La riservatezza informatica: concetto e reati
Come è possibile tutelare la riservatezza informatica? Il legislatore ha predisposto un apparato sanzionatorio mirato
Informazioni
I. Salvadori, I reati contro la riservatezza informatica, in Aa. Vv., Cybercrime, Milano, 2019;
R. Flor, Riservatezza informatica, in Enc. Giur. Online, 2017, consultabile al sito https://www.treccani.it/enciclopedia/riservatezza-informatica_%28Diritto-on-line%29/;
F. Banfi, I reati informatici, in DirittoConsenso, 3 marzo 2023, consultabile al sito https://www.dirittoconsenso.it/2023/03/03/i-reati-informatici/;
F. Banfi, Quali sono i reati informatici più diffusi?, in DirittoConsenso, 4 aprile 2023, consultabile al sito https://www.dirittoconsenso.it/2023/04/04/quali-sono-i-reati-informatici-piu-diffusi/;
S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021, consultabile al sito https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/;
S. Della Piazza, L’accesso abusivo ad un sistema informatico, in DirittoConsenso, 9 settembre 2021, consultabile al sito https://www.dirittoconsenso.it/2021/09/09/accesso-abusivo-ad-un-sistema-informatico/;
G. Corrias Lucente, Brevi note in tema di accesso abusivo e frode informatica: uno strumento per la tutela penale dei servizi, in Dir. inf., 2001, 3;
Cass. pen., sez. V, 26 ottobre 2016, n. 14546;
Cass. pen., sez. V, 19 novembre 2014, n. 47938;
Cass. pen., sez. VI, 4 ottobre 1999, n. 3067;
Cass. pen., sez. V, 20 marzo 2007, n. 11689;
Cass. pen., Sez. Un., 27 ottobre 2011, n. 4694;
Trib. Torino, 4 dicembre 1997;
Cass. pen., Sez. Un., 26 marzo 2015, n. 17325.
Inserisci qui le note
La differenza tra frode informatica e truffa
La differenza tra frode informatica e truffa: analisi degli elementi costitutivi dei reati previsti dagli artt. 640 ter e 640 c.p.
La differenza tra frode informatica e truffa: le disposizioni di riferimento
Le frodi informatiche rappresentano uno dei reati informatici più diffusi[1] al giorno d’oggi. Tale reato, seppur riconducibile alla categoria delle frodi, è differente rispetto alla truffa comune. Per affrontare le problematiche relative alla differenza tra truffa e frode informatica, però, occorre dapprima analizzare brevemente le disposizioni codicistiche che disciplinano i due reati.
Il delitto di frode informatica[2] è previsto dall’art. 640 ter c.p.. Esso punisce chi altera, in qualsiasi modo, il funzionamento di un sistema informatico o interviene senza alcun diritto e con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinente, procurando a sé o ad altri un ingiusto profitto.
Si tratta di un reato comune, come suggerisce la locuzione “chiunque” utilizzata in apertura della disposizione, e quindi di illecito che può essere commesso da qualsiasi soggetto, senza la necessità che ricopra una particolare funzione e qualifica[3].
Con riferimento al bene giuridico tutelato, l’interpretazione prevalente è nel senso di ritenere il reato di natura plurioffensiva, poiché posto a tutela del patrimonio del soggetto danneggiato, della sua riservatezza, nonché della regolarità dei sistemi informatici e della speditezza del traffico giuridico e informatico[4].
Il delitto di truffa, invece, è previsto dall’art. 640 c.p., che punisce chi, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno.
Si tratta di un reato comune che, però, si realizza attraverso una cooperazione artificiosa della vittima in quanto la condotta consiste in una particolare forma di aggressione al patrimonio altrui realizzata attraverso l’inganno, che induce la vittima a concorrere alla causazione dello stesso in ragione dell’errore derivante dalla condotta tenuta dal soggetto agente.
Proprio per questo motivo, la truffa non comporta solamente un danno al patrimonio della vittima, ma anche un pregiudizio alla libertà di autodeterminazione della stessa. Dunque, anche in questo caso ci si trova davanti a un reato plurioffensivo[5].
Gli elementi costitutivi e le modalità delle condotte fraudolente
L’art. 640 ter c.p. si riferisce espressamente a due categorie di condotte commissive:
- l’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico;
- l’intervento, senza autorizzazione, su dati, informazioni o programmi contenuti in un sistema informatico o telematico.
Le condotte di alterazione hanno l’obiettivo di alterare, all’insaputa del titolare del sistema, il corretto e logico funzionamento dello strumento informatico, di modo da asservirlo alla esecuzione di operazioni diverse da quelle programmate e a produrre risultati non voluti dal suo titolare e vantaggiosi per l’agente.
Nell’ambito di queste condotte, poi, è possibile distinguere:
- l’alterazione o immissione di dati;
- l’alterazione di software finalizzata alla frode;
- l’alterazione delle informazioni, intese come correlazione tra dati.
L’alterazione, in altri termini, comprende operazioni di manipolazione della componente fisica (hardware) o della componente logica (software) del sistema, funzionali a produrre un diverso processo informatico che comprometta i risultati prodotti o ne comporti, in ogni caso, la distrazione dallo schema predefinito.
La seconda tipologia di condotta, invece, può avere ad oggetto qualunque file registrato nei sistemi informatici o telematici, oppure su supporti ad essi pertinenti e destinati a essere utilizzati sul sistema informatico (ad esempio, hard disk, chiavette USB e memorie esterne), e può concretarsi sia in una condotta espressamente vietata, sia in una condotta che esula dall’autorizzazione concessa ad un determinato soggetto che opera su un sistema informatico o telematico[6].
Con riferimento all’elemento soggettivo, il delitto di frode informatica è punito a titolo di dolo generico, nel senso che, ai fini della sua configurazione, è sufficiente che vi sia, da parte del soggetto agente, la coscienza e la volontà di porre in essere le condotte fraudolente descritte dalla norma incriminatrice, così cagionando ad altri un danno con ingiusto profitto per sé o per altri.
Per quanto riguarda la truffa ex art. 640 c.p., invece, il nucleo centrale della condotta incriminata risiede in un’attività diretta a persuadere con l’inganno, tipizzata nei termini di una induzione mediante artifizi o raggiri, che costituiscono, quindi, requisiti fondamentali nella descrizione della fattispecie in esame.
In particolare, per artifizio si intende, generalmente, la simulazione o dissimulazione della realtà atta ad indurre in errore una persona per effetto della percezione di una falsa apparenza. In altri termini è artifizio ogni comportamento idoneo a far apparire ciò che non esiste, o a nascondere ciò che esiste, e che agisca sulla realtà esterna.
Il termine raggiro invece consiste in una menzogna corredata da ragionamenti idonei a farla scambiare per verità. Entrambi sono mezzi per creare un erroneo convincimento: il primo, però, passa attraverso un camuffamento della realtà esterna; il secondo, invece, opera direttamente sulla psiche del soggetto[7].
Lo strumento informatico e l’induzione in errore del soggetto passivo
L’art. 640 ter c.p. è stato introdotto dalla legge 23 dicembre 1993, n. 547 anche con l’obiettivo di superare le problematiche interpretative sorte in relazione all’applicazione del delitto di truffa comune alle fattispecie riconducibili alla categoria delle frodi informatiche.
Infatti, dalla breve analisi delle norme svolta nei paragrafi precedenti, emerge il principale elemento di differenza tra la truffa comune e la frode informatica: nella truffa comune, la condotta delittuosa comporta l’induzione in errore della persona offesa, mentre nella frode informatica essa s’incentra sull’impiego truffaldino dello strumento informatico.
