CRIMINI INFORMATICI a cura di Francesco Iperti Dispense tratte

CRIMINI INFORMATICI
a cura di Francesco Iperti
Dispense tratte dalle lezioni tenute presso il Corso "Diritto dell'Information Technology" organizzato
da Luiss Management spa
PREMESSA
Molto spesso coloro che vorrebbero fare "affari" mediante internet sono frenati dagli organi di
informazione, che danno gran risalto agli atti di pirateria informatica, ma non precisano mai (o a
volte addirittura negano) l'esistenza di una normativa penale che contempla detti atti come reati e
che dovrebbe tutelare chi intende svolgere attività economiche su internet o far transitare sulla
stessa i propri dati "economici". Il clamore suscitato dalle azioni degli hacker crea una sorta di
incertezza che induce molti a considerare internet una "porzione di mare fuori dalle acque
territoriali" (la frase è del dott. Rodotà, Garante della Privacy) ove i pirati spadroneggiano e dove è
opportuno avventurarsi solo per giocare, per fare sesso virtualmente o per conoscere le idee di
qualche "strampalata" organizzazione animalista (o peggio, per guardare il "grande fratello"). A ciò
si aggiunga l'intrinseca extraterritorialità di internet a cui si associa l'idea che sia impossibile
perseguire un cyber criminale, in quanto non si sa quale sia la legge applicabile ovvero il giudice
competente. In realtà tutto ciò è vero solo in minima parte.
In primo luogo si evidenzia che i reati (che verranno illustrati in seguito) sono punibili dalla legge
italiana quando l'azione o l'omissione, che li costituiscono, è avvenuta in tutto o in parte sul
territorio italiano ovvero l'evento che è conseguenza dell'azione od omissione si è verificato sul
territorio italiano (art. 6 c.p.). Ad esempio, un atto di pirateria che parta da un pc o un provider
posto in territorio indiano e miri ad un server di un provider italiano ben potrà essere punito
secondo le norme italiane.
In secondo luogo esiste una ampia regolamentazione che tutela la sicurezza e l'inviolabilità dei
sistemi informatici accessibili attraverso reti aperte.
Il nostro ordinamento giuridico è infatti dotato di una normativa che permette di salvaguardare gran
parte delle attività on-line che è possibile sviluppare nei rapporti Business to Business (a volte
definiti B2B) o Business to Consumer (B2C).
Detta normativa si distingue in due macro-settori:
IL CODICE PENALE, che prevede i crimini strettamente legati alle attività informatiche;
LA LEGISLAZIONE SULLA PRIVACY ed in particolare, il recente Regolamento (Decreto del
Presidente della Repubblica 28 luglio 1999, n. 318), recante norme per l'individuazione delle
misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2,
della legge 31 dicembre 1996, n. 675.
La legislazione sulla privacy verrà affrontata in altra sede. Di seguito verrà invece trattata la
disciplina dei crimini informatici, così come introdotta dalla legge 23 dicembre 1993, n. 547,
pubblicata in Gazzetta Ufficiale il 30 dicembre 1993 (G.U. n. 305). Detta disciplina non deve essere
confusa con le altre norme penali afferenti al mondo informatico (ad es. le sanzioni penali relative
alla tutela del software o delle banche dati); per crimini informatici, infatti, dottrina e giurisprudenza
intendono esclusivamente le fattispecie previste dal codice penale modificato dalla suindicata L.
547/93.
Quale utile premessa all'analisi dei singoli reati, si precisa che la gran parte dei "delitti informatici"
è punibile a querela della persona offesa (art. 336 e seguenti c.p.p.); in altre parole, la sanzione
penale può essere irrogata solo se il danneggiato dal reato denuncia il fatto all'autorità giudiziaria,
chiedendo di procedere nei confronti dell'autore del crimine. Ai sensi dell'art. 124 del codice
penale, si decade dal diritto di querela decorsi tre mesi dal giorno della notizia del fatto che
costituisce il reato; il diritto di querela si estingue con la morte della persona offesa, peraltro, se la
querela è già stata proposta, la morte della persona offesa non estingue il reato (art. 126 c.p.).
