“I reati informatici (appunti)”
Transcript
“I reati informatici (appunti)”
Massimo Farina “I reati informatici (appunti)” Maggio 2010 Diritti d’autore: la presente opera è realizzata esclusivamente per finalità didattiche nell’ambito degli insegnamenti di “Informatica Giuridica” (Facoltà di Giurisprudenza, Università di Cagliari) e di “Diritto dell’Informatica e delle Nuove tecnologie” (Corso di laurea in delle Telecomunicazioni, Università di Cagliari). È vietato qualsiasi altro uso senza il preventivo consenso dell’autore. 1 INFORMATICA GIURIDICA ..................................................................................................................3 I Reati Informatici......................................................................................................................................3 1. Generalità.......................................................................................................................................3 2. Accesso abusivo ad un sistema informatico o telematico (Art. 615-ter) .......................................4 3. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art. 615-quater) .............................................................................................................................................7 4. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (Art. 615- quinquies) ......................................................................................................................................9 5. Segue. Il caso Vierika ..................................................................................................................10 6. Danneggiamento di informazioni, dati e programmi informatici (Art. 635- bis) ........................12 7. La frode informatica (art. 640 ter c.p.).........................................................................................15 8. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater). ................................................................................................................17 9. L’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617quinquies c.p.) ....................................................18 10. La falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617sexies c.p.)...........................................................................................................19 11. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 392 c.p.).....................20 12. Falsità nei documenti informatici (art. 491-bis c.p.)................................................................21 2 INFORMATICA GIURIDICA I Reati Informatici 1. Generalità Lo sviluppo delle tecnologie informatiche e telematiche ha originato fenomeni quali l’e-commerce, l’e-government, l’home-banking, il trading online e tante altre attività che rappresentano il mutamento della società e dei rapporti sociali. Oggi la maggior parte delle attività sociali, lavorative e di svago passano attraverso le reti telematiche ed i sistemi informatici. Se quanto detto vale per ogni attività umana, ha altrettanta valenza anche per le attività illecite. Così, nella cultura giuridica italiana si è cominciato ad affrontare il problema della tutela del diritto dell’individuo dalla indebita utilizzazione delle tecnologie di cui sopra e, di conseguenza, dalle illegittime interferenze nella sfera privata attraverso l’uso degli strumenti informatici. Il dibattito giuridico italiano sui “computer crimes” è sorto intorno agli anni ’80 ed in quegli anni è stato elaborato il concetto di “libertà informatica”, intesa come libertà di avvalersi delle tecnologie informatiche per il soddisfacimento delle esigenze della persona, compreso il diritto ad essere tutelati nell’esercizio di quella libertà. Contestualmente emergeva la necessità di tutelare i sistemi informatici e telematici, quali possibili vittime dell’illecito utilizzo dei sistemi stessi. Le norme allora vigenti erano assolutamente inadeguate a soddisfare le esigenze di tutela che si stavano presentando e per parecchi anni fu così, fino a quando il legislatore italiano, su impulso di una disposizione comunitaria, approvò la legge 547/93, con la quale si introducevano una serie di nuovi reati (cosiddetti informatici) caratterizzati dalla previsione che l’attività illecita avesse come oggetto o mezzo del reato un sistema informatico o telematico. Nel 2008 la disciplina dei reati informatici è stata nuovamente modificata, con l’approvazione della legge n. 48 (pubblicata in Gazzetta Ufficiale 4 aprile 2008, 3 n. 80) recante la ratifica della Convenzione del Consiglio d’Europa di Budapest sulla criminalità informatica del 23 novembre 