Questa distinzione è stata posta in rilievo nell’applicazione pratica anche dalla stessa giurisprudenza, che non ha mancato di evidenziare che, “a differenza del reato di truffa, nel caso della frode informatica l’attività fraudolenta dell’agente investe non il soggetto passivo, di cui manca l’induzione in errore, ma il sistema informatico di pertinenza della stessa persona offesa che viene manipolato al fine di ottenere una penetrazione abusiva”[8].
Si assiste, quindi, alla sostituzione della vittima fisica quale soggetto passivo della condotta con il sistema informatico il che determina una riconfigurazione della struttura del reato.
Un caso particolare di rapporto tra truffa e frode informatica riguarda la cd. alterazione esterna del sistema. Si pensi al caso delle slot machines alle quali viene applicata una scheda elettronica esterna attivabile a distanza e che ne manipola il normale funzionamento. La giurisprudenza, in casi del genere, ha ravvisato sia un’ipotesi di frode informatica, nel caso in cui l’oggetto di manipolazione sia il funzionamento dell’apparecchio nel suo complesso[9], sia di truffa aggravata ai danni dello Stato, ritenendo che l’inserimento di una scheda informatica attivabile a distanza nelle slot machines non incida sul sistema informatico stesso ma funzioni autonomamente condividendo esclusivamente le periferiche di ingresso e uscita[10].
Un’altra particolare questione interpretativa si è posta con riferimento alle truffe online. È il caso del c.d. phishing nel quale l’autore del fatto illecito induce la vittima a fornirgli informazioni personali – quali numeri di carta di credito, dati di accesso al proprio conto bancario o postale, informazioni relative ad account – generalmente mediante l’invio di false e-mail[11].
Per le sue modalità di attuazione tale condotta illecita orbita tendenzialmente intorno alle due figure della frode informatica e della truffa semplice. Inoltre, il legislatore, con la legge 15 ottobre 2013, n. 119, di conversione del d.l. 14 agosto 2013, n. 93, ha introdotto il comma 3 dell’art. 640 ter c.p., che prevede una circostanza aggravante del reato di frode informatica commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. Tale disposizione si occupa, dunque, proprio di punire le frodi informatiche attuate mediante pratiche di phishing.
Pertanto, alla luce delle norme penali oggi applicabili[12], nel caso in cui il soggetto agente sia venuto in possesso delle credenziali digitali della vittima mediante l’invio di false e-mail, link o altre condotte equivalenti si configurerà il reato di truffa secondo lo schema tipico dell’art. 640 c.p.[13]. Ove, viceversa, abbia fraudolentemente operato mediante programmi autoinstallanti sul sistema informatico o telematico della persona offesa, si configurerà il reato di frode informatica aggravato ai sensi del comma 3 dell’art. 640 ter c.p., stante l’alterazione del funzionamento dello strumento informatico o telematico del soggetto passivo[14].
Informazioni
F. Banfi, I reati informatici, in DirittoConsenso, 3 marzo 2023, consultabile al sito I reati informatici – DirittoConsenso.
F. Banfi, Quali sono i reati informatici più diffusi?, in DirittoConsenso, 4 aprile 2023, consultabile al sito Quali sono i reati informatici più diffusi? – DirittoConsenso.
S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021, consultabile al sito La frode informatica – DirittoConsenso.
G. Pica, Reati informatici e telematici, in Dig. pen., Agg. I, Torino, 2000;
G. Amato-V. S. Destito-G. Dezzani-C. Santoriello, I reati informatici. Nuova disciplina e tecniche processuali di accertamento, Padova, 2010;
F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, Milano, 2018;
A. Larussa, Truffa. L’analisi della fattispecie disciplinata dall’art. 640 c.p.: gli elementi costitutivi, le circostanze aggravanti, le pene e il regime processuale, in Altalex, 24 agosto 2017, consultabile al sito https://www.altalex.com/documents/altalexpedia/2017/06/12/truffa ;
M. Iaselli, Il phishing. Guida alla frode finalizzata al furto d’identità degli utenti della rete e suggerimenti per difendersi, in Altalex, 30 aprile 2020, consultabile al sito https://www.altalex.com/guide/phishing;
M. Martorana-Z. Sichi, Phishing: profili civili e penali delle truffe online, in Altalex, 5 luglio 2021, consultabile al sito https://www.altalex.com/documents/news/2021/07/05/phishing-profili-civili-penali-truffe-online.
Cass. pen., sez. II, 11 novembre 2009, n. 44720;
Cass. pen., sez. V, 3 luglio 2012, n. 43729;
Cass. pen., sez. II, 15 aprile 2011, n. 17748;
Cass. pen., sez. II, 10 settembre 2018, n. 48553;
Tribunale Milano, 7 ottobre 2011;
Cass. pen., sez. II, 1° dicembre 2016, n. 54715;
Cass. pen., sez. VI, 20 giugno 2017, n. 41767;
Cass. pen., sez. VI, 5 aprile 2018, n. 21318;
Cass. pen., sez. II, 9 febbraio 2017, n. 10060.
[1] Per un approfondimento in merito ai reati informatici in generale, si veda F. Banfi, I reati informatici, in DirittoConsenso, 3 marzo 2023, consultabile al sito https://www.dirittoconsenso.it/2023/03/03/i-reati-informatici/; Per un approfondimento invece in merito ai reati informatici più diffusi, si veda F. Banfi, Quali sono i reati informatici più diffusi?, in DirittoConsenso, 4 aprile 2023, consultabile al sito https://www.dirittoconsenso.it/2023/04/04/quali-sono-i-reati-informatici-piu-diffusi/.
[2] Per un approfondimento sul reato di frode informatica, si veda S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021, consultabile al sito https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/.
[3] Nondimeno, il comma 2 dell’art. 640 ter c.p. prevede una circostanza aggravante ad effetto speciale che disciplina la commissione del reato da parte di un “operatore del sistema”, ossia quel soggetto che sia stabilmente e ufficialmente preposto all’utilizzo del sistema informatico o telematico in virtù di un rapporto di natura anche privatistica. La dottrina, a proposito dell’esatta individuazione della figura dell’operatore di sistema, si divide tra chi ritiene che possa definirsi tale soltanto l’amministratore del sistema e chi, invece, ammette che anche il semplice addetto o l’operatore qualificato debbano considerarsi operatori di sistema (cfr. sul punto G. Pica, Reati informatici e telematici, in Dig. pen., Agg. I, Torino, 2000, 531). La giurisprudenza, invece, ha qualificato come operatore di sistema colui che, in qualità di operatore, programmatore o analista, deve necessariamente avvalersi del sistema informatico per espletare le mansioni del suo ufficio, utilizzandolo per una finalità diversa da quella ordinaria (cfr. Cass. pen., sez. II, 11 novembre 2009, n. 44720, in Dejure.it).
[4] In questo senso si veda G. Amato-V. S. Destito-G. Dezzani-C. Santoriello, I reati informatici. Nuova disciplina e tecniche processuali di accertamento, Padova, 2010, 104. Diversamente, una parte della dottrina esclude che tra i beni giuridici tutelati vi siano anche il regolare funzionamento e la riservatezza dei sistemi informatici e telematici, stante la presenza degli artt. 635 bis e 615 ter c.p., che puniscono, rispettivamente, il danneggiamento di informazioni, dati e sistemi informatici e l’accesso abusivo ad un sistema informatico e telematico e, quindi, specificamente diretti a proteggere tali beni giuridici (si veda, ad esempio, F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, Milano, 2018, 233). La giurisprudenza, invece, opta per una ricostruzione più generica, riconoscendo che il delitto è posto a presidio «di una pluralità di beni giuridici, individuati, oltre che nella riservatezza e nella regolarità dei sistemi informatici, anche nel patrimonio altrui» (cfr. Cass. pen., sez. V, 3 luglio 2012, n. 43729, in Dejure.it). Si argomenta, infatti, che l’introduzione del reato di frode informatica ha rappresentato il frutto di una precisa scelta del legislatore, volta a porre un rimedio alla emersione di fatti di criminalità informatica e dedicata a colmare una lacuna normativa che poteva ripercuotersi in termini fortemente negativi su vari ed importati aspetti interferenti su diritti di primario risalto. Il bene giuridico tutelato dal delitto di frode informatica, pertanto, non può essere esclusivamente il patrimonio del danneggiato, come pure la collocazione sistematica lascerebbe presupporre, poiché viene evidentemente posta in risalto l’esigenza di salvaguardare la regolarità del funzionamento dei sistemi informatici, nonché la tutela della riservatezza dei dati e, infine, la stessa certezza e speditezza del traffico giuridico, fondata sui dati gestiti dai diversi sistemi informatici (in questo senso, si veda anche Cass. pen., sez. II, 15 aprile 2011, n. 17748, in Dejure.it).