Si ricorda infine che, ex art. 185 c.p., ogni reato che abbia cagionato un danno patrimoniale o non
patrimoniale, obbliga al risarcimento il colpevole e le persone che, a norma delle leggi civili,
debbono rispondere per il fatto di lui.
ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO PROTETTO - (art. 615
- ter cod. pen.)
E' l'ipotesi classica dell'hacker che riesce ad introdursi illecitamente nei sistemi informatici protetti
da misure di sicurezza (ossia protetti da firewall, password, ecc.). In tali casi, o qualora si
permanga in sistemi informatici contro la volontà di chi ha il diritto di escludere l'intruso, si è puniti
con la reclusione fino a tre anni.
La dottrina ha chiarito che la punibilità dell'accesso abusivo sussiste anche in presenza di dolo
generico, ossia l'accesso abusivo è punibile di per se stesso senza che sussiste una finalità di
lucro, ovvero di danneggiamento od altro ancora.
Ulteriori pene aggravate (reclusione fino a cinque anni) sono previste se:
- Il fatto è commesso da pubblico ufficiale o da un incaricato di pubblico servizio, con abuso di
poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche
abusivamente la professione di investigatore privato, o con abuso della qualità di operatore di
sistema;
- dal fatto deriva distruzione o danneggiamento del sistema o interruzione del suo funzionamento;
- se il colpevole per commettere il fatto usa violenza sulle cose o alle persone;
Ulteriori pene aggravate sono previste se i fatti previsti dall'art. 615-ter c.p. riguardano sistemi
informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o
alla sanità o alla protezione civile o comunque di interesse pubblico.
Nell'ipotesi "semplice" il delitto è punibile a querela della persona offesa; negli altri casi "aggravati"
si procede d'ufficio.
In merito al delitto in esame si segnala che il Tribunale di Torino con sent. 4 dicembre 1997
(provvedimento interamente allegato nella documentazione a Vs. disposizione) giudicò una
vicenda che sembra ripetersi spesso nell'ambito degli studi commerciali.
La vicenda presa in esame dal tribunale piemontese può così riassumersi: alcuni collaboratori (fra i
quali un commercialista) di una società di elaborazioni di dati contabili interruppero i rapporti
professionali con detta società per fondare un proprio autonomo studio professionale, nel quale
confluirono diversi clienti della società di elaborazione dati. Al fine di evitare gravose spese di
ridigitazione, gli ex collaboratori della società di elaborazione duplicarono i dati indispensabili alla
continuazione della gestione contabile della clientela. Detta duplicazione avvenne all'insaputa e
contro la volontà dell'amministratore della società ed a nulla rilevò (a giudizio del giudice torinese)
che detto amministratore avesse rifiutato l'autorizzazione nella speranza di riuscire ad arginare la
fuga di clienti o perchè spinto dal risentimento nei confronti dei suoi collaboratori.
Come suindicato il codice penale prevede che l'applicazione delle sanzioni si applichi qualora il
sistema informatico sia protetto, o qualora via sia una volontà contraria alla permanenza
dell'"aggressore" . In merito, si rileva che il Tribunale di Torino sanzionò gli autori della intrusione a
scopo di duplicazione anche se il sistema informatico non era protetto da una password specifica
ma solo da quella genericamente apposta dalla casa fornitrice. Il Tribunale ritenne infatti che il
codice penale "intende reprimere qualsiasi introduzione in un sistema informatico che avvenga
contro la precisa volontà dell'avente diritto, e per rendere penalmente apprezzabile una simile
contraria volontà è da ritenersi sufficiente qualsiasi mezzo di protezione, anche se facilmente
aggirabile da persona mediamente esperta, ma che abbia comunque la caratteristica di rendere
palese tale contraria volontà". Inoltre gli imputati, pur essendo autorizzati ad accedere al sistema
informatico per ragioni di lavoro, non erano certo "legittimati a permanervi allo scopo di attuare un
comportamento finalizzato a dirottare altrove il contenuto degli archivi esistenti".
