P. Di Troia CRIMINALITA` INFORMATICA 1^_PARTE

Norme di contrasto alla criminalità informatica. I nuovi poteri della polizia
giudiziaria.
1^ parte
1. Introduzione
Con lo sviluppo di nuove tecnologie nel campo dell'informatica, della telematica e con
l'utilizzazione sempre più intensa ed estesa di impianti di elaborazione e trasmissione
elettronica dei dati, si sono create grandi opportunità di crescita in campo sociale,
economico, politico, culturale e scientifico, fino a ridisegnare e a determinare nuovi
comportamenti e modalità del nostro vivere quotidiano. Nell’odierna società,
l’informatizzazione e la telematica, assumono via via sempre maggiore importanza e
diffusione. Inoltre l’impiego di Internet come mezzo di comunicazione o più in generale
come strumento d’attività quotidiana si sta imponendo sia per soggetti pubblici che privati,
in virtù dei costi ridotti, della diffusione mondiale e dell’utilizzo di tecnologie facilmente
accessibili.
La rivoluzione delle reti informatiche ha investito naturalmente anche il mondo giuridico e
richiesto l’intervento del legislatore in ogni suo settore, dal diritto civile a quello
amministrativo, dal diritto del lavoro a quello penale. Il legislatore non poteva non tenere
conto e normare, anche se non sempre con adeguatezza e prontezza, questo fenomeno.
Se da un lato l’affermarsi dell’informatica e della telematica ha contribuito allo progresso
umano e culturale della società, dall’altro ha determinato, in molti settori di rilevante
interesse sociale la nascita di nuove figure di illeciti. Tali condotte hanno
convenzionalmente assunto la denominazione di computer crimes essendo, in prima
approssimazione, tutte accomunate dall'uso degli elaboratori elettronici.
2. I Reati informatici nell’ordinamento italiano
Quando si parla di "criminalità informatica" si utilizza un concetto dai contorni non ben
definiti. Infatti, esso si può riferire a una molteplicità di condotte criminose lesive dei più
diversi beni giuridici: reati contro il patrimonio, contro la riservatezza e la libertà
individuale, contro la proprietà intellettuale e via discorrendo. Probabilmente questo
avviene perché la tecnologia è innanzitutto un mezzo, uno strumento mediante il quale
vengono commessi i reati informatici.
Si può, comunque, affermare che il termine indica in genere qualsiasi reato in cui il
ricorso alla tecnologia informatica sia stato un fattore determinante per il
compimento dell’atto. In realtà occorrerebbe attuare una distinzione tra reati informatici
veri e propri (ovvero crimini impossibili da attuare senza l’ausilio delle tecnologie
informatiche) ed i crimini cosiddetti tradizionali o convenzionali in cui l’uso delle tecnologie
è solo un supporto in più per il raggiungimento dello scopo. In quest’ultimo caso la
normativa è preparata ad affrontarli con la legislazione vigente. Nel caso di reati informatici
e telematici veri e propri il riscontro normativa non sempre trova risposte chiare e
facilmente adattabili alla nuova realtà tecnologica per tali violazioni.
L’esigenza di punire i crimini informatici, emerse già all’inizio degli anni ’80. La necessità di
un intervento volto a regolare comportamenti socialmente dannosi o pericolosi legati alle
nuove tecnologie era stata avvertita con una certa apprensione sì da indurre numerosi
Stati, sia europei (vedi ad esempio, Danimarca, Norvegia, Austria, Francia) che
extraeuropei (come, Stati Uniti, Australia, Canada, Giappone), a dotarsi di una specifica
legislazione penale. Anche il Consiglio d’Europa nel 1989 emanò una “Raccomandazione
sulla Criminalità Informatica”. In questo documento i Governi Europei erano invitati a
perseguire penalmente alcune condotte, ritenute maggiormente dannose quali:
• La frode informatica che consiste nell’alterare un procedimento di elaborazione dati con
lo scopo di procurarsi un ingiusto profitto;
• Il falso in documenti informatici;
• Il danneggiamento di dati e programmi;
• Il sabotaggio informatico;
• L’accesso abusivo associato alla violazione delle misure di sicurezza del sistema;
• L’intercettazione non autorizzata;
• La riproduzione non autorizzata di programmi protetti;
• La riproduzione non autorizzata di topografie.