[5] Cfr. sul punto A. Larussa, Truffa. L’analisi della fattispecie disciplinata dall’art. 640 c.p.: gli elementi costitutivi, le circostanze aggravanti, le pene e il regime processuale, in Altalex, 24 agosto 2017, consultabile al sito https://www.altalex.com/documents/altalexpedia/2017/06/12/truffa#_Toc463077854.
[6] Integra, ad esempio, il delitto di frode informatica «nelle forme dell’intervento senza diritto su dati e informazioni contenuti in un sistema informatico, oltre che quello di accesso abusivo ad un sistema informatico, la condotta del dipendente dell’Agenzia delle Entrate che, utilizzando la password in dotazione, manomette la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell’ufficio» (così Cass. pen., sez. II, 6 marzo 2013, n. 13475, in Dejure.it).
[7] Cfr. sul punto F. Mantovani, Diritto penale. Parte speciale II: Delitti contro il patrimonio, cit., 212-213, in cui si afferma che non è necessaria una messa in scena alteratrice della realtà esterna, ma è sufficiente anche una menzogna ingannatrice, purché sorretta da adeguata argomentazione. Non basta, al contrario, il mero silenzio, né il silenzio violatore dell’obbligo giuridico di informare o del principio della buona fede. Allo stesso modo, non è sufficiente lo sfruttamento di un preesistente stato di errore della vittima e neppure il semplice l’approfittamento dell’ignoranza altrui, poiché non costituiscono un raggiro.
[8] In questo senso si veda, ad esempio, Cass. pen., sez. II, 10 settembre 2018, n. 48553, in Dejure.it.
[9] Si vedano, per esempio, Cass. pen., sez. II, 1° dicembre 2016, n. 54715 e Cass. pen., sez. VI, 20 giugno 2017, n. 41767, in Dejure.it.
[10] Cfr. Cass. pen., sez. VI, 5 aprile 2018, n. 21318, in Dejure.it.
[11] Per un approfondimento sul tema, si veda M. Iaselli, Il phishing. Guida alla frode finalizzata al furto d’identità degli utenti della rete e suggerimenti per difendersi, in Altalex, 30 aprile 2020, consultabile al sito https://www.altalex.com/guide/phishing.
[12] Cfr. sul punto M. Martorana-Z. Sichi, Phishing: profili civili e penali delle truffe online, in Altalex, 5 luglio 2021, consultabile al sito https://www.altalex.com/documents/news/2021/07/05/phishing-profili-civili-penali-truffe-online.
[13] Eventualmente da imputarsi in concorso con altre fattispecie delittuose, quali, per esempio, il reato di sostituzione di persona (art. 494 c.p.) e quello di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.). In merito all’applicazione di tali norma, si veda, anche se risalente, Tribunale Milano, 7 ottobre 2011, in Dejure.it: «chi utilizza tecniche di “phishing” per ottenere, tramite artifici e raggiri e inducendo in errore l’utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti on line) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie, può rispondere dei delitti di cui agli art. 494 (sostituzione di persona), 615 ter (accesso abusivo a sistemi informatici o telematici) e 640 c.p. (truffa)».
[14] Inoltre, la frode informatica potrà costituire reato presupposto di altre violazioni di carattere più grave, come nel caso del riciclaggio. Per un’applicazione, si veda Cass. pen., sez. II, 9 febbraio 2017, n. 10060, in Dejure.it, ove si ammette che, in relazione alle operazioni di phishing, è configurabile anche il reato di riciclaggio, non potendo quest’ultimo ritenersi assorbito nel reato di frode informatica.
Quali sono i reati informatici più diffusi?
I reati informatici più diffusi: statistiche, modalità di realizzazione e strategie di contrasto
I reati informatici più diffusi: alcune statistiche
Nell’ultimo decennio i reati informatici[1] sono cresciuti a un ritmo del 10,1% all’anno. Nel dettaglio, tra il 2015 e il 2020 le truffe e le frodi informatiche denunciate dalle forze di polizia all’autorità giudiziaria sono salite del 72,8%, mentre sono quasi raddoppiate (+96,3%) le denunce di altri delitti informatici[2].
Tale tendenza è rimasta costante anche negli ultimi due anni: in particolare, come è emerso dall’indagine “Indice della criminalità” de Il Sole 24 Ore[3], nei primi sei mesi del 2022, il crimine online è raddoppiato rispetto al 2019, con una media di 84 illeciti denunciati al giorno[4].
Si sottolineano poi alcuni dati emergenti dall’analisi della suddetta indagine con riferimento alle città italiane: la città in cui è stato sporto il maggior numero di denunce per truffe e frodi informatiche rispetto al numero di abitanti è Gorizia (con 753,6 denunce ogni 100.000 abitanti, per un totale di 1.045 denunce), seguita da Torino (744,3/100.000 abitanti, per un totale di 16.412 denunce) e dalla Provincia del Verbano-Cusio-Ossola (734,6/100.000 abitanti, per un totale di 1.133 denunce).
Per quanto riguarda altri delitti informatici, invece, al primo posto si trova Mantova (174,8 denunce ogni 100.000 abitanti, per un totale di 707 denunce), seguita da Brescia (144/100.000 abitanti, per un totale di 1806 denunce) e Savona (118,4/100.000 abitanti, per un totale di 317 denunce)[5].
In particolare, i reati informatici più diffusi (in senso stretto e in senso lato) sono:
- la frode informatica
- l’accesso abusivo a sistema informatico o telematico[6]
- il danneggiamento di informazioni, dati e programmi informatici e danneggiamento di sistemi informatici e telematici
- la diffamazione mediante strumenti informatici
- la distribuzione di materiale pedopornografico
- gli atti persecutori commessi attraverso strumenti informatici o telematici (c.d. cyberstalking)
- la diffusione illecita di immagini o video sessualmente espliciti (c.d. revenge porn).
È opportuno poi menzionare il fenomeno del cyberbullismo[7], non riconducibile a un’unica fattispecie delittuosa, così come il fenomeno del cyberterrorismo, termine che indica l’utilizzo del cyberspazio per fini terroristici, ossia diffondere la paura e il panico nella popolazione destabilizzando l’ordine e la sicurezza pubblica per ragioni politiche, ideologiche o religiose[8].
Le modalità di realizzazione dei reati informatici più diffusi
Entrando più nel dettaglio, al fine di specificare in cosa consistono alcuni dei reati informatici più diffusi, si ritiene opportuno iniziare dalle frodi informatiche e, in particolare, dal fenomeno del phishing. Si tratta di una tipologia di truffa in cui la vittima viene indotta a rivelare dati sensibili (credenziali di accesso, numeri di carta di credito, PIN, ecc.) solitamente tramite siti web progettati per imitare un sito web legittimo nella speranza che l’utente inserisca i suddetti dati, oppure tramite e-mail del tutto uguali a quelle inviate da un regolare istituto (ad esempio, un istituto bancario), in cui viene chiesto alla vittima di cliccare su un link per aggiornare i suoi dati[9].