Il Tribunale di Torino, invece, assolse gli imputati dal reato di frode informatica (vds in seguito),
previsto per chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o
intervenendo senza diritto con qualsiasi modalità su dati contenuti in un sistema informatico,
procura a se' o ad altri un ingiusto profitto con altrui danno. Nel comportamento di intrusione e
duplicazione non autorizzata non venne infatti ravvisata "un'iniziativa tesa ad alterare il
funzionamento del sistema informatico e volta a cagionare dolosamente al titolare della impresa un
danno al funzionamento od ai risultati dello stesso: ciò che muoveva gli imputati altro non era che
l'interesse a procurarsi un profitto, lucrando sui vantaggi derivanti dalla pronta disponibilità dei dati
abusivamente ottenuti". In buona sostanza, venne esclusa la perfezione del reato di frode
informatica in quanto il comportamento in esame non sembrò fraudolento, nessun raggiro venne
posto in essere per alterare il funzionamento del sistema informatico ed indurlo ad operare per
scopi diversi da quelli per cui esso era destinato, generando ingiusto profitto.
Il Tribunale di Torino ventilò inoltre l'ipotesi che le condotte in esame potessero essere sanzionate
come rivelazione del contenuto di documenti segreti, atteso che la legge 547/93 ha precisato che
per documento si debba intendere "....anche qualunque supporto informatico contenente dati,
informazioni e programmi" (art. 621 c.p.). In proposito il Tribunale sostenne che i dati contabili non
potevano essere considerati segreti in quanto la duplicazione dei dati contabili presuppone una
semplice lettura e copiatura degli stessi e non una rivelazione a terzi.
Peraltro, il reato si perfeziona anche quando i documenti segreti vengono impiegati a proprio
vantaggio con nocumento altrui; poichè i dati contabili presenti in un sistema informatico protetto
da password (sia pure generica) appaiono definibili come segreti, il comportamento in esame (che
genera nocumento al commercialista -titolare del sistema informativo- e vantaggi ai commercialisti
che sottraggono i dati) sembrerebbe rientrare nella fattispecie prevista dal legislatore e,
conseguentemente, potrebbero applicarsi le sanzioni previste ( reclusione fino a tre anni e multa
fino a lire due milioni).
Tuttavia, si precisa che il Tribunale di Torino escluse la sussistenza del reato anche perchè ritenne
che la tutela penale dei documenti "segreti" debba essere circoscritta alle "sole informazioni
attinenti ai prodotti dell'ingegno (ad es. il software in quanto tale), o alle invenzioni industriali
protette da brevetti o da marchi di impresa".
DETENZIONE E DIFFUSIONE ABUSIVA DI CODICI DI ACCESSO A SISTEMI INFORMATICI O
TELEMATICI PROTETTI - (art. 615 - quater cod. pen.)
L'intrusione in un sistema informatico avviene quasi sempre grazie al trafugamento di password o
codici di sicurezza, ecco perché il nostro codice penale prevede che chiunque, al fine di procurare
a se' o ad altri un profitto o di arrecare ad altri un danno, si procura abusivamente, riproduce o
diffonde codici, parole chiave o altri mezzi idonei a "forzare" un sistema telematico è punito con la
reclusione sino ad un anno e con la multa sino a lire dieci milioni.
