“I reati informatici (appunti)”

Transcript

Massimo Farina
“I
reati informatici (appunti)”
Maggio 2010
Diritti d’autore:
la presente opera è realizzata esclusivamente per finalità didattiche nell’ambito degli insegnamenti di
“Informatica Giuridica” (Facoltà di Giurisprudenza, Università di Cagliari) e di “Diritto dell’Informatica e
delle Nuove tecnologie” (Corso di laurea in delle Telecomunicazioni, Università di Cagliari).
È vietato qualsiasi altro uso senza il preventivo consenso dell’autore.
1
INFORMATICA GIURIDICA ..................................................................................................................3
I Reati Informatici......................................................................................................................................3
1. Generalità.......................................................................................................................................3
2. Accesso abusivo ad un sistema informatico o telematico (Art. 615-ter) .......................................4
3.
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art.
615-quater) .............................................................................................................................................7
4.
Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (Art.
615- quinquies) ......................................................................................................................................9
5. Segue. Il caso Vierika ..................................................................................................................10
6. Danneggiamento di informazioni, dati e programmi informatici (Art. 635- bis) ........................12
7. La frode informatica (art. 640 ter c.p.).........................................................................................15
8.
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche (art. 617quater). ................................................................................................................17
9.
L’installazione di apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche (art. 617quinquies c.p.) ....................................................18
10.
La falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o
telematiche (art. 617sexies c.p.)...........................................................................................................19
11.
Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 392 c.p.).....................20
12.
Falsità nei documenti informatici (art. 491-bis c.p.)................................................................21
2
INFORMATICA GIURIDICA
I Reati Informatici
1. Generalità
Lo sviluppo delle tecnologie informatiche e telematiche ha originato fenomeni
quali l’e-commerce, l’e-government, l’home-banking, il trading online e tante
altre attività che rappresentano il mutamento della società e dei rapporti sociali.
Oggi la maggior parte delle attività sociali, lavorative e di svago passano
attraverso le reti telematiche ed i sistemi informatici.
Se quanto detto vale per ogni attività umana, ha altrettanta valenza anche per le
attività illecite. Così, nella cultura giuridica italiana si è cominciato ad
affrontare il problema della tutela del diritto dell’individuo dalla indebita
utilizzazione delle tecnologie di cui sopra e, di conseguenza, dalle illegittime
interferenze nella sfera privata attraverso l’uso degli strumenti informatici.
Il dibattito giuridico italiano sui “computer crimes” è sorto intorno agli anni ’80
ed in quegli anni è stato elaborato il concetto di “libertà informatica”, intesa
come libertà di avvalersi delle tecnologie informatiche per il soddisfacimento
delle esigenze della persona, compreso il diritto ad essere tutelati nell’esercizio
di quella libertà.
Contestualmente emergeva la necessità di tutelare i sistemi informatici e
telematici, quali possibili vittime dell’illecito utilizzo dei sistemi stessi. Le
norme allora vigenti erano assolutamente inadeguate a soddisfare le esigenze di
tutela che si stavano presentando e per parecchi anni fu così, fino a quando il
legislatore italiano, su impulso di una disposizione comunitaria, approvò la
legge 547/93, con la quale si introducevano una serie di nuovi reati (cosiddetti
informatici) caratterizzati dalla previsione che l’attività illecita avesse come
oggetto o mezzo del reato un sistema informatico o telematico.
Nel 2008 la disciplina dei reati informatici è stata nuovamente modificata, con
l’approvazione della legge n. 48 (pubblicata in Gazzetta Ufficiale 4 aprile 2008,
3
n. 80) recante la ratifica della Convenzione del Consiglio d’Europa di Budapest
sulla criminalità informatica del 23 novembre 2001.
Sono state, così, introdotte significative modifiche al Codice penale, al Codice
di procedura penale, al Decreto legislativo 8 giugno 2001, n. 231 e al Decreto
legislativo 30 giugno 2003, n. 196: sanzioni più pesanti per i reati informatici;
nuove norme di contrasto alla pedopornografia in rete; sanzioni a carico delle
società; possibilità per le forze dell’ordine di chiedere al provider il
congelamento dei dati telematici per 6 mesi; maggiori tutele per il trattamento
dei dati personali.
La convenzione sul cybercrime è il risultato di parecchi anni di lavoro da parte
di un comitato di esperti istituito nel 1996, impegnato per la creazione di
efficaci strumenti di lotta alla criminalità informatica, con l’intento di
armonizzare gli ordinamenti dei vari paesi verso forme rapide di collaborazione
e cooperazione internazionale.
2. Accesso abusivo ad un sistema informatico o telematico (Art. 615-ter)
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure
di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di
escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio,
con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi
esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità
di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è
palesamente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o
parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in esso contenuti.
4
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di
interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla
protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione
da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli
altri casi si procede d'ufficio.”
L’art. 615-ter del Codice Penale disciplina il reato di “accesso abusivo ad un
sistema informatico o telematico”, inserito nel Titolo XII “dei delitti contro la
persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei
delitti contro la inviolabilità del domicilio”.