Il nostro legislatore solo alla fine del 1993 con la legge 23 dicembre n. 547 ("Modificazioni
ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di
criminalità informatica" ha cercato di porre rimedio alle lacune esistenti nel nostro
ordinamento novellando il codice penale e di procedura penale e collocando i nuovi reati
informatici accanto alle figure di reato già esistenti. Invero, prima dell'introduzione di detta
legge, in Ita lia, alcuni sporadici interventi settoriali avevano interessato, in maniera più o
meno diretta, questa materia: è il caso della legge 18 maggio 1978 n. 191, con la quale
era stato introdotto nel codice penale l'art. 420 che, nel sanzionare l'attentato ad impianti
di pubblica utilità, menzionava espressamente anche gli impianti di elaborazione di dati
(norma già integralmente sostituita dall'art. 2 della legge 547 e recentemente abrogata,
come vedremo) o della legge 1º aprile 1981 n. 121, contenente il "Nuovo ordinamento
dell'Amministrazione della Pubblica Sicurezza", istitutiva di un Centro di elaborazione dati
presso il Ministero dell'Interno e rappresentativa della prima forma di tutela di dati archiviati
in un sistema informatico.Altre disposizioni relative a reati informatici sono state, invece,
emanate solo negli anni novanta: così, ad esempio, l'art. 12 della legge 5 luglio 1991 n.
197 che punisce l'uso indebito di carte di credito o l'art. 10 del decreto legislativo n. 518
del 1992 che tutela penalmente una serie di condotte riassuntivamente definibili di
"pirateria informatica") (decreto aggiornato, negli importi delle sanzioni pecuniarie, dal d.
lgs. 205/96 e successivamente modificato dalla legge n. 248 del 2000), fino ad arrivare ad
atti normativi più recenti, a tutela della privacy e delle banche di dati, rappresentati dalla
legge n. 675 del 1996 ("Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali") e dal decreto legislativo n. 169 del 1999 ("Attuazione della direttiva
96/9/CE relativa alla tutela giuridica delle banche di dati"), nonché a tutela dei minori
contro la pornografia infantile su Internet (l. 3 agosto 1998, n. 269, "Norme contro lo
sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno dei
minori, quali nuove forme di riduzione in schiavitù"). Da ultimo vanno menzionati due
importanti corpus normativi: il Dec.lgs n.82 del 2005, cd codice dell’amministrazione
digitale, e il Dec.lgs n.196 del 2003 che modifica la legge del 1996 sulla privacy.
La legge 547/93 ha introdotto nel nostro ordinamento una serie di reati (cosiddetti
informatici) caratterizzati dalla previsione che l'attività illecita abbia come oggetto o mezzo
del reato un sistema informatico o telematico.
Sinteticamente le violazioni principali o crimini informatici introdotti nel ’93 sono:
• Esercizio arbitrario delle proprie ragioni (art. 392 c.p.)
• Attentato ad impianti di pubblica utilità (art. 420 c.p.)
• Falsità in documenti informatici (art. 491-bis c.p.)
• Accesso abusivo ad un sistema informatico (art. 615-ter c.p.)
• Detenzione e diffusione abusiva di codici di accesso (art. 615-quater c.p.)
• Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico
(art. 615-quinquies c.p.)
• Violazione della corrispondenza e delle comunicazioni informatiche e telematiche
(art. 616, 617-quater, 617-quinquies, 617-sexies c.p.)
•
•
•
Rivelazione del contenuto di documenti segreti (art. 621 c.p.)
Trasmissione a distanza di dati (art. 623-bis c.p.)
Danneggiamento di sistemi informatici o telematici (art. 635-bis c.p.) .
Esaminiamoli brevemente:
•
Accesso abusivo ad un sistema informatico. Si definisce con tale espressione
un'azione di "intrusione" da parte di un individuo in un sistema informatico violandone
quindi le misure di sicurezza e l’autorizzazione concessagli per l’accesso. La legge
italiana punisce tale reato con una pena detentiva che può variare da uno a cinque
anni, la norma è piuttosto severa anche perché non prevede gradi di punibilità
differenti a seconda che vi sia stato o meno danneggiamento del sistema violato
(come avviene in altri paesi).