Ulteriori pene aggravate (reclusione da uno a due anni e multa da lire dieci milioni a venti milioni)
sono previste se il fatto previsto avviene in danno di un sistema informatico o telematico utilizzato
dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità,
ovvero se l'attività criminosa viene posta in essere da un pubblico ufficiale o da un incaricato di un
pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al
servizio, ovvero con abuso della qualità di operatore del sistema;
La Cassazione ha stabilito che si incorre nel reato in esame anche quando si diffondono o si
riproducono abusivamente codici di accesso (pics-card) relativi a servizi offerti tramite televisione
(Cass., sez. V, 2-7-1998).
VIOLAZIONE SOTTRAZIONE E SOPPRESSIONE DI CORRISPONDENZA TELEMATICA - (art.
616 cod. pen.)
La Costituzione italiana (art. 15 "la libertà e la segretezza della corrispondenza e di ogni altra
forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato
dell'autorità giudiziaria con le garanzie stabilite dalla legge.")stabilisce che la corrispondenza è
inviolabile. In applicazione di detto principio, il codice penale prevede una serie di norme tese a
garantire la riservatezza di ogni tipo di comunicazione e a punire chi violi detta riservatezza. L'art.
616 del codice penale prevede che chiunque prenda cognizione di messaggi telematici criptati a lui
non diretti o sottrae messaggi telematici "in chiaro" a lui non diretti, ovvero in tutto o in parte li
distrugge, è punito con la reclusione fino ad un anno o con la multa fino a lire un milione. Il delitto è
punibile a querela della persona offesa.
Volendo inquadrare il reato in esame nel mondo di internet, si rileva in primo luogo che i messaggi
di posta elettronica trasmessi attraverso internet (comunemente e-mail) sono da considerare
messaggi "chiusi" ovvero "segreti"; la lettura degli stessi è infatti consentita solo al destinatario
munito di password, ciò è sufficiente per rendere palese la volontà di mittente e destinatario di
rendere riservata la corrispondenza telematica. Da ciò consegue che potrebbero applicarsi le
sanzioni penali suindicate, qualora venisse provatoad es., che il provider prende cognizione della
corrispondenza telematica diretta ad un utente, ovvero la distrugge o la sottrae per farne prendere
conoscenza ad altri.
In caso di legittima sospensione del servizio di posta elettronica per qualunque motivo (ad es.
risoluzione del rapporto fra cliente e provider ovvero naturale scadenza del contratto, ecc.), il
provider non può trattenere (o, peggio, distruggere) la corrispondenza inviata ad una casella di
posta elettronica non più attiva; appare invece doveroso predisporre un avviso di errore che
raggiunga automaticamente il mittente, ignaro del cambiamento di casella di posta elettronica da
parte del destinatario.
Si sottolinea che l'elemento psicologico del reato è costituito dalla mera coscienza e volontà di
distruggere una comunicazione diretta ad altri; non ha alcuna rilevanza il fatto che il provider
distrugga la corrispondenza senza trarre profitto o solo per tener libero il proprio server.
INTERCETTAZIONE, IMPEDIMENTO O INTERRUZIONE ILLECITA DI COMUNICAZIONI
INFORMATICHE O TELEMATICHE - (art. 617-quater cod.pen.)
L'ipotesi in esame fa sempre riferimento alla tutela della corrispondenza telematica ma riguarda
l'ipotesi di intercettazione, impedimento o interruzione di comunicazione. Ad esempio, si impedisce
che gli ordini di un investitore giungano al server dell'intermediario finanziario che gli fornisce il
servizio di trading online. In questi casi la pena prevista è la reclusione da sei mesi a quattro anni.
La stessa pena si applica a chiunque rivela al pubblico il contenuto delle comunicazioni suindicate.
I delitti suindicati sono punibili a querela della persona offesa.
Si procede invece d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è
commesso:
- in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da
impresa esercente servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con
violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore
del sistema;
- da chi esercita anche abusivamente la professione di investigatore privato.