I criminali informatici si servono poi di virus informatici (i malware), ossia software dannosi specificamente progettati per ottenere l’accesso o danneggiare sistemi informatici[10]. Un tipo particolare di malware è il ransomware, un virus progettato per tenere in ostaggio i dati contenuti in un sistema informatico e, dunque, utilizzato dai criminali informatici al fine di ottenere un pagamento in cambio della restituzione di tali dati (configurando, quindi, il classico reato di estorsione)[11]. Tali virus vengono inviati anche tramite e-mail che richiedono, come nel caso del phishing, di aprire un link che scarica il malware.
Tali virus informatici possono essere utilizzati anche nel caso del cyberstalking, ad esempio al fine di monitorare l’attività del computer utilizzato dalla vittima o di carpire informazioni della stessa. In questi casi, l’autore del reato può porre in essere altresì condotte intimidatorie, attraverso l’invio di minacce tramite e-mail, messaggi istantanei o social network, oppure condotte dirette a contattare – sempre mediante l’utilizzo di un sistema informatico – conoscenti della vittima al fine di ottenere ulteriori informazioni sulla stessa.
Per quanto concerne il fenomeno del cyberbullismo, l’aggressione della vittima attraverso le modalità previste dall’art. 1 della legge 29 maggio 2017, n. 71 viene realizzata dagli autori per via telematica, anche attraverso la diffusione di contenuti online[12].
La diffusione online caratterizza altresì il c.d. revenge porn. In questo caso, l’intenzione dell’autore del fatto è quella di vendicarsi nei confronti della vittima, con cui vi era verosimilmente un rapporto affettivo, tramite la diffusione – ovviamente senza il consenso della vittima – sui social network o in gruppi chiusi di WhatsApp o Telegram di immagini o video sessualmente espliciti, al fine di danneggiare il soggetto ritratto in essi[13]. Allo stesso modo, si prevede l’uso di supporti tecnologici – ma non solo – anche con riferimento alla distribuzione di materiale pedopornografico[14].
Buone prassi da adottare per contrastare la diffusione dei reati informatici
La scarsa alfabetizzazione dell’utenza circa i pericoli insiti nell’utilizzo delle reti informatiche è stata una delle cause principali della diffusione dei reati informatici a livello globale[15]. Per questo motivo, la lotta al crimine informatico si è sviluppata non solo in termini di introduzione di una normativa volta a reprimere i reati informatici, ma anche con riferimento alle attività di prevenzione, puntando sulla sensibilizzazione e sulla formazione dell’utenza, coinvolgendo anche gli organi di pubblica sicurezza e implementando tecniche e procedure in grado di prevenire i reati informatici[16].
Per quanto riguarda i reati informatici più diffusi, il modo per riconoscerli varia in base alla tipologia di reato connesso. Ad esempio, per riconoscere il phishing possono essere utilizzate alcune tecniche volte a distinguere le e-mail fraudolente da quelle reali, tra cui:
- controllare attentamente nome e indirizzo del mittente, al fine di confrontarlo con e-mail eventualmente già ripetute e verificare se gli indirizzi coincidono;
- rivolgere particolare attenzione alle formule di apertura dell’e-mail, poiché spesso le e-mail di phishing iniziano con formule standardizzate (circostanza che non si verifica nel caso in cui un provider di un servizio si rivolga a suoi clienti, poiché questi vengono chiamati per nome, quest’ultimo sconosciuto ai cybercriminali);
- controllare grammatica e ortografia del testo della e-mail, poiché la presenza di molti errori potrebbe essere indizio che ci si trova di fronte ad una e-mail fraudolenta;
- controllare i link presenti nelle e-mail;
- non trasmettere dati personali, password o dati bancari via e-mail, anche se la richiesta sembra provenire dalla propria banca;
- prestare attenzione agli allegati di cui viene chiesto eventuale download, poiché potrebbero contenere malware;
- utilizzare una funzione di filtro anti-phishing sul proprio motore di ricerca in modo che possa scansionare attivamente i siti web visitati per verificare se sono stati identificati come siti web di phishing.
Per quanto riguarda i reati di accesso abusivo a sistema informatico e di danneggiamento dello stesso, si possono prendere alcuni accorgimenti, tra cui utilizzare password efficaci, installare sui propri dispositivi informatici un antivirus e aggiornarlo regolarmente, nonché effettuare scansioni periodiche per analizzare il proprio sistema e rimuovere così files pericolosi[17].
In ogni caso, occorre denunciare tali illeciti alle autorità preposte.
Competente per i reati informatici è la Polizia Postale[18]; tuttavia, se non è possibile recarsi presso gli uffici della Polizia Postale, ci si può comunque rivolgere ai Carabinieri o alla Polizia di Stato[19]. Successivamente, occorre avvertire il provider del servizio (ossia l’azienda che offre spazi sui propri server per ospitare siti web o anche altri servizi accessori legati a Internet, come la casella e-mail, il dominio, ecc.), che assume un ruolo attivo e di responsabilità nel rimuovere i contenuti illeciti[20].
Vi sono, poi, altri enti e istituzioni preposti alla salvaguardia del web, a cui è possibile rivolgersi anche in relazione alla tipologia di reato di cui si è stati vittima. Tra queste, si trovano l’Agenzia per la Cybersicurezza Nazionale[21], l’Autorità Garante per la Protezione dei Dati Personali[22] e l’Autorità per le Garanzie nelle Comunicazioni[23]. Tra le organizzazioni no profit, invece, si trovano, ad esempio, Permesso Negato[24] e Save The Children[25].
Informazioni
Reati informatici +10% all’anno. Ai tempi della cyberwar, sicurezza informatica cruciale per il 42,1% delle MPI, 12 maggio 2022, consultabile al sito https://www.confartigianato.it/2022/05/studi-reati-informatici-10-allanno-ai-tempi-della-cyberwar-sicurezza-informatica-cruciale-per-il-421-delle-mpi/.
“Indice della criminalità” de Il Sole 24 Ore, consultabile al sito https://lab24.ilsole24ore.com/indice-della-criminalita/index.php;
F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, 25 ottobre 2021, consultabile al sito https://www.cybersecitalia.it/cyber-crimine-800-reati-informatici-al-giorno-in-italia-nel-2021-soprattutto-nelle-citta-del-nord/14871/;
Polizia Postale, https://www.commissariatodips.it/approfondimenti/antiterrorismo-online/che-cosa-si-intende-per-terrorismo-online/index.html;
Cybercrime: +138% gli attacchi informatici rilevati nel 2022, 3 gennaio 2023, consultabile al sito https://www.federprivacy.org/informazione/societa/cybercrime-138-gli-attacchi-informatici-rilevati-nel-2022#:~:text=I%20casi%20di%20cyberbullismo%20trattati,trattati%2C%20130%20le%20persone;
S. Saturno, Il 2021 è stato l’anno nero per i crimini informatici, 14 marzo 2022, consultabile al sito https://www.italiaoggi.it/news/il-2021-e-stato-l-anno-nero-per-i-crimini-informatici-2555213;
I 5 reati informatici più diffusi: Come prevenirli?, 16 marzo 2021, consultabile al sito https://sicert.net/;
OCSE, Linee guida dell’OCSE sulla sicurezza dei sistemi e delle reti informatiche, consultabile al sito http://www.oecd.org/dataoecd/16/23/15582268.pdf;
Che cos’è il crimine informatico e come fare per difendersi, 11 dicembre 2021, consultabile al sito https://www.unicusano.it/;
B. Martino, Reati informatici: quali sono e come difendersi, 27 ottobre 2020, consultabile al sito https://legalfordigital.it/reati-informatici/reati-informatici-quali-sono/;
M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, 27 gennaio 2023, consultabile al sito https://www.agendadigitale.eu/.
[1] Per comprendere la categoria dei reati informatici ed il bene giuridico tutelato: I reati informatici – DirittoConsenso.