•
Danneggiamento fisico o alterazione del funzionamento di un sistema
informatico. La legge 574/93 ha introdotto nell’art.392 CP, che punisce ogni forma
di esercizio arbitrario delle proprie ragioni con violenza sulle cose, il riferimento ai
programmi informatici "allorché un programma informatico è alterato, modificato o
cancellato in tutto o in parte ovvero è impedito o turbato il funzionamento di un
sistema informatico o telematico"
•
Attentato a sistemi informatici di pubblica autorità. Anche in questo caso
l’art.420 del CP è stato modificato dalla legge sopraccitata per includere anche "chi
commette un fatto diretto a danneggiare o distruggere sistemi informatici o
telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti
o a essi pertinenti". Le pene previste variano da uno a quattro anni o da tre a otto
anni se avviene un danneggiamento totale o parziale del sistema o dei dati in esso
contenuti.
•
Diffusione di programmi diretti a danneggiare o interrompere un sistema
informatico. L’art.615-quinquies CP punisce "chiunque diffonde, comunica o
consegna un programma informatico da lui stesso o da altri redatto, avente per
scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei
dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione,
totale o parziale, o l'alterazione del suo funzionamento" (si riferisce anche
all’introduzione di virus i n un sistema informatico).
•
Viene ampliata la nozione di violazione di corrispondenza (art.616 del CP) in cui
nel quarto comma viene introdotto che, "per "corrispondenza" si intende quella
epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con
ogni altra forma di comunicazione a distanza".
•
Allo stesso modo sono previste nuovi interventi verso chi intercetti o interrompa,
anche momentaneamente, comunicazioni informatiche o telematiche. Con una
pena di reclusione che varia dai sei mesi ai quattro anni.
•
Viene infine introdotto il reato di frode informatica (art.640 ter. CP) "Chiunque,
alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico
o intervenendo senza diritto con qualsiasi modalità sui dati, informazioni o
programmi contenuti in un sistema informatico o telematico o ad esso pertinenti,
procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la
reclusione da sei mesi a tre anni e con la multa da € 51 a € 1.032".
Nonostante questa legge, modificando il codice di procedura penale, abbia previsto la
possibilità di intercettazioni di comunicazioni informatiche e telematiche (art. 266 bis), si è
nella pratica dimostrata del tutto inadeguata. La dimensione globale dei sistemi informatici
e delle reti telematiche non permette una copertura normativa assoluta e richiede da parte
del Legislatore una continua opera d’innovazione, aggiornamento e di armonizzazione con
le normative internazionali vigenti in materia. Un notevole passo avanti è stato fatto, sul
piano della collaborazione internazionale, nell’attività di contrasto del computer crime ,
attraverso la stipula della “convenzione sul Cybercrime”, sottoscritta a Budapest il 23
novembre 2001 per indirizzare l’azione preventiva e repressiva delle forze dell’ordine in
materia di crimini informatici. Questo rappresenta il primo accordo internazionale in
materia ed ha il dichiarato obiettivo di realizzare una politica comune fra gli stati membri
mediante l’adozione di una legislazione appropriata che consenta il coordinamento delle
attività volte a contrastare il crimine informatico.
Con la Legge 18 marzo 2008, n. 48 (pubblicata in Gazzetta Ufficiale 4 aprile 2008, n. 80)
recante la ratifica della Convenzione del Consiglio d'Europa di Budapest sulla criminalità
informatica del 23 novembre 2001, l’Italia ha ratificato l’accordo.
Proprio alle novità introdotte dalla citata legge è dedicato il proseguo dell’esposizione.
Si cercherà di indicare come il legislatore abbia tentato di risolvere le problematiche che
la materia ha posto. Si prenderà quindi in considerazione le disposizioni, di diritto
sostanziale e processuale, di cui si compone la normativa per dare un primo provvisorio
commento alle nuove norme.