2001. Sono state, così, introdotte significative modifiche al Codice penale, al Codice di procedura penale, al Decreto legislativo 8 giugno 2001, n. 231 e al Decreto legislativo 30 giugno 2003, n. 196: sanzioni più pesanti per i reati informatici; nuove norme di contrasto alla pedopornografia in rete; sanzioni a carico delle società; possibilità per le forze dell’ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi; maggiori tutele per il trattamento dei dati personali. La convenzione sul cybercrime è il risultato di parecchi anni di lavoro da parte di un comitato di esperti istituito nel 1996, impegnato per la creazione di efficaci strumenti di lotta alla criminalità informatica, con l’intento di armonizzare gli ordinamenti dei vari paesi verso forme rapide di collaborazione e cooperazione internazionale. 2. Accesso abusivo ad un sistema informatico o telematico (Art. 615-ter) “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesamente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. 4 Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.” L’art. 615-ter del Codice Penale disciplina il reato di “accesso abusivo ad un sistema informatico o telematico”, inserito nel Titolo XII “dei delitti contro la persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti contro la inviolabilità del domicilio”. La disposizione in commento persegue l’obbiettivo di tutelare il sistema informatico (domicilio informatico), inteso come vera e propria estensione del domicilio dell’individuo, al fine di proteggerlo da accessi non autorizzati e da permanenza non gradita. Si tratta di un reato comune, che può essere commesso da chiunque. La norma prevede, in via alternativa, due condotte: a) l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza; b) il mantenimento all’interno del medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La prima ipotesi punisce il mero accesso in presenza di misure di sicurezza, cioè misure tecniche, informatiche, organizzative e procedurali volte ad escludere o impedire l’ingresso al sistema. Tra queste misure rientrano le password, i dispositivi biometrici, i firewall, etc. La seconda ipotesi si riferisce, invece, al mantenimento nel sistema informatico nonostante il titolare abbia espresso, in maniera espressa o tacita, la volontà di esclusione (cosiddetto ius excludendi). Per la configurazione del reato, risulta di fondamentale importanza chiarire cosa debba intendersi per sistema informatico e per sistema telematico. Non esiste una definizione fornita dal legislatore, di conseguenza è necessario mutuare tali definizioni dal settore tecnico-informatico. Così, rientra nella definizione di sistema informatico l’hardware (elementi fisici costituenti l’unità di 5 elaborazione e tutte le periferiche di input ed output) ed il software (programmi per elaboratore, di base ed applicativi); il sistema telematico è, invece, composto da una serie di componenti informatici collegati tra di loro mediante una rete telematica. Il bene giuridico tutelato dalla norma è, secondo la teoria predominante, il “domicilio informatico”. L’art. 615-ter è collocato, infatti, tra i delitti contro la inviolabilità del domicilio, in quanto si considera che i sistemi informatici costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale”1. Così, accanto al domicilio “fisico” si afferma una nuova figura chiamata “domicilio informatico” (sistemi informatici e telematici), ove l’uomo esplica buona parte delle sua attività quotidiane, le sue facoltà intellettuali, esprime, quindi, la propria personalità ed ha la facoltà di escludere i terzi non graditi. L’elemento psicologico contemplato nella fattispecie, è il dolo generico ed il sistema informatico/telematico per poter subire un accesso abusivo, deve essere protetto da una qualsivoglia forma di sicurezza (protezione logica, ad esempio nome utente e password ovvero protezione fisica, ad esempio la presenza di un vigilante o di una porta blindata a protezione dei sistemi informatici). L’adozione delle suddette misure di protezione rivela l’interesse a voler tutelare i propri dati e soprattutto a voler escludere l’accesso da parte di chiunque non abbia il consenso del titolare. È, qui, utile distinguere la differenza del domicilio informatico da quello fisico, tutelato dall’art. 614 c.p.. Il domicilio informatico è, infatti, un “luogo” estremamente flessibile ed aperto, che non può essere tutelato a priori ed in quanto tale, ma si deve tutelare solo ciò che esplicitamente il titolare ha deciso che deve rimanere riservato, e tale volontà è manifestata attraverso l’adozione di una misura di sicurezza. Da ciò consegue che nel caso in cui il sistema informatico non sia protetto, in alcun modo, non può sussistere il reato di accesso abusivo. Da precisare inoltre che con l’art. 615-ter non si fa alcun riferimento ad eventuali danni causati dall’accesso abusivo al sistema ma si mira a reprimere 1 Relazione sul disegno di legge n. 2773, che successivamente ha dato origine alla Legge n. 547/93. 