[2] Facendo un’analisi territoriale dell’aumento nel fenomeno nel periodo in esame, si nota che è più che raddoppiato in Veneto (+110,2%), Sicilia (+102,9%) e Umbria (+102,3%), mentre si registrano aumenti sopra alla media di questa tipologia di reati per Lombardia (+90,9%), Piemonte e Sardegna (entrambe con +89,2%), Friuli-Venezia Giulia (+81,2%) e Calabria (+73,9%). All’opposto, si osserva un aumento più contenuto del fenomeno in Molise (+8,0%) e nella Provincia autonoma di Trento (+6,1%), mentre è in controtendenza la Provincia autonoma di Bolzano (-10,4%). Tali dati sono riportati nell’articolo Reati informatici +10% all’anno. Ai tempi della cyberwar, sicurezza informatica cruciale per il 42,1% delle MPI, 12 maggio 2022, consultabile al sito https://www.confartigianato.it/2022/05/studi-reati-informatici-10-allanno-ai-tempi-della-cyberwar-sicurezza-informatica-cruciale-per-il-421-delle-mpi/.
[3] Tale indagine è consultabile al sito https://lab24.ilsole24ore.com/indice-della-criminalita/index.php.
[4] Cfr. sul punto M. Casadei-M. Finizio, Reati in calo, ma non sul web: delitti online, incendi e rapine oltre i livelli pre-Covid, 3 ottobre 2022, consultabile al sito https://www.ilsole24ore.com/art/reati-calo-ma-non-web-delitti-online-incendi-e-rapine-oltre-livelli-pre-covid-AEAXPi3B. Per un approfondimento in merito all’analisi dei dati relativi al 2021, invece, si veda F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, 25 ottobre 2021, consultabile al sito https://www.cybersecitalia.it/cyber-crimine-800-reati-informatici-al-giorno-in-italia-nel-2021-soprattutto-nelle-citta-del-nord/14871/, in cui viene riportato che, nel 2021, i reati informatici hanno rappresentato il 15% del totale dei reati denunciati dalla popolazione, con un aumento del 28% di truffe e frodi informatiche e un aumento del 52% dei delitti informatici in generale rispetto al 2019.
[5] Anche nel 2021 si trovano le medesime classifiche con riferimento alle prime tre città, salvo l’ingresso della Provincia del Verbano-Cusio-Ossola al posto della città di Belluno. Tuttavia, si rileva comunque un aumento delle denunce nel 2022 rispetto al 2021. In merito, si veda F. Fabbri, Cyber crimine: 800 reati informatici al giorno in Italia nel 2021, soprattutto nelle città del Nord, cit.
[6] Per un approfondimento invito a leggere: L’accesso abusivo ad un sistema informatico – DirittoConsenso.
[7] La legge 29 maggio 2017, n. 71 recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” definisce tale fenomeno, all’art. 1, come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”. In più, rinvio ad un articolo già pubblicato su DirittoConsenso che riporta dati sul fenomeno: Cyberbullismo: alcuni dati recenti – DirittoConsenso.
[8] Sul punto, si veda il sito della Polizia Postale (https://www.commissariatodips.it/approfondimenti/antiterrorismo-online/che-cosa-si-intende-per-terrorismo-online/index.html), ove è analizzata la manifestazione di tale fenomeno attraverso due attività prevalenti: propaganda e attività diretta. L’attività di propaganda consiste nella diffusione di un pensiero o un’ideologia al fine di ottenere consensi, utilizzando un mezzo di comunicazione che raggiunga il maggior numero di persone possibili. Lo scopo finale della propaganda è quello di cercare di convincere le persone ad aderire alla causa e ad apportare il proprio contributo (uno dei mezzi di propaganda più utilizzati, ad esempio, sono i video che vengono veicolati attraverso vari canali, come i social network, da parte delle organizzazioni terroristiche di matrice islamista). L’attività diretta, invece, è quella che permette di utilizzare direttamente il cyberspazio come mezzo per colpire e dare dimostrazione della propria forza (ad esempio, possono essere compiuti attacchi dimostrativi – come il defacement di un sito web – sino alla vera e propria intrusione in un sistema informatico anche complesso). I principali obiettivi di questa attività possono essere, ad esempio, le infrastrutture critiche di un Paese, non solo per creare malfunzionamenti e diffondere il panico tra la popolazione, ma anche per poter sottrarre informazioni segrete. In merito a tale fenomeno, si sottolinea che nel 2022 sono stati 12.947 gli attacchi rilevati contro infrastrutture critiche, istituzioni, aziende e privati, ossia il 138% in più rispetto ai 5.434 dell’anno precedente. Non solo, è in continuo e vertiginoso incremento anche l’utilizzo delle piattaforme di comunicazione online, social network e di applicazioni di messaggistica istantanea per attività di cyberterrorismo: a questo proposito, nel 2022 sono stati monitorati 173.306 spazi virtuali con 1.193 casi trattati e 66 persone indagate (è quanto emerge dal rapporto del CNAIPIC – Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche – della Polizia postale, sul punto si veda l’articolo Cybercrime: +138% gli attacchi informatici rilevati nel 2022, 3 gennaio 2023, consultabile al sito https://www.federprivacy.org/informazione/societa/cybercrime-138-gli-attacchi-informatici-rilevati-nel-2022#:~:text=I%20casi%20di%20cyberbullismo%20trattati,trattati%2C%20130%20le%20persone; nello stesso senso, si veda S. Saturno, Il 2021 è stato l’anno nero per i crimini informatici, 14 marzo 2022, consultabile al sito https://www.italiaoggi.it/news/il-2021-e-stato-l-anno-nero-per-i-crimini-informatici-2555213).
[9] Sempre dal rapporto del CNAIPIC già citato è emerso, in merito al fenomeno del phishing e alle tecniche utilizzate per carpire illecitamente dati personali e bancari, che nel 2022 sono state identificate ed indagate 853 persone (+9% rispetto all’anno precedente).
[10] In merito ad alcuni tipi comuni di malware si veda l’articolo I 5 reati informatici più diffusi: Come prevenirli?, 16 marzo 2021, consultabile al sito https://sicert.net/.
[11] Secondo M. Casadei-M. Finizio, Reati in calo, ma non sul web: delitti online, incendi e rapine oltre i livelli pre-Covid, cit., l’aumento degli attacchi ransomware (classificati all’interno del reato di estorsione) in Italia è stato determinato dall’esponenziale sviluppo del mondo digitale, alimentato durante la pandemia da didattica a distanza e smart working. In tale articolo vengono riportate le parole del vicedirettore generale del dipartimento di Pubblica Sicurezza, il quale afferma che «per aziende oppure ospedali sono diventati attacchi sempre più frequenti che paralizzano l’attività, in cambio di denaro».
[12] Nel rapporto del CNAIPIC già citato si afferma che i casi di cyberbullismo trattati nel 2022 sono stati 323.
[13] In merito a tale fenomeno, si consiglia la lettura di F. Florio, Non chiamatelo revenge porn. Storie di vittime presunte colpevoli, Milano, 2022.
[14] Nel rapporto del CNAIPIC già citato si sottolinea che l’attività della Polizia Postale per il contrasto alla pedopornografia online ha portato, nel 2022, all’individuazione di 4.542 casi, consentendo di indagare 1.463 soggetti, con 149 arresti per reati commessi in danno di minori, e un aumento circa dell’8% di persone tratte in arresto. Inoltre, per quanto concerne il continuo monitoraggio svolto dalla Polizia Postale nelle attività di prevenzione, sono stati ispezionati 25.696 siti, di cui 2.622 inseriti in black list e oscurati, in quanto presentavano contenuti pedopornografici.
[15] Si veda, in proposito, OCSE, Linee guida dell’OCSE sulla sicurezza dei sistemi e delle reti informatiche, consultabile al sito http://www.oecd.org/dataoecd/16/23/15582268.pdf.