Il reato in esame sembra perfettamente attagliarsi a quanto accaduto lunedì 7 febbraio 2000, dalle
4 del pomeriggio e per tutto il giorno successivo, ad alcuni fra i più importanti siti americani
(Yahoo!, Datek, E-Trade, Buy.com ed altri ancora) che sono rimasti vittime di un attacco hacker
senza precedenti. Gli esperti di sicurezza informatica hanno spiegato il fenomeno sostenendo che
il blocco dei siti, per alcune ore, era dovuto al lancio contemporaneo di milioni di messaggi fasulli
che hanno sovraccaricato i sistemi ed hanno mandato in tilt i server. L'attacco non ha quindi
comportato alcuna intrusione o violazione dei server, ne' vi sono stati danneggiamenti dei dati
presenti nei server. Sembra si sia trattato solo di "uno scherzo" ben organizzato. Secondo
"Panorama" ed altri quotidiani e periodici italiani, i pirati avrebbero installato, per via remota, su
migliaia di pc di americani inconsapevoli, un software che si è attivato ad una data ora e che ha
"scaricato" verso i server "bersaglio" una quantità di dati e richieste tali da bloccarli: una sorta di
megaingorgo delle autostrade informatiche creato ad hoc.
INSTALLAZIONE DI APPARECCHIATURE ATTE AD INTERCETTARE, IMPEDIRE O
INTERROMPERE COMUNICAZIONI INFORMATICHE O TELEMATICHE - (art. 617- quinquies
cod.pen.)
Anche in questo caso la norma tutela la privacy delle comunicazioni, punendo con la reclusione da
uno a quattro anni chiunque installi apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni relative ad un sistema informatico. La gravità del reato è attestata, oltre che dalla
severità della pena, anche dal fatto che è uno dei pochi crimini informatici punibili d'ufficio.
La pena è aggravata (reclusione da uno a cinque anni) se il fatto è commesso:
- in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da
impresa esercente servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con
violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore
del sistema;
- da chi esercita anche abusivamente la professione di investigatore privato.
FALSIFICAZIONE, ALTERAZIONE O SOPPRESSIONE DEL CONTENUTO DI COMUNICAZIONI
INFORMATICHE O TELEMATICHE - (art. 617-sexies cod. pen.)
Trattasi di ulteriore ipotesi di reato tesa a garantire l'inviolabilità delle comunicazioni informatiche o
telematiche. La pena della reclusione da uno a quattro anni è prevista per chiunque al fine di
procurare a se' o ad altri un vantaggio o di arrecare ad altri un pregiudizio, forma falsamente
ovvero altera o sopprime, in tutto o in parte, il contenuto di una comunicazione telematica, per poi
farne uso o lasciare che altri ne facciano uso. Come si può notare, per la configurabilità del reato è
necessaria la presenza del dolo specifico, ossia della volontà del reo di sopprimere la
corrispondenza per procurare un vantaggio (a se stesso o a terzi) o per arrecare un pregiudizio.
Anche in questo caso la pena è aggravata (reclusione da uno a cinque anni) qualora il fatto sia
commesso:
- in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da
impresa esercente servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con
violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore
del sistema;
- da chi esercita anche abusivamente la professione di investigatore privato.
DANNEGGIAMENTO DI SISTEMI INFORMATICI O TELEMATICI - (art. 635 - bis cod.pen.)
La distruzione di sistemi informatici o telematici, ovvero il deterioramento che li renda anche
parzialmente inservibili è punito (salvo che il fatto non costituisca reato più grave) con la reclusione
da sei mesi a tre anni.
La pena è della reclusione da uno a quattro anni qualora il fatto sia commesso:
- con abuso della qualità di operatore del sistema;
- con violenza alle persone o con minaccia;
- da datori di lavoro in occasione di serrate, o da lavoratori in occasione di sciopero.
Si ricorda che qualora vi sia un danneggiamento di sistema informatico o telematico protetto, a
seguito di abusiva introduzione, si applica l'art. 615 - ter c.p. esaminato in precedenza.
FRODE INFORMATICA - (art. 640 - ter cod. pen.)