6 esclusivamente l’atto di accesso ad un sistema per il quale non si hanno i diritti per accedervi o per permanervi oltre la durata stabilita dal titolare del sistema2. Aspetti processuali: - PROCEDIBILITÀ: querela di parte nell’ipotesi semplice, d’ufficio nelle ipotesi aggravate ARRESTO IN FLAGRANZA: obbligatorio nell'ipotesi aggravata, facoltativo in quella semplice se è presentata subito la querela FERMO: non consentito 3. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art. 615-quater) “Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164. La pena è della reclusione da uno a due anni e della multa da euro 5.164 a euro 10.329 se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater.” L’art. 615-quater è compreso nel Titolo XII “dei delitti contro la persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti contro la inviolabilità del domicilio”. La disposizione in esame configura un reato di pericolo, volto ad anticipare la tutela rispetto all’evento dannoso. È 2 Così Cassazione 6 febbraio 2007, n. 11689: “l’accesso abusivo a un sistema telematico o informatico si configura con la mera intrusione e non richiede che la condotta comporti una lesione della riservatezza degli utenti né tantomeno che “l’invasione” sia compiuta con l’obiettivo di violare la loro privacy”. 7 esplicito, infatti, il riferimento al possesso indebito ed all’eventuale diffusione di codici di accesso e non al loro utilizzo ai fini di un accesso abusivo. La disposizione punisce la detenzione non autorizzata di codici di accesso (password, P.I.N., smart card criptate ecc.) ed anche loro diffusione illecita a terzi non autorizzati. Inoltre, è contemplato, quale reato, anche la diffusione di istruzioni tecniche su come eludere od ottenere i suddetti codici di accesso. Non è sufficiente la detenzione o la diffusione, illecite, di codici per poter incorrere nelle pene previste dall’articolo in questione, ma è necessario che da tale detenzione o diffusione ne derivi un profitto per sé o per altri ovvero un danno a terzi (cosiddetto dolo specifico). Rientra, in questa figura di reato, anche la clonazione di cellulari (in particolare, la duplicazione abusiva del numero seriale del cellulare)3. Aspetti processuali: - 3 PROCEDIBILITÀ: querela di parte nell'ipotesi semplice, d'ufficio nelle ipotesi aggravate ARRESTO IN FLAGRANZA: facoltativo FERMO: non consentito Cassazione, 17 dicembre 2004, n. 5688: “integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di cui all'art. 615-quater c.p., la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche”. 8 4. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (Art. 615- quinquies) “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”. L’art. 615-quinquies (recentemente modificato dalla Legge 18 marzo 2008, n. 48) mira a reprimere la diffusione di “apparecchiature, dispositivi o programmi informatici” diretti a danneggiare o interrompere un sistema “informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti”. Si tratta, in altri termini, della diffusione di tutti i programmi rientranti sotto la categoria di virus informatici (o malicious software, o malware) ma anche della diffusione di componenti hardware (smart card, pen drive USB ecc) in grado di danneggiare sistemi informatici e/o telematici. Il fatto che vi sia un articolo del Codice Penale unicamente dedicato a questa tipologia di hardware e software, evidenzia come la diffusione stessa di essi sia molto alta. Le categorie che rientrano sotto l’etichetta di malware (o virus informatici) sono molte ma, in linea generale, sono tutte accomunate dalla finalità dannosa per il sistema informatico. I virus sono costituiti da porzioni di codice sorgente che si diffondono mediante copiatura all’interno di altri programmi (completi), in modo tale da essere eseguiti ogni volta che il file infetto viene eseguito. La diffusione dei virus può avvenire sia attraverso comuni supporti di memorizzazione (DVD, CD-ROM), sia attraverso la distribuzione su reti telematiche (in particolare Internet). Le tipologie di codici maligni sono assai varie: worm, trojan horse, backdoor, spyware ecc.. Il comportamento che si vuole reprimere attraverso l’art. 615-quinquies è la diffusione di questi codici maligni o di strumenti hardware dannosi ma anche la condotta di mera detenzione dei suddetti beni. 9 Nella versione precedente alla riforma del 