[16] Si pensi, ad esempio, alle attività di monitoraggio della rete e a quelle di tracciamento (cd. data retention), che spesso oscillano tra la necessità di garantire la pubblica sicurezza e quella di rispettare la privacy dei soggetti destinatari del controllo preventivo. In merito, la Polizia Postale ha reso noto di aver implementato tale attività informativa e di monitoraggio ad ampio spettro, estesa anche al dark web, attivando canali di diretta interlocuzione con altre forze di polizia quali Europol, Interpol ed FBI, per far fronte a continue e sempre più evolute sfide investigative nell’ambito dei reati informatici.
[17] Tali consigli si possono trovare nell’articolo Che cos’è il crimine informatico e come fare per difendersi, 11 dicembre 2021, consultabile al sito https://www.unicusano.it/.
[18] La denuncia può essere sporta anche online sul sito della Polizia Postale e, successivamente, deve essere confermata entro 48 ore in presenza, portando il numero di protocollo che è stato assegnato nella procedura effettuata sul sito. Peraltro, la Polizia Postale è strutturata in vari dipartimenti specializzati per ogni specifico reato.
[19] Cfr. sul punto B. Martino, Reati informatici: quali sono e come difendersi, 27 ottobre 2020, consultabile al sito https://legalfordigital.it/reati-informatici/reati-informatici-quali-sono/.
[20] Ad esempio, con riferimento al fenomeno del cyberbullismo, ai sensi della legge legge 29 maggio 2017, n. 71, è consentito a ciascun minore ultraquattordicenne vittima di cyberbullismo di inoltrare al gestore della piattaforma web una istanza per l’oscuramento, la rimozione o il blocco dei contenuti lesivi che lo riguardano e che sono stati diffusi in rete. Nel caso in cui la rimozione non avvenga nelle 24 ore, è possibile richiedere l’intervento del Garante della Privacy, che, entro le 48 ore successive alla richiesta, dovrà intervenire direttamente per intimare la rimozione dei contenuti lesivi, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, 27 gennaio 2023.
[21] Tale agenzia è stata istituita nel 2021 e si occupa di monitorare costantemente le criticità presenti sulla rete Internet, assicurando il coordinamento tra i soggetti pubblici e la realizzazione di azioni pubblico-private che puntino a garantire la sicurezza cibernetica per lo sviluppo digitale del Paese, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
[22] Tale autorità è stata istituita nel 1997 ed è la massima autorità preposta a gestire i reclami dei cittadini che subiscono violazioni all’interno del mondo digitale.
[23] Istituita nel 1997, svolge funzioni di regolamentazione e vigilanza nei settori delle comunicazioni elettroniche, dell’audiovisivo, dell’editoria, delle poste e, più recentemente, delle piattaforme online.
[24] Organizzazione nata nel 2020 contro la pornografia non consensuale. Coloro che sono vittime di questo fenomeno possono segnalarlo mediante l’Help Line presente sul sito e messo a disposizione. Inoltre, dal 2022 è attivo uno sportello di primo soccorso psicologico gratuito alle vittime di pornografia non consensuale, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
[25] Che, dal 2002, porta avanti un progetto di lotta allo sfruttamento e all’abuso sessuale in danno dei minori su Internet e tramite Internet, cfr. sul punto M. Ozenda, Difendersi dai pericoli del digitale: quali sono i più diffusi e a chi rivolgersi, cit.
I reati informatici
La rilevanza del fenomeno dei reati informatici: inquadramento generale, normativa italiana ed esempi di classificazione
I reati informatici (o computer crimes): cenni introduttivi
Sebbene non esista una definizione precisa e unanimemente accettata[1], vengono definiti reati informatici tutti i reati commessi per mezzo o con l’ausilio di un sistema o programma informatico e/o avente ad oggetto lo stesso sistema o programma informatico[2].
A questo punto dobbiamo precisare che:
- per “sistema informatico o telematico” è da intendersi «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati»[3] e
- per “programma informatico”, qualsiasi sequenza di istruzioni impartite al computer ed ordinate mediante algoritmi.
In Europa, il dibattito sul tema del contrasto ai reati informatici è scaturito nella Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001. Le disposizioni contenute in essa si occupano di fornire alcune definizioni terminologiche delle principali figure concettuali della materia[4], ma anche di armonizzare il diritto penale sostanziale e i profili processuali[5], nonché di rafforzare la cooperazione internazionale nella lotta al crimine informatico.
Per quanto concerne l’Italia, per far fronte alla necessità di adeguare la tutela giuridica alla presenza di nuove forme di aggressione tecnologica dapprima si decise di fare riferimento a preesistenti fattispecie incriminatrici (su tutte, il furto, il danneggiamento e la truffa), ma si pose subito il problema dell’applicabilità in via estensiva e soprattutto analogica di tali norme penali. Pertanto, il legislatore è intervenuto con la legge 23 dicembre 1993, n. 547[6] sia aggiornando la disciplina codicistica in modo da renderla funzionale alla repressione delle nuove forme di aggressione, sia introducendo nel Codice penale nuove figure di reato legate all’utilizzo degli strumenti informatici e digitali[7]. In particolare, sono stati aggiunti i seguenti gruppi di reati:
- le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche[8];
- le aggressioni all’integrità dei dati e dei sistemi informatici;
- le condotte in tema di falso, estese ai documenti informatici;
- le frodi informatiche[9].
Numerosi interventi successivi hanno poi portato alla creazione di ulteriori figure di reati informatici nel contesto di talune discipline normative di settore[10], fino ad arrivare alla legge 18 marzo 2008, n. 48, di attuazione della Convezione di Budapest, con cui il legislatore ha modificato le norme precedentemente introdotte dalla legge n. 547 del 1993[11], ha introdotto nuove figure di reati informatici[12], che non costituiscono più mere declinazioni solo tecnologiche delle classiche fattispecie di reato, ma tutelano diversi beni giuridici emersi nel contesto dell’era digitale[13], e infine ha esteso la responsabilità degli enti per gli illeciti amministrativi da reato anche alle ipotesi di reati informatici.
Il bene giuridico tutelato dai reati informatici
Uno dei problemi maggiormente avvertiti dalla dottrina e dalla giurisprudenza è stato quello di individuare i beni giuridici tutelati dalla nuova disciplina in materia di reati informatici.
Infatti, alcuni autori hanno offerto una serie di risposte differenti in merito all’emergere di nuovi beni giuridici, nonostante il legislatore abbia deciso di non introdurre un’isolata normazione di settore sui reati informatici. La ragione di questa scelta si ritrova nell’assunto che tali nuove fattispecie incriminatrici costituissero soltanto nuove forme di aggressione, caratterizzate dalla particolarità del mezzo o dell’oggetto materiale, ai beni giuridici tradizionali.
In particolare, un primo orientamento ha sostenuto l’introduzione di un nuovo bene giuridico che può essere definito “bene giuridico informatico”, che consentirebbe di analizzare il fenomeno dei reati informatici da una prospettiva unitaria, unificando il diritto penale dell’informatica attorno ad un unico oggetto di tutela da individuarsi nell’affidabilità e sicurezza del ricorso alla tecnologia informatica, telematica e cibernetica[14].
Su un piano più generale, è stata ipotizzata la sussistenza di un nuovo diritto soggettivo di libertà personale: il diritto di libertà informatica[15]. Si è obbiettato, tuttavia, che tale concetto, più che individuare un nuovo bene giuridico, è espressione dei diritti fondamentali della persona già tutelati a livello costituzionale[16].
