro un bene informatico.

[24] Per un approfondimento sul tema correlato della diffusione di materiale pedopornografico si veda https://www.dirittoconsenso.it/2021/09/17/la-diffusione-di-materiale-pedopornografico/.

[25] Per un approfondimento sul tema si veda A. Mattarella, La futura Convenzione ONU sul cybercrime e il contrasto alle nuove forme di criminalità informatica, in Sistema Penale, 2022, 3.