2008, il reato si configurava, esclusivamente mediante la distribuzione dei suddetti prodotti informatici dannosi; non era, invece, punita la creazione o la semplice detenzione dei medesimi. La norma riformulata sanziona non solo chi diffonda, comunichi, consegni o, comunque, metta a disposizione programmi, apparecchiature o dispositivi, ma anche chi produca, importi, si procuri ovvero riproduca tali software o hardware. Va, altresì, precisato che la novella del 2008 non prevede il dolo generico, ovverosia la consapevolezza che il bene informatico fosse in grado di danneggiare o alterare il funzionamento di un sistema informatico o telematico, e la consapevolezza della diffusione, comunicazione o consegna; oggi, al contrario, l’elemento soggettivo è circoscritto al dolo specifico ed il fatto è punibile soltanto se commesso “allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento”. Aspetti processuali: - PROCEDIBILITÀ: d’ufficio ARRESTO IN FLAGRANZA: non consentito nemmeno in flagranza di reato FERMO: non consentito 5. Segue. Il caso Vierika Con la sentenza del Tribunale Penale di Bologna, I Sez. Giudice Monocratico, 21.07.05, si è aperto un’importante momento di analisi della fattispecie contemplata nell’art. 615-quinquies c.p.. Si tratta del caso Vierika, che prende il nome virus informatico protagonista dell’intera vicenda. Si trattava, nello specifico, di un worm, programmato in linguaggio Visual Basic Script, in grado di modificare il registro di configurazione di Windows all’insaputa dell’utente. Nella prima fase, il virus 10 abbassava le protezioni del browser ed impostava, quale l’home page predefinita, una pagina web che conteneva uno script in Visual Basic. Tale indirizzamento provocava, ad insaputa dell’utente, l’attivazione di un secondo script (il primo, come detto, modificava il registro di windows), che aveva lo scopo di creare un file nell’hard disk del computer. Si verificava, così, un effetto di mass-mailing, consistente nell’invio, agli indirizzi trovati all’interno della rubrica di Outlook, di una e-mail con allegato il primo script, in modo da provocare una diffusione capillare dell’infezione. Ebbene, per il Tribunale di Bologna la fattispecie suddetta integrava la fattispecie punita dall’art. 615quinquies. Il giudice, però, ha sussistente anche il di “accesso abusivo al sistema informatico” (615-ter), in quanto ha ritenuto che l’autore del software aveva abusivamente violato le misure poste a protezione del sistema; vierika abbassava i livelli di protezione del browser consentendo l’abusiva introduzione nel sistema. La decisione di primo grado è stata appellata, e la Corte d’Appello di Bologna, investita sulla configurabilità del 615-ter, ha affermato: “L’appellante deduce che, anche nella denegata ipotesi d’accusa, nel descritto funzionamento, autoreplicante ma non “virale”, non sarebbe ravvisabile requisito essenziale del reato 615-ter, costituito dall’accesso al sistema dell’utenza, giacché comunque XXXXX, stante l’effetto autoreplicante automatico, rimaneva ignaro degli indizi informatici raggiunti e dei dati contenuti nelle memorie dei computers che scaricavano il programma”. È evidente che per il Giudice d’appello l’art. 615-ter richiede unicamente l’abusività dell’accesso al sistema, ovvero la permanenza contro la volontà del titolare e non pretende l’effettiva conoscenza, da parte dell’agente, dei dati protetti. Il caso di specie riguarda la creazione del programma autoreplicante ed il suo “lancio” in rete; comportamenti univocamente diretti ad inviare ed installare, occultamente e fraudolentemente, il programma presso una sfera indeterminata di ignare vittime. I suddetti elementi sono, pertanto, sufficienti (secondo il Giudice d’Appello) ad integrare la condotta di “accesso abusivo” penalmente rilevante”. 11 6. Danneggiamento di informazioni, dati e programmi informatici (Art. 635bis) “Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio.” L’art. 635-bis c.p. (Danneggiamento di informazioni, dati e programmi informatici) è stato profondamente modificato dalla legge 48/2008 con un decisivo allargamento delle condotte punibili. Innanzitutto, il primo comma prevede la procedibilità a querela della persona offesa e non più d’ufficio, se non nei casi aggravati contemplati negli articoli immediatamente successivi. Già dalla rubrica risulta chiaro che la fattispecie protegge le informazioni, i dati ed i programmi informatici e non più i sistemi informatici, i quali trovano, ora, protezione in un autonomo e più grave delitto contemplato all’art. 635-quater (danneggiamento di sistemi informatici o telematici)4. La nuova norma contiene una più ampia ed articolata descrizione del fatto tipico; è prevista anche la punibilità di chi introduce o trasmette dati, informazioni o programmi, così da far rientrare anche i danneggiamenti realizzabili anche a distanza mediante virus, di tipo malware, introdotti o fatti circolare in rete. 4 Danneggiamento di sistemi informatici o telematici (Art. 635-quater): “Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”. 