Al contrario, secondo un diverso orientamento tali tesi non riescono a superare l’ostacolo rappresentato dal fatto che l’attuale sistema normativo relativo al fenomeno dei reati informatici non è concepito come sistema normativo unitario. Tale orientamento, pertanto, ha condiviso la scelta del legislatore di non creare un nuovo bene giuridico comune ai reati informatici, ma di concepire tali reati solo come nuove modalità di aggressione dei beni giuridici già oggetto di tutela[17]. Così, l’impossibilità di configurare un diritto penale dell’informatica quale settore autonomo del nostro ordinamento sanzionatorio non rende possibile individuare un unico bene giuridico tutelato dai reati informatici, e tale conclusione è quella maggiormente condivisa dalla dottrina[18].
Tuttavia, accanto ai beni giuridici tradizionali, si rileva la nascita di nuovi beni giuridici tutelati da alcune fattispecie di reati informatici (come, ad esempio, la tutela del corretto funzionamento dei sistemi informatici, la riservatezza informatica o il domicilio informatico) riconosciuti anche dalla stessa giurisprudenza[19].
La classificazione dei reati informatici
È possibile distinguere due diverse categorie di reati informatici[20]:
- i reati informatici in senso stretto e
- i reati informatici in senso ampio.
In particolare, la prima categoria è costituita da quei reati che presentano almeno un elemento essenziale o circostanziale che richiama espressamente le tecnologie informatiche o telematiche nella descrizione delle modalità della condotta, dei mezzi, degli oggetti, dell’evento o, comunque, delle altre condizioni dell’illecito[21]. In tale categoria rientrano, ad esempio, i reati di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.), frode informatica (art. 640 ter c.p.) e danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.). Essi rappresentano la tipizzazione di fatti nuovi, emersi con la progressiva diffusione delle nuove tecnologie ed estranei alle norme incriminatrici già esistenti[22].
Si qualificano, invece, come reati informatici in senso ampio quelle fattispecie che tipizzano forme di aggressione a beni giuridici già tutelati da norme incriminatrici comuni, ma che possono realizzarsi anche mediante strumenti informatici o su oggetti informatici, oppure attraverso modalità di condotta che coinvolgano l’utilizzo delle tecnologie informatiche o telematiche[23]. In questi casi, l’elemento informatico non deve essere necessariamente integrato ai fini della consumazione della fattispecie di reato, poiché esso compare nella formulazione della norma incriminatrice soltanto come possibile modalità, oggetto, strumento o risultato della condotta, in alternativa a quelli tradizionali, ritenuti ad essi equivalenti.
In sostanza, solo alla luce della concreta modalità di esecuzione della condotta compiuta dal soggetto attivo si potrà dire se quello consumato è un reato informatico in senso ampio oppure no. Si pensi, ad esempio:
- al delitto di diffamazione, che può essere commesso mediante pubblicazione in Internet di contenuti offensivi della reputazione altrui, o
- al reato di sostituzione di persona, integrato qualora siano utilizzate le generalità di una diversa persona per creare un falso account tale da provocare l’altrui errore, o, infine, alle truffe che si consumano online previa pubblicazione di inserti ingannevoli.
- Si può, infine, menzionare il caso della pornografia minorile, con riferimento al quale le condotte punite possono riguardare sia il possesso di materiale cartaceo, fotografico o cinematografo, sia supporti o files informatici o digitali, ivi compreso il materiale prodotto con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali (definita dall’art. 600 quater 1 c.p. come “pornografia virtuale”)[24].
Conclusioni
La necessità di introdurre una disciplina sanzionatoria di tipo penale con riferimento alle condotte integratrici dei reati informatici era dovuta all’alta lesività che tale tipologia di illecito portano con sé, sia in termini di danno al bene giuridico tutelato, sia in termini di elusività del sistema penale già predisposto dallo Stato a protezione del cittadino.
Tali condotte, infatti, non sono materialmente identificabili, bensì si celano dietro l’intangibilità della rete cibernetica, e proprio per questa ragione le organizzazioni criminali di ogni genere occupano stabilmente il cyberspazio e si giovano della possibilità di occultarsi agevolmente. L’attività investigativa soffre limitazioni e ostacoli dipendenti dai confini territoriali e dalla mancanza di uniformità delle legislazioni nazionali.
Dunque, si è intervenuti sia in ambito nazionale, sia internazionale, dovendosi segnalare il progetto delle Nazioni Unite su una nuova Convenzione contro i reati informatici, che costituisce un’ulteriore tappa del processo di internazionalizzazione del contrasto penale ai reati informatici. Tale Convenzione sarebbe posta non solo garanzia dei diritti fondamentali dell’uomo, ma anche a tutela della sovranità degli Stati, messa in pericolo da queste nuove categorie di reati, che, per la loro dimensione e per la difficoltà di accertamento, non possono essere efficacemente represse soltanto all’interno dei confini nazionali[25].
Informazioni
T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, in disCrimen, 2 dicembre 2021, 2-3.
L. Baj, La tutela penale del consumatore. Frodi informatiche, banche e intermediari, in E. Graziuso (collana diretta da), Il diritto del consumatore, Milano, 2015.
M. Cuniberti-G.B. Gallus-F.P. Micozzi-S. Aterno, Cybercrimine: prime note sulla legge di ratifica della Convenzione di Budapest, in Altalex, 8 maggio 2008.
S. Battaglia, Criminalità informatica al tempo di internet: rapporti tra phishing e riciclaggio, in Altalex, 18 settembre 2013.
S. Della Piazza, L’accesso abusivo ad un sistema informatico, in DirittoConsenso, 9 settembre 2021.
S. Della Piazza, La frode informatica, in DirittoConsenso, 27 ottobre 2021.
L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009.
F. R. Fulvi, La Convenzione Cybercrime e l’unificazione del diritto penale dell’informatica, in Dir. pen. proc., 2009.
V. Frosini, La criminalità informatica, in Dir. informazione e informatica, 1997.
A. Romano, Sui reati informatici nella legalità costituzionale, in M. Sirimarco (a cura di), Informatica, diritto, filosofia, Roma, 2007.
E. Giannantonio, L’oggetto giuridico dei reati informatici, in Cass. pen., 2001.
R. Flor, Lotta alla “criminalità organizzata” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di internet.
G. D’aiuto-L. Levita, I reati informatici. Disciplina sostanziale e questioni processuali, Milano, 2012.
L. Picotti, La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. econ., 2011, 4.
D. Fondaroli, La tutela penale dei «beni informatici», in Dir. informazione e informatica, 1996, 2.
A. Mattarella, La futura Convenzione ONU sul cybercrime e il contrasto alle nuove forme di criminalità informatica, in Sistema Penale, 2022, 3.
[1] In questo senso si veda T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, in disCrimen, 2 dicembre 2021, 2-3, consultabile al sito https://discrimen.it/reati-informatici-e-concorso-di-norme-come-levoluzione-tecnologica-informa-il-diritto-penale-il-caso-delle-botnets/, secondo cui il termine “criminalità informatica” designa un concetto ampio e flessibile che ingloba al suo interno fenomeni di diversa natura. Peraltro, neppure nella Convenzione di Budapest sulla criminalità informatica si trova una definizione di “reati informatici”, dal momento che il legislatore europeo ha scelto di non cristallizzare il fenomeno in una formula definita stante il costante avanzamento delle tecnologie e degli strumenti informatici.
[2] Tale definizione è la più adeguata alla scienza penalistica, secondo L. Baj, La tutela penale del consumatore. Frodi informatiche, banche e intermediari, in E. Graziuso (collana diretta da), Il diritto del consumatore, Milano, 2015; nello stesso senso, si veda M. Cuniberti-G.B. Gallus-F.P. Micozzi-S. Aterno, Cybercrimine: prime note sulla legge di ratifica della Convenzione di Budapest, in Altalex, 8 maggio 2008, consultabile al sito https://www.altalex.com/documents/news/2014/03/08/cybercrimine-prime-note-sulla-legge-di-ratifica-della-convenzione-di-budapest; S. Battaglia, Criminalità informatica al tempo di internet: rapporti tra phishing e riciclaggio, in Altalex, 18 settembre 2013, consultabile al sito https://www.altalex.com/documents/news/2014/03/28/criminalita-informatica-al-tempo-di-internet-rapporti-tra-phishing-e-riciclaggio.
