I reati informatici (cyber crimes) rappresentano un fenomeno criminale caratterizzato dall’uso illecito della tecnologia informatica o telematica.
La diffusione di tale tipologia di reati ha condotto, a livello internazionale, ad una implementazione della legislazione in materia, che è stata recepita a livello nazionale con l’introduzione di nuove fattispecie di reato, o la modifica di altre fattispecie già esistenti.
Tali fattispecie sono dislocate in varie sezioni del codice penale: nell’ambito dei delitti contro la persona, nonché nel novero dei delitti contro il patrimonio, o ancora fra i delitti contro la fede pubblica.
Occorre, inoltre, distinguere i reati propriamente informatici dai reati che vengono commessi con il mezzo informatico.
«Modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica.»
«Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno.»
«Norme in materia di misure per il contrasto ai fenomeni di criminalità informatica.»
- Delitti contro la persona
- Delitti contro il patrimonio
- Delitto contro la fede pubblica
Il SISTEMA INFORMATICO è il complesso di apparecchi organizzati per mezzo di specifici programmi al fine di acquisire ed elaborare in modo automatico le informazioni.
Il SISTEMA TELEMATICO è un mezzo per collegare tra loro più elaboratori tramite una rete telefonica al fine di consentire un utilizzo decentrato dei dati.
Reati propriamente informatici (es.: accesso abusivo a sistema informatico, frode informatica, danneggiamento informatico, ecc.)
Reati che possono essere commessi con il mezzo informatico (es.: diffamazione, esercizio arbitrario delle proprie ragioni con violenza sulle cose, rivelazione di segreti professionali, scientifici e industriali, reati pedopornografici, ecc.)
L’accesso abusivo a sistema informatico o telematico
«Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni:
- se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore di sistema;
- se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.»
La norma punisce la condotta di chi abusivamente si introduce in un sistema informatico o telematico, purché sia protetto, ovvero la condotta di chi vi permane contro la volontà – espressa o tacita – di chi ha il diritto di escluderlo.
Viene tutelato il domicilio informatico inteso come spazio ideale di pertinenza della persona (difatti, la fattispecie si colloca nell’ambito dei delitti contro la persona).
Il Legislatore ha inteso reprimere qualsiasi introduzione o trattenimento in un sistema informatico che avvenga contro la volontà dell’avente diritto, e per rendere penalmente apprezzabile tale volontà è da ritenersi sufficiente qualsiasi mezzo di protezione.
Si tratta di un delitto comune di pericolo, a dolo generico, che si consuma nel momento dell’accesso, e che prevede altresì, al secondo comma, tre circostanze aggravanti speciali.
Nozioni di intrusione e accesso abusivo.
il reato non è configurabile allorché il soggetto che abbia titolo per accedere al sistema se ne avvalga per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente ravvisabili, ove tali finalità vengano poi effettivamente realizzate (ex multis, Cass. V, 8 ottobre 2008, n°39290; Cass. V, 20 dicembre 2007, n°2534);
perché il reato sia configurabile, basta la semplice condotta del soggetto che, pur abilitato ad accedere al sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti per fini estranei alle ragioni di istituto e agli scopi insiti nella protezione dell'archivio informatico, utilizzando il sistema per obiettivi diversi da quelli consentiti, poiché ad essere punita non è solo l’abusiva introduzione, ma anche l’abusiva permanenza (ex multis, Cass. V, 10 dicembre 2009, n°2987; Cass. V, 16 febbraio 2010, n° 19463).
«La volontà contraria dell’avente diritto deve essere verificata solo con riguardo al risultato immediato della condotta posta in essere, e non ai fatti successivi; deve perciò ritenersi rilevante il profilo oggettivo dell’accesso e del trattenimento nel sistema da parte di un soggetto che sostanzialmente non può essere ritenuto abilitato ad accedervi. Integra il delitto previsto dall’art. 615 ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso (disposizioni organizzative interne, prassi aziendali, clausole contrattuali) o allorquando ponga in essere operazioni ontologicamente diverse da quelle per cui è autorizzato; rimangono invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema.»