12 Sono stati abrogati i commi 2 e 3 dell’art. 4205 c.p. e, nel contempo, si sono introdotte le due nuove figure degli articoli 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente 5 Attentato a impianti di pubblica utilità (Art. 420): “Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni”. Il legislatore ha inserito la “pubblica utilità” quale elemento costitutivo della fattispecie criminosa al fine di restringere il campo di applicazione della norma, facendo sì che gli impianti interessati siano solo quelli la cui messa fuori uso possa determinare un pericolo per l’ordine pubblico. Di seguito il testo dei commi abrogati dalla Legge 18 marzo 2008, n. 48: “La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. “Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena è della reclusione da tre a otto anni”. 13 pubblico o comunque di pubblica utilità)6 e art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità)7. Queste due nuove fattispecie sono state introdotte nella sezione dedicata ai reati contro il patrimonio così da tenere separati i beni giuridici protetti: informazioni, dati e programmi nell’art. 635-ter; i sistemi informatici o telematici nell’art.635-quinquies. Entrambe le fattispecie presentano l’aggravante dell’effettivo danneggiamento, con una pena edittale che parte da un minimo di tre anni, fino al massimo di otto anni. Aspetti processuali: 6 Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (Art. 635- ter): “Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”. 7 Danneggiamento di sistemi informatici o telematici di pubblica utilità (Art. 635-quinquies): “Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”. 14 - - PROCEDIBILITÀ: querela di parte nell’ipotesi semplice, d’ufficio nelle ipotesi aggravate ARRESTO IN FLAGRANZA: per danneggiamento semplice non è consentito, per il danneggiamento aggravato è facoltativo FERMO: non consentito 7. La frode informatica (art. 640 ter c.p.). - “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante”. L’art. 640-ter punisce l’illecito arricchimento conseguito attraverso l’impiego fraudolento di un sistema informatico. Il raggiro verso il sistema informatico può configurarsi in una qualsiasi delle diverse fasi del processo di elaborazione dei dati: durante la fase iniziale (manipolazione di input) di raccolta e inserimento dei dati da elaborare, oppure durante la fase intermedia (manipolazione di programma) di elaborazione in senso stretto, oppure ancora durante la fase finale (manipolazione di output) di emissione dei dati elaborati. Il primo comportamento considerato dalla norma in esame riguarda il funzionamento di un sistema informatico o telematico, e consiste nella modifica del regolare svolgimento delle funzioni di elaborazione e/o trasmissione di dati realizzato da un sistema informatico. 15 È di fondamentale importanza, pertanto, chiarire il significato di sistema informatico, ai sensi della norma in esame. Sono tali quegli apparati che forniscono beni o servizi che siano gestiti da un elaboratore; rientrano in tale definizione le fotocopiatrici, i telefoni cellulari, i distributori automatici di banconote ecc.. Non sono, invece, ricompresi, anche se la definizione è assai ampia, i congegni elettronici di apertura e chiusura, i quali hanno esclusiva funzione di protezione in sostituzione alle tradizionali serrature. La formula “intervento senza diritto su dati, informazioni o programmi” è di portata così generale da comprendere ogni forma di interferenza, diretta e indiretta, in un processo di elaborazione di dati, diversa dalla alterazione del funzionamento del sistema informatico. L’intervento sui dati, inoltre, può consistere in alterazione e soppressione ma anche nella introduzione di dati falsi. Non è ravvisabile, invece, l’intervento senza diritto sui dati nel caso di semplice uso non autorizzato del PIN altrui come ad esempio il servizio di home banking, attraverso il quale i clienti di una banca possono eseguire una serie di operazioni bancarie, servendosi del terminale situato a casa loro e facendosi riconoscere dal computer attraverso gli estremi del proprio numero di identificazione. Infatti, l’uso indebito del codice di identificazione altrui consente soltanto l’accesso al sistema informatico e non anche, in modo diretto, il conseguimento di un ingiusto profitto, che potrebbe, eventualmente, derivare dal successivo compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero e proprio intervento senza diritto sui dati. - 16 PROCEDIBILITÀ: d’ufficio in caso di frode aggravata, a querela in caso di frode semplice ARRESTO IN FLAGRANZA: obbligatorio per la frode aggravata, facoltativo per quella semplice FERMO: mai consentito 8. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater). “Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato”. La disposizione è finalizzata all’impedimento dell’intercettazione fraudolenta, che si configura quando si prende conoscenza delle comunicazioni altrui in maniera occulta e senza esserne legittimato. Il dolo è generico e le fattispecie descritte sono punibili a querela della persona offesa nelle ipotesi semplici; viceversa si procede d’ufficio nelle ipotesi aggravate, descritte nella seconda parte della norma. La Suprema corte di Cassazione, nel 2005, con al sentenza n. 4011, ha stabilito che la violazione di cui all’art. 617quater, comma 2 c.p., è ravvisabile ogniqualvolta la si diffondano al pubblico i cosiddetti “fuori onda”, intercettati 17 fraudolentemente (trasmissioni televisive interne, trasmesse su un canale riservato, contenenti comunicazioni di servizio). Aspetti processuali: - PROCEDIBILITÀ: reato semplice a querela, reato aggravato dufficio ARRESTO IN FLAGRANZA: obbligatorio per le ipotesi aggravate, facoltativo per quella semplice FERMO: mai consentito 9. L’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617quinquies c.p.) “Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. Tale norma sanziona la semplice predisposizione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche. Di particolare interesse in materia è una pronuncia del GIP di Milano, del 19 febbraio 2007, secondo cui si ravvisa il reato di cui all’art. 617-quinquies c.p. (e non il reato di cui all'art. 615 quater-c.p.) qualora si installi su uno sportello bancomat, in sostituzione del pannello originario, un’apparecchiatura composta da una superficie plastificata, con una microtelecamera con funzioni di registratore video per la rilevazione dei codici bancomat; ciò anche quando non vi sia prova certa dell’avvenuta captazione di almeno un codice identificativo. L’attività punita dalla norma in esame, infatti, deve ritenersi consumata in presenza di qualunque mezzo ritenuto idoneo a svelare la conoscenza di un sistema informatico; è, pertanto, idonea anche la digitazione del codice di accesso ad un sistema attraverso una 18 tastiera alfanumerica in quanto è proprio la medesima digitazione l’oggetto dell’illecita captazione. Aspetti processuali: - PROCEDIBILITÀ: d’ufficio ARRESTO IN FLAGRANZA: obbligatorio per le ipotesi aggravate, facoltativo per quella semplice FERMO: mai consentito 10. La falsificazione, alterazione o soppressione del contenuto comunicazioni informatiche o telematiche (art. 617sexies c.p.) di “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. La disposizione punisce il comportamento di chi falsifica, altera o sopprime il contenuto delle comunicazioni informatiche o telematiche. Il reato si configura quando l’agente compie taluna delle condotte descritte, a condizione che sussista il dolo specifico (al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno) e qualora ne faccia uso illegittimo (ovvero permette che altri ne facciano uso). Aspetti processuali: - PROCEDIBILITÀ: d’ufficio ARRESTO IN FLAGRANZA: obbligatorio per le ipotesi aggravate, facoltativo per quella semplice FERMO: mai consentito 19 11. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 392 c.p.) “Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito a querela della persona offesa, con la multa fino a euro 516. Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”. Il terzo comma (introdotto dalla legge 547/93) estende l’applicazione della norma a tutte le ipotesi in cui il soggetto agente, al fine di esercitare un preteso diritto e pur potendo, ricorrere all’autorità giudiziaria, preferisce farsi ragione da se con violenza sulle cose. La Pretura di Torino nel 1996) ha stabilito che “deve ritenersi violenza sulle cose, tale da integrare l'elemento della fattispecie di cui all'art. 392 comma ultimo c.p., il comportamento di un soggetto il quale, al fine di esercitare un preteso diritto di esclusiva per l'installazione e gestione delle componenti informatiche di macchinari industriali, altera surrettiziamente il programma di propria produzione installato sugli stessi, inserendo un file di "blocco data" in grado di interrompere automaticamente il funzionamento del macchinario - rendendolo del tutto inservibile - alla scadenza della data