[3] Tale definizione si trova nell’art. 1, lett. a) della Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.
[4] Quali la nozione di sistema informatico, di dato informatico, di fornitore di servizi e di dati relativi al traffico (art. 1).
[5] Tra cui la disciplina delle prove e dei mezzi di ricerca della prova (artt. 14-22).
[6] Anche se il primo intervento del legislatore italiano diretto ad affrontare il tema dell’interazione tra tecnologie informatiche e norma penale risale alla legge n. 191 del 1978, con cui il legislatore, con riferimento all’art. 420 c.p., nel sanzionare l’attentato agli impianti di pubblica utilità menziona per la prima volta ed espressamente anche gli “impianti di elaborazione dei dati”. Questa disposizione è stata poi integralmente sostituita dall’art. 2 della legge n. 547/1993 e, successivamente, in parte abrogata dall’art. 6 della legge n. 48/2008, di attuazione della Convenzione di Budapest.
[7] Il legislatore ha scelto di non creare un titolo autonomo di reati all’interno del Codice penale, né un unico testo legislativo extracodicistico, per soddisfare l’esigenza di non discostarsi eccessivamente dai paradigmi delle fattispecie legali comuni, considerate più vicine alle nuove tipologie di condotte cibernetiche. Dunque, per alcuni reati informatici sono state scelte denominazioni, collocazione sistematica e livelli sanzionatori il più possibile analoghi alle figure classiche; in altre ipotesi, invece, il legislatore non ha nemmeno formulato nuove fattispecie incriminatrici, ma si è limitato a ridefinire o aggiungere oggetti passivi e materiali nuovi e talune semplici precisazioni in ordine alle modalità di esecuzione della condotta tipica, riproducendo gli elementi essenziali delle categorie classiche.
[8] Per un approfondimento sul reato di accesso abusivo ad un sistema informatico si veda https://www.dirittoconsenso.it/2021/09/09/accesso-abusivo-ad-un-sistema-informatico/.
[9] Per un approfondimento sul tema delle frodi informatiche si veda https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/.
[10] È il caso, ad esempio, del d. lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), o della legge 22 aprile 1941, n. 633 sulla tutela del diritto d’autore, in cui è stato introdotto l’art. 171 bis in tema di duplicazione abusiva di software informatici.
[11] È il caso della disciplina delle falsità informatiche, nell’ambito della quale viene soppresso il comma 1 dell’art. 491 bis c.p., che conteneva una definizione di documento informatico oramai anacronistica e obsoleta, nonché delle modifiche in tema di danneggiamenti, con la distinzione tra danneggiamenti di dati e danneggiamenti di sistemi informatici.
[12] Tra queste nuove fattispecie si segnalano, per esempio, l’art. 495 bis c.p., concernente la falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri, e l’art. 640 quinquies c.p., dettato in tema di frode informatica del soggetto che presta servizi di certificazione di firma elettronica.
[13] La nascita di nuovi beni giuridici, quali la tutela del corretto funzionamento dei sistemi informatici, viene riconosciuta anche dalla stessa giurisprudenza: si veda, per esempio, Cass. pen., Sez. II, 15 aprile 2011, n. 17748.
[14] In questo senso si vedano L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009, 18 e F.R. Fulvi, La Convenzione Cybercrime e l’unificazione del diritto penale dell’informatica, in Dir. pen. proc., 2009, 641-642.
[15] Cfr. V. Frosini, La criminalità informatica, in Dir. informazione e informatica, 1997, 488-489.
[16] Vengono in rilievo, per esempio, il diritto alla inviolabilità del domicilio (art. 14 Cost.) o il diritto alla segretezza della corrispondenza (art. 15 Cost.).
[17] In questo senso si veda A. Romano, Sui reati informatici nella legalità costituzionale, in M. Sirimarco (a cura di), Informatica, diritto, filosofia, Roma, 2007.
[18] Cfr. E. Giannantonio, L’oggetto giuridico dei reati informatici, in Cass. pen., 2001, 2029, secondo cui questa conclusione rende condivisibile la scelta del legislatore di inserire gran parte dei crimini informatici sia in punti diversi del codice penale, sia in testi normativi diversi e individuati a seconda del bene giuridico tutelato dalla fattispecie presa in considerazione. Dunque, ad esempio, l’art. 491 bis c.p., volto alla protezione della cosiddetta fede pubblica, è stato collocato nel capo III del titolo VII del libro II del codice penale, poiché tale previsione estende la tutela prevista in tema di fede pubblica anche al documento informatico, così come l’art. 640 ter c.p., che sanziona la c.d. frode informatica, tutela l’altrui patrimonio, essendo tale fattispecie modellata sul paradigma della truffa di cui all’art. 640 c.p.
[19] Cfr. Cass. pen., Sez. II, 15 aprile 2011, n. 17748; Cass. pen., sez. II, 14 gennaio 2019, n. 21987.
[20] Per un approfondimento in merito a tali categorie si vedano, tra gli altri, T. Pietrelli, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso delle Botnets, cit., 3 e ss.; R. Flor, Lotta alla “criminalità organizzata” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di internet, consultabile al sito www.dirittopenalecontemporaneo.it, 4; G. D’aiuto-L. Levita, I reati informatici. Disciplina sostanziale e questioni processuali, Milano, 2012, 3 e ss.
[21] Cfr. L. Picotti, La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. econ., 2011, 4, 845.
[22] Cfr. D. Fondaroli, La tutela penale dei «beni informatici», in Dir. inform., 1996, 2, 295, il quale evidenzia come l’immaterialità dei beni informatici – quali dati, programmi e sistemi informatici – su cui incidono le condotte criminose determina non poche difficoltà qualora si debba applicare al caso concreto fattispecie incriminatrici già esistenti (come, ad esempio, i reati di furto, truffa o appropriazione indebita), evidentemente incentrate sulla materialità degli oggetti.
[23] Diversamente, secondo parte della dottrina ai reati informatici in senso stretto si affiancano non una, ma due diverse categorie, secondo la seguente tripartizione:
- norme penali eventualmente informatiche: comprende tutte quelle disposizioni che, non tipizzando una specifica modalità di condotta, sono applicabili anche a fatti realizzati contro (o per mezzo) le tecnologie;
- norme penali informatiche in senso ampio:
- norme penali informatiche in senso stretto.
Il primo gruppo comprende tutte quelle disposizioni che, non tipizzando una specifica modalità di condotta, sono applicabili anche a fatti realizzati contro le (o per mezzo delle) tecnologie. Per norme penali informatiche in senso ampio si intendono, invece, quelle disposizioni che richiamano nel fatto tipico elementi informatici, pur essendo, in realtà, l’aggiornamento in chiave tecnologica di norme preesistenti. In questo senso, si veda, P. Galdieri, Teoria e pratica nell’interpretazione del reato informatico, in Rivista Elettronica di Diritto, Economia, Management, 2010, 3, 95, il quale, a titolo esemplificativo, riconduce nella prima categoria il reato di estorsione (art. 629 c.p.) e nella seconda l’esercizio arbitrario delle proprie ragioni (art. 392 c.p.) che, a seguito della l. n. 547/93, può riferirsi anche alla violenza realizzata contro un bene informatico.
[24] Per un approfondimento sul tema correlato della diffusione di materiale pedopornografico si veda https://www.dirittoconsenso.it/2021/09/17/la-diffusione-di-materiale-pedopornografico/.
[25] Per un approfondimento sul tema si veda A. Mattarella, La futura Convenzione ONU sul cybercrime e il contrasto alle nuove forme di criminalità informatica, in Sistema Penale, 2022, 3.