«Ai fini della configurabilità del reato di accesso abusivo a sistema informatico, nel caso di soggetto munito di regolare password, è necessario accertare il superamento, sul piano oggettivo, dei limiti e, pertanto, le violazioni del complesso delle prescrizioni relative all’accesso, contenute in disposizioni organizzative impartite dal titolare» oppure accertare che il soggetto abbia posto in essere «operazioni di natura ontologicamente diversa da quelle per cui l’accesso era consentito» (Cass. V, 22 febbraio 2012, n° 15054)
A livello di i.t. aziendale, è dunque estremamente rilevante la predisposizione e documentazione di policy specifiche che individuino le prescrizioni per le modalità di accesso e le finalità per cui il soggetto abilitato può accedere e trattenersi nel sistema
- Cass. V, 19 aprile 2016, n°35127
- Cass. V, 9 febbraio 2016, n°27883
Le sentenze prendono in considerazione casi di accessi al sistema informatico effettuate da soggetti autorizzati, che tuttavia agivano in violazione dei propri doveri istituzionali (ad es. appartenenti alle Forze dell’Ordine), rappresentando che si tratta di finalità ontologicamente diverse
Questione nuovamente rimessa alle sezioni unite.
Cass. V, ord. 14 marzo 2017, n°12264: «Si chiede al supremo Consesso riunito se il delitto previsto dall’art. 615 ter, comma 2, n. 1 cod. pen. sia integrato anche dalla condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur formalmente autorizzato all’accesso ad un sistema informatico o telematico, ponga in essere una condotta che concreti uno sviamento di potere, in quanto mirante al raggiungimento di un fine non istituzionale, e se, quindi, detta condotta, pur in assenza di violazione di specifiche disposizioni regolamentari ed organizzative, possa integrare l’abuso dei poteri o la violazione dei doveri previsti dall’art. 615 ter, comma secondo, n. 1 cod. pen.».
(casistica: accesso di funzionaria di cancelleria della Procura della Repubblica)
Cass. S.U. u.p. 18 maggio 2017 (Pres. Canzio) Informazione provvisoria: risposta affermativa al quesito posto dall’ordinanza di rimessione.
Le Sezioni Unite affermano dunque che è abusivo l’accesso a sistemi informatici per ragioni ontologicamente estranee e comunque diverse da quelle per le quali l’agente dispone di autorizzazione.
«Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615 ter c.p., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente» (Cass. Sez. Un., 26 marzo 2015, n°17325)
«(…) Né può dubitarsi che i reati di accesso abusivo ad un sistema informatico e la frode informatica possano concorrere: trattasi di delitti diversi, il secondo dei quali postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del primo; d’altro canto l’accesso abusivo può essere commesso solo con riferimento a sistemi protetti, requisito non postulato per la frode informatica» (Cass. V, 27 gennaio 2004, n°2672)
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
«Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno ingiusto, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a € 5.164. La pena è della reclusione da uno a due anni e della multa da € 5.164 a € 10.329 se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’art. 617 quater.»
Per «procurarsi i mezzi di accesso» di un sistema informatico o telematico si intende la condotta di chi si appropria della chiave meccanica o della scheda magnetica, oppure individua i codici di accesso attraverso procedimenti logici tipici del computer. Per «riprodurre» si intende la condotta di chi realizza una copia abusiva di un codice di accesso, idonea all’uso. La «divulgazione» a terzi è integrata mediante la diffusione, la comunicazione, la consegna, o condotte che possano concorrere con il mero procacciamento. L’ultima parte della norma punisce anche chi sveli particolari tecnici tali da consentire ad altri di procurarsi l’accesso. Il reato si consuma nel momento e nel luogo in cui il soggetto pone in essere una delle condotte previste dalla fattispecie, ed è caratterizzato dal dolo specifico che consiste nel procurare a sé o ad altri un profitto, o di arrecare ad altri un danno.
«Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di cui all’art. 615 quater c.p. la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche. Ne consegue che l’acquisto consapevole a fini di profitto di un telefono cellulare predisposto per l’accesso alla rete di telefonia mediante i codici di altro utente (“clonato”) configura il delitto di ricettazione, di cui costituisce reato presupposto quello ex art. 615 quater.» (Cass. II, 17 dicembre 2004, n°5688)
«In tema di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, la detenzione di una scheda contraffatta (pic card) per la decrittazione delle trasmissioni a pagamento (pay tv) configura il reato di cui all’art. 615 quater c.p., ma non rientra nella previsione di cui all’art. 171 octies l. n. 248 del 2000, che concerne la tutela del diritto d’autore, con la conseguenza che tra le due previsioni non sussiste alcun rapporto di specialità.» (Cass. V, 29 maggio 2002, n°24847)
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o a interrompere un sistema informatico o telematico
«Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a € 10.329.»
La norma, nella sua formulazione originaria, prevedeva tre condotte alternative (diffusione, comunicazione e consegna), in parte sovrapponibili, allo scopo di punire ogni forma di distribuzione o circolazione dei programmi nocivi. Dopo l’entrata in vigore della Convenzione di Budapest, la fattispecie è stata modificata e sono state aggiunte, allo scopo di anticipare la soglia della punibilità, le condotte del procurarsi, produrre, riprodurre, importare e mettere a disposizione. Ai programmi informatici sono state aggiunte le apparecchiature ed i dispositivi, anche se è scomparso ogni riferimento al carattere dannoso degli stessi. La nuova fattispecie considera, dunque, anche condotte perfettamente lecite, ed anzi usuali nell’attività degli operatori, nelle quali solo il dolo specifico dell’illecito danneggiamento rende il fatto penalmente rilevante. Trattasi di reato di pericolo, non essendo necessario, per la sua consumazione, l’effettivo danneggiamento del sistema, dei dati e delle informazioni.
Violazione, sottrazione e soppressione di corrispondenza
«Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da € 30 a € 516. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a 3 anni. Il delitto è punibile a querela della persona offesa. Agli effetti delle disposizioni di questa sezione, per “corrispondenza” s’intende quella epistolare, telegrafica o telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza.»
La norma prevede, al primo comma, tre distinte ipotesi di reato che consistono rispettivamente nella:
- presa di cognizione
- sottrazione e distrazione
- distruzione e soppressione
- della corrispondenza, anche informatica o telematica.
Il secondo comma punisce la rivelazione della corrispondenza senza giusta causa, intendendosi, con tale formula, l’assenza di ragioni che rendano inevitabile la commissione del reato.
È altresì necessario che dalla rivelazione derivi un nocumento al soggetto passivo, ovvero un pregiudizio giuridicamente rilevante, morale o materiale, sia per il mittente che per il destinatario.
Il bene giuridico tutelato è la segretezza e l’inviolabilità della corrispondenza, interesse garantito dall’art. 15 della Costituzione. Le problematiche più rilevanti sotto il profilo informatico in ambito aziendale attengono, principalmente, alla cognizione della posta elettronica aziendale contenuta nel computer del dipendente da parte del datore di lavoro.
«Non si configura la fattispecie prevista dal comma 1 dell’art. 616 c.p., relativa alla cognizione, sottrazione o distrazione di una corrispondenza online, nei casi in cui la cognizione della posta elettronica venga fatta nell’ambito di un medesimo contesto lavorativo, non potendo equipararsi, tale cognizione, a quella della corrispondenza cartacea chiusa. Ove il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che, legittimamente, dispongano della chiave informatica di accesso.» (Trib. Cagliari, 22 gennaio 2015, n°8)
«In materia di violazione, sottrazione e soppressione di corrispondenza, la nozione di giusta causa, alla cui assenza l’art. 616 c.p., comma 2, subordina la punibilità della rivelazione del contenuto della corrispondenza, non è fornita dal legislatore ed è dunque affidata al concetto generico di giustizia, che la locuzione stessa presuppone, e che il giudice deve pertanto determinare di volta in volta con riguardo alla liceità – sotto il profilo etico e sociale – dei motivi che determinano il soggetto ad un certo atto o comportamento.» (Cass. V, 15 dicembre 2014, n°52075)
«Deve ritenersi che la corrispondenza informatica o telematica possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi. Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso.» (Cass. V, 11 dicembre 2007, n°47096)
«Nel caso in cui il datore di lavoro, in forza del regolamento aziendale, sia legittimamente a conoscenza della password atta a proteggere il sistema informatico, la corrispondenza informatica o telematica del singolo dipendente non può essere qualificata come chiusa, pertanto non è ravvisabile una violazione dell’art. 616 c.p. nell’ipotesi in cui il superiore gerarchico prenda cognizione del contenuto della posta elettronica del lavoratore assente.» (Cass. V, 11 dicembre 2007, n°47096) Tale orientamento è stato recentemente – seppur indirettamente – confermato anche a livello comunitario, dalla sentenza CEDU Barbulescu vs Romania ECHR 013 del 12 gennaio 2016, che ha legittimato il licenziamento di un dipendente che aveva utilizzato la posta elettronica aziendale per fini personali. A livello di Codice della privacy (D. Lgs. 196/2003), rivestono un rilievo specifico le policy aziendali sull’utilizzo della posta elettronica.