prestabilita”. L’inserimento del terzo comma tiene conto delle nuove e specifiche modalità di aggressione ai programmi informatici. Un software si considera alterato ogniqualvolta ne è stata modificata l’essenza attraverso una manipolazione totale o parziale del codice sorgente. L’intervento abusivo lo rende, così, in tutto o in parte diverso, senza peraltro snaturarne le originarie funzioni. La cancellazione di un programma consiste, invece, nella soppressione totale o parziale delle istruzioni che lo compongono. La violenza, di cui alla seconda parte del terzo comma, ha ad oggetto il funzionamento di un sistema informatico o telematico: ricadranno, pertanto, in questa previsione, tutte quelle forme di disturbo del processo di elaborazione o di trasmissione a distanza di dati, che non consistano in un intervento diretto sul programma. 20 Aspetti processuali: - PROCEDIBILITÀ: querela dell’offeso. ARRESTO IN FLAGRANZA: mai consentito FERMO: non consentito 12. Falsità nei documenti informatici (art. 491-bis c.p.) “Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private”. L’art. 491-bis c.p. estende ai documenti informatici pubblici o privati “aventi efficacia probatoria”8 la medesima disciplina prevista per le falsità commesse con riguardo ai tradizionali documenti cartacei (previste e punite dagli articoli da 476 a 493 del codice penale). In particolare ci si riferisce ai reati di falsità materiale o ideologica commessa da pubblico ufficiale o da privato, falsità in registri e notificazioni, falsità in scrittura privata, falsità ideologica in certificati commessa da persone esercenti servizi di pubblica necessità, uso di atto falso. Il concetto di documento informatico è svincolato dal supporto materiale che lo contiene, in quanto l’elemento penalmente determinante ai fini dell’individuazione del documento informatico consiste nella possibilità di attribuire allo stesso di un’efficacia probatoria secondo quanto previsto in ambito civilistico. In tal senso, il Codice dell’amministrazione digitale (art. 1, lettera p) definisce il documento informatico quale “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Da questa definizione, combinata con le norme che disciplinano il valore e l’efficacia del documento elettronico semplice e/o sottoscritto digitalmente, si ricavano le seguenti regole. Il documento elettronico che non è sottoscritto con una firma elettronica (art. 1, lettera q), non può avere alcuna efficacia probatoria, ma può al limite, a discrezione del Giudice, soddisfare il requisito legale della forma scritta (art. 20, c. 1 bis); quando è firmato con una firma elettronica “semplice” (cioè non qualificata) può non avere, di per se, efficacia probatoria ed il giudice dovrà tener conto, per attribuire tale efficacia, 8 Queste parole sono state inserite dalla Legge 18 marzo 2008, n. 48. 21 delle caratteristiche oggettive di qualità, sicurezza, integrità e non modificabilità del documento informatico; infine, il documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica qualificata ha l’efficacia prevista dall’articolo 2702 del codice civile (scrittura privata), di conseguenza fa piena prova, fino a querela di falso, se colui contro il quale è prodotto ne riconosce la sottoscrizione. È importante evidenziare che nei reati di falsità in atti è fondamentale la distinzione tra le falsità materiali e le falsità ideologiche; ricorre, la prima, quando vi è divergenza tra l’autore apparente e l’autore reale del documento o quando questo sia stato alterato (anche da parte dell’autore originario) successivamente alla sua formazione; ricorre, invece, la falsità ideologica quando il documento contiene dichiarazioni non veritiere o non fedelmente riportate. Con riferimento ai documenti informatici aventi efficacia probatoria, il falso materiale potrebbe compiersi mediante l’utilizzo di firma elettronica altrui, mentre appare improbabile l’alterazione successiva alla formazione. Non sembrano poter trovare applicazione, con riferimento ai documenti informatici, le norme che puniscono le falsità in fogli firmati in bianco (artt. 486, 487, 488 c.p.). Il reato di uso di atto falso (art. 489 c.p.) punisce chi pur non essendo concorso nella commissione della falsità fa uso dell’atto falso essendo consapevole della sua falsità. Tra i reati richiamati dall’art. 491-bis, sono punibili a querela della persona offesa la falsità in scrittura privata (art. 485 c.p.) e, se riguardano una scrittura privata, l’uso di atto falso (art. 489 c.p.) e la soppressione, distruzione e occultamento di atti veri (art. 490 c.p.). Aspetti processuali: - 22 PROCEDIBILITÀ: d’ufficio; ARRESTO IN FLAGRANZA: non consentito; FERMO: non consentito.