Il reato in oggetto è inquadrato fra "i delitti contro il patrimonio mediante frode". L'ipotesi è
caratterizzata dall'attività di alterazione di un sistema informatico (intervenendo su dati,
informazioni o programmi) per procurare a se' o ad altri un ingiusto profitto, con altrui danno. La
pena stabilita è la reclusione da sei mesi a tre anni e la multa da lire 100 mila a 2 milioni.
Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle circostanze
aggravanti appresso indicate.
La pena suindicata è aggravata (reclusione da uno a cinque anni e multa da lire seicentomila a tre
milioni) se il fatto è commesso:
- con abuso della qualità di operatore del sistema;
- a danno dello Stato o di altro ente pubblico o col pretesto di far esonerare taluno dal servizio
militare.
In merito al reato in esame si segnala una interessante ordinanza del Tribunale di Lecce (12.3.99,
riportata integralmente nella Vs. documentazione) che ha dichiarato la sussistenza del delitto di
frode informatica - e non anche quello di accesso abusivo ad un sistema informatico o telematico nella condotta di chi, mediante la digitazione, su apparecchi telefonici collegati a linee interne di
una filiale Telecom, di una particolare sequenza di cifre, effettui una serie di chiamate
internazionali in danno della Telecom, tenuta a versare agli enti gestori della telefonia nei paesi di
destinazione l'importo corrispondente al suddetto traffico telefonico, procurandosi un ingiusto
profitto consistente nel ricevere una parte di tali somme da detti enti gestori (con i quali i rei si
erano precedentemente accordati).
Il Tribunale di Lecce è giunto a detta conclusione anche in virtù del fatto che il sistema telefonico
gestito dalla Telecom, in seguito alle recenti innovazioni tecnologiche, può essere definito un
sistema informatico, tanto in relazione alla trasmissione in rete delle conversazioni vere e proprie,
quanto in relazione al trattamento automatico delle informazioni afferenti ai dati esterni alle
conversazioni registrati su appositi tabulati.
Si segnala infine che il Tribunale di Torino con sentenza 4 dicembre 1997 (già commentata in
precedenza a proposito del reato di accesso abusivo a sistemi informatici) ha stabilito che il reato
di frode informatica "colpisce solo gli interventi che consistono nell'adibire l'apparato informatico a
scopi diversi da quelli per cui era destinato o nel manipolarne arbitrariamente i contenuti".
DIFFUSIONE DI VIRUS - (art. 615-quinquies cod. pen.)
Chi diffonde programmi (da lui stesso e da altri redatti) aventi per scopo o per effetto il
danneggiamento di un sistema telematico, dei dati o dei programmi in esso contenuto è punito con
la reclusione sino a due anni e con la multa sino a lire venti milioni.
In relazione alle ipotesi (nella prassi, la stragrande maggioranza) in cui la diffusione di virus
avvenga inconsapevolmente (ossia senza dolo), giurisprudenza e dottrina hanno più volte chiarito
che le pene suindicate non devono applicarsi. Dovrebbero invece essere applicate le sanzioni
penali suindicate quando si è in presenza del dolo eventuale, ossia quando la diffusione del virus
non è specificamente voluta ma, nell'ambito della trasmissione di programmi per finalità diverse da
quelle della distruzione del sistema informatico, si è consapevoli che detti file sono "infetti" e che
quindi potrebbero dar luogo ad una distruzione di sistema informatico. Esempio di presenza di dolo
eventuale può ravvisarsi allorquando il responsabile del sistema informatico di un intermediario
finanziario, trasmette al cliente le mail di conferma dell'esecuzione degli ordini, pur sapendo che il
sistema è infettato da virus.
Altro esempio di presenza di dolo eventuale si ravvisa nel comportamento di una software house
che distribuisce i propri programmi, pur sapendo che all'interno dei medesimi vi è un virus
potenzialmente dannoso per i sistemi informatici dei clienti.