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
«Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena di applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.
I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.
Tuttavia si procede d’ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:
- in danno ad un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore di sistema;
- da chi esercita anche abusivamente la professione di investigatore privato.»
Tale disposizione estende anche alla comunicazione informatica o telematica la tutela prevista dall’art. 617 c.p. in favore della segretezza e della genuinità delle conversazioni o delle trasmissioni.
Il mezzo fraudolento è richiesto solo per l’ipotesi di intercettazione, mentre l’impedimento o l’interruzione possono determinarsi con qualunque mezzo. Per intercettazione si intende un’attività volta a rappresentare al sistema stesso in via automatica, o al gestore del sistema, una situazione non corrispondente al vero quanto all’identità del soggetto autorizzato, o alle caratteristiche del sistema intercomunicante, o dell’impianto ricevente, o alle particolari modalità richieste per la connessione o la ricezione di dati particolari. Il dolo è generico e il reato si consuma nel momento e nel luogo in cui è compiuta una delle condotte previste dalla fattispecie.
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche
«Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico, ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell’art. 617 quater.»
La norma estende alle comunicazioni informatiche e telematiche la tutela prevista dall’art. 617 bis c.p. per le comunicazioni telefoniche o telegrafiche. Il bene giuridico tutelato dalla norma è quello della sicurezza informatica e telematica. Il reato si consuma nel momento e nel luogo in cui è compiuta l’installazione delle apparecchiature, anche qualora, per ragioni non concernenti l’idoneità assoluta, non abbiano funzionato.
Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche
«Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell’art. 617 quater.»
La norma estende alle comunicazioni informatiche e telematiche la tutela prevista dall’art. 617 ter c.p. per le comunicazioni telefoniche o telegrafiche. Il bene giuridico tutelato è quello della sicurezza informatica e telematica. La condotta consiste nella comunicazione distorta di ciò che è stato volontariamente o casualmente intercettato.
È irrilevante il modo in cui il reo sia venuto a conoscenza delle comunicazioni, e l’uso va considerato come elemento essenziale del reato, e non come condizione obiettiva di punibilità.
Danneggiamento di informazioni, Dati e programmi informatici
«Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.»
Il delitto in esame tutela i beni informatici.
Prima dell’entrata in vigore della L. n°547/93, la condotta consistente nella cancellazione di dati dalla memoria di un computer configurava un’ipotesi classica di danneggiamento, ai sensi dell’art. 635 c.p. (prima della modifica ai sensi del D.Lgs. 15 gennaio 2016, n° 7). Le condotte di cancellazione, alterazione e soppressione previste dalla Convenzione di Budapest sono state previste in ragione del particolare oggetto materiale della condotta (le informazioni, i dati e i programmi informatici), ossia il software e le informazioni memorizzate in un elaboratore, difficilmente riconducibili al concetto di “cosa”, a meno che la condotta non abbia ad oggetto anche il supporto magnetico che li contiene (hardware). Il secondo comma prevede due aggravanti, ovvero quella relativa al fatto commesso con abuso della qualità di operatore del sistema, e quella relativa alla commissione del fatto con violenza alla persona o minaccia.
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
«Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque, di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è aumentata.»
La fattispecie ricalca la previsione dell’art. 635 bis c.p., diversificandosi per l’oggetto materiale, che attiene all’ambito pubblico o di pubblica utilità. Sul piano oggettivo si distinguono due ipotesi di reato: la prima, costruita come delitto di attentato, garantisce un grado di tutela anticipata rispetto alla previsione generale. La seconda ipotesi punisce la realizzazione dell’evento di danno. Le circostanze aggravanti sono le medesime previste dall’art. 635 bis c.p.
Danneggiamento di sistemi informatici o telematici
«Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’art. 635 bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è aumentata.»
L’introduzione della autonoma fattispecie di danneggiamento al sistema informatico o telematico risponde ad una esigenza di simmetria rispetto alla sistematica della Convenzione di Budapest, che distingue il danneggiamento dell’integrità dei dati (art. 4, a cui corrisponde l’art. 635 bis c.p.) dal danneggiamento dell’integrità del sistema (art. 5), che comprende i danneggiamenti realizzabili mediante programmi virus o altre tipologie di malware, anche attraverso internet. Particolarmente importante è la previsione dell’ipotesi di ostruzione grave del funzionamento del sistema informatico o telematico, sia per la rilevanza pratica, sia per l’avere, la fattispecie, colmato un vuoto normativo relativo alla alterazione funzionale del sistema. Trattasi di reato di evento, che prevede le stesse circostanze aggravanti dell’art. 635 bis c.p. La procedibilità d’ufficio, non prevista per l’ipotesi di cui all’art. 635 bis c.p. (se non nell’ipotesi aggravata di cui al comma II) implica che il Legislatore abbia attribuito a tale fattispecie un coefficiente maggiore di gravità rispetto all’ipotesi di danneggiamento dei dati, nell’ambito della quale era ricompresa prima dell’entrata in vigore della L. 48/08.
Danneggiamento di sistemi informatici o telematici di pubblica utilità
«Se il fatto di cui all’articolo 635 quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è aumentata.»
Per l’analisi delle principali questioni giuridiche che attengono a tale fattispecie si rimanda al commento sub art. 635 ter c.p.
L’unica differenza attiene al riferimento esclusivo alla “pubblica utilità”, e non anche alla utilizzazione da parte dello Stato o di altro ente pubblico, anche se ciò non implica una significativa differenza a livello di applicazione pratica.
Frode informatica
«Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da € 51 ad € 1.032. La pena è della reclusione da uno a cinque anni e della multa da € 309 ad € 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. La pena della reclusione da due a sei anni e della multa da € 600 ad € 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.»
La norma prevede due condotte differenti, seppur sanzionate con la medesima pena:
- l’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico: le condotte delineate consistono in un’alterazione estrinseca del sistema, volta ad indurlo a compiere operazioni diverse da quelle per cui è programmato, per trarne profitto ai danni del titolare;
- l’intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti: la condotta contempla, al contrario, le modifiche intrinseche al sistema operativo, dirette ad alterare, oltre che i dati, gli esiti delle elaborazioni, con inserimento di informazioni e delle correlazioni logiche del programma.
«È un hacker anche chi detiene ed utilizza carte di credito clonate ed è chiamato, pertanto, a rispondere del reato di frode informatica di cui all’art. 640 ter. La condotta che integra la figura criminosa, infatti, è duplice: da un lato, si persegue chi “alteri”, in qualsiasi modo, il funzionamento di un sistema informatico o telematico; dall’altro, si persegue chi interviene senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema, così da realizzare l’ingiusto profitto con correlativo altrui danno. L’utilizzazione di carte falsificate e la previa artificiosa captazione dei codici segreti di accesso (PIN) integra questa seconda ipotesi perché permette all’agente di penetrare abusivamente e, dunque, senza diritto, all’interno dei vari sistemi bancari, alterando i relativi dati contabili, mediante ordini (abusivi) di operazioni bancarie di trasferimento fondi: tale essendo, evidentemente, anche l’operazione di prelievo di contanti, attraverso i servizi di cassa continua.» (Cass. II, 15 aprile 2011, n°17748)
«Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello “ius excludendi alios”, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto.» (Cass. V, 30 settembre 2008, n°1727)
«Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema.» (Cass. II, 20 novembre 2009, n°44720)
«Integra il reato di sostituzione di persona di cui all’art. 494 c.p. la condotta di colui che crei ed utilizzi un account di posta elettronica, attribuendosi falsamente le generalità di un altro soggetto, inducendo in errore gli utenti della rete internet, nei confronti dei quali le false generalità siano state declinate con il fine di arrecare danno al soggetto le cui generalità sono state abusivamente spese.» (Cass. III, 15 dicembre 2011, n°12479)
«Integra il delitto di cui all'art. 494 c.p. la condotta di colui che crei ed utilizzi un profilo su social network, utilizzando abusivamente l'effige di una persona del tutto inconsapevole, al fine di comunicare con altri iscritti e di condividere materiale in rete.» (Cass. V, 23 aprile 2014, n° 25774)
Problematica del c.d. «X sender»: sostituzione di persona o frode informatica?
«Il reato di frode informatica, previsto dall’art. 640 ter c.p., si consuma – non diversamente dal comune reato di truffa – nel momento in cui l’agente consegue l’ingiusto profitto, con correlativo danno altrui.» (Cass. VI, 4 ottobre 1999, n°3065)
«In forza del rinvio indifferenziato dell’art. 640 quater c.p. alle disposizioni contenute nell’art. 322 ter c.p., la confisca di beni per un valore equivalente al profitto del reato può essere disposta anche nel caso di condanna per uno dei delitti previsti dagli artt. 640 comma 2 n. 1, 640 bis e 640 ter c.p.» (Cass. Sez. Un. 25 ottobre 2005, n°41936)
Applicabilità dell’articolo 322 ter c.p. Confisca per equivalente
«Nei casi di cui agli articoli 640, secondo comma, numero 1, 640 bis e 640 ter, secondo comma, con esclusione dell’ipotesi in cui il fatto è commesso con abuso della qualità di operatore del sistema, si osservano, in quanto applicabili, le disposizioni contenute nell’art. 322 ter.»
Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
«Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 €.»
Documenti informatici
«Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti gli atti pubblici.»
La norma individua l’ipotesi del cosiddetto “falso informatico”, che consiste nella falsificazione di documenti informatici, ed è stata introdotta a seguito della ratifica della Convenzione di Budapest allo scopo di tutelare la pubblica fiducia riposta nella genuinità e nella veridicità di essi. L’obiettivo del Legislatore era quello di attribuire alla firma digitale l’idoneità ad identificare univocamente l’autore del documento, in modo da consentire l’attribuzione al documento informatico della stessa natura di un atto originale, e dunque della piena efficacia giuridica sostanziale e processuale.
Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri
«Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino a un anno.»
La norma in esame e le condotte illecite dalla stessa previste sono formulate sulla scorta dell’art. 495 c.p. (“Falsa attestazione o dichiarazione ad un pubblico ufficiale sulla identità o su qualità personali proprie e altrui”).
Per la concreta operatività di tale disposizione occorre far riferimento al Codice dell’amministrazione digitale (D.Lgs. 82/2005), che disciplina le dichiarazioni e le attestazioni che devono essere rese al certificatore qualificato competente a rilasciare il certificato elettronico necessario per l’ottenimento della firma elettronica qualificata o della firma digitale.
Rivelazione del contenuto di documenti segreti
«Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documento, pubblici o provati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero l’impiega a proprio o altrui profitto, è punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da € 103 a € 1.032. Agli effetti della disposizione di cui al primo comma è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi. Il delitto è punibile a querela della persona offesa.»
Rivelazione di segreto professionale
«Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da € 30 a € 516. La pena è aggravata se il fatto è commesso da amministratori, direttori generali, dirigenti preposti alla relazione dei documenti contabili societari, sindaci o liquidatori o se è commesso da chi svolge la revisione contabile della società. Il delitto è punibile a querela della persona offesa.»
Rivelazione di segreti scientifici o industriali
«Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da € 30 a € 516. La pena è aggravata se il fatto è commesso da amministratori, direttori generali, dirigenti preposti alla relazione dei documenti contabili societari, sindaci o liquidatori o se è commesso da chi svolge la revisione contabile della società. Il delitto è punibile a querela della persona offesa.»
«Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche, o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, è punito von la reclusione fino a due anni. Il delitto è punibile a querela della persona offesa.»
Esercizio arbitrario delle proprie ragioni con violenza sulle cose
«Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito, a querela della persona offesa, con la multa fino a € 516.
Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico.»