La disposizione in commento persegue l’obbiettivo di tutelare il sistema
informatico (domicilio informatico), inteso come vera e propria estensione del
domicilio dell’individuo, al fine di proteggerlo da accessi non autorizzati e da
permanenza non gradita.
Si tratta di un reato comune, che può essere commesso da chiunque. La norma
prevede, in via alternativa, due condotte:
a) l’introduzione abusiva in un sistema informatico o telematico protetto da
misure di sicurezza;
b) il mantenimento all’interno del medesimo sistema contro la volontà espressa
o tacita di chi ha il diritto di escluderlo.
La prima ipotesi punisce il mero accesso in presenza di misure di sicurezza,
cioè misure tecniche, informatiche, organizzative e procedurali volte ad
escludere o impedire l’ingresso al sistema. Tra queste misure rientrano le
password, i dispositivi biometrici, i firewall, etc.
La seconda ipotesi si riferisce, invece, al mantenimento nel sistema informatico
nonostante il titolare abbia espresso, in maniera espressa o tacita, la volontà di
esclusione (cosiddetto ius excludendi).
Per la configurazione del reato, risulta di fondamentale importanza chiarire cosa
debba intendersi per sistema informatico e per sistema telematico. Non esiste
una definizione fornita dal legislatore, di conseguenza è necessario mutuare tali
definizioni dal settore tecnico-informatico. Così, rientra nella definizione di
sistema informatico l’hardware (elementi fisici costituenti l’unità di
5
elaborazione e tutte le periferiche di input ed output) ed il software (programmi
per elaboratore, di base ed applicativi); il sistema telematico è, invece,
composto da una serie di componenti informatici collegati tra di loro mediante
una rete telematica.
Il bene giuridico tutelato dalla norma è, secondo la teoria predominante, il
“domicilio informatico”. L’art. 615-ter è collocato, infatti, tra i delitti contro la
inviolabilità del domicilio, in quanto si considera che i sistemi informatici
costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto
interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei
suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale”1.
Così, accanto al domicilio “fisico” si afferma una nuova figura chiamata
“domicilio informatico” (sistemi informatici e telematici), ove l’uomo esplica
buona parte delle sua attività quotidiane, le sue facoltà intellettuali, esprime,
quindi, la propria personalità ed ha la facoltà di escludere i terzi non graditi.
L’elemento psicologico contemplato nella fattispecie, è il dolo generico ed il
sistema informatico/telematico per poter subire un accesso abusivo, deve essere
protetto da una qualsivoglia forma di sicurezza (protezione logica, ad esempio
nome utente e password ovvero protezione fisica, ad esempio la presenza di un
vigilante o di una porta blindata a protezione dei sistemi informatici).
L’adozione delle suddette misure di protezione rivela l’interesse a voler tutelare
i propri dati e soprattutto a voler escludere l’accesso da parte di chiunque non
abbia il consenso del titolare. È, qui, utile distinguere la differenza del
domicilio informatico da quello fisico, tutelato dall’art. 614 c.p.. Il domicilio
informatico è, infatti, un “luogo” estremamente flessibile ed aperto, che non
può essere tutelato a priori ed in quanto tale, ma si deve tutelare solo ciò che
esplicitamente il titolare ha deciso che deve rimanere riservato, e tale volontà è
manifestata attraverso l’adozione di una misura di sicurezza. Da ciò consegue
che nel caso in cui il sistema informatico non sia protetto, in alcun modo, non
può sussistere il reato di accesso abusivo.
Da precisare inoltre che con l’art. 615-ter non si fa alcun riferimento ad
eventuali danni causati dall’accesso abusivo al sistema ma si mira a reprimere
1
Relazione sul disegno di legge n. 2773, che successivamente ha dato origine alla Legge n.
547/93.
6
esclusivamente l’atto di accesso ad un sistema per il quale non si hanno i diritti
per accedervi o per permanervi oltre la durata stabilita dal titolare del sistema2.
Aspetti processuali:
-
PROCEDIBILITÀ: querela di parte nell’ipotesi semplice, d’ufficio nelle
ipotesi aggravate
ARRESTO IN FLAGRANZA: obbligatorio nell'ipotesi aggravata,
facoltativo in quella semplice se è presentata subito la querela
FERMO: non consentito
3. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici
o telematici (Art. 615-quater)
“Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno,
abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o
altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di
sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con
la reclusione sino ad un anno e con la multa sino a euro 5.164.
La pena è della reclusione da uno a due anni e della multa da euro 5.164 a euro 10.329 se
ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater.”
L’art. 615-quater è compreso nel Titolo XII “dei delitti contro la persona”,
Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti
contro la inviolabilità del domicilio”. La disposizione in esame configura un
reato di pericolo, volto ad anticipare la tutela rispetto all’evento dannoso. È
2
Così Cassazione 6 febbraio 2007, n. 11689: “l’accesso abusivo a un sistema telematico o
informatico si configura con la mera intrusione e non richiede che la condotta comporti una
lesione della riservatezza degli utenti né tantomeno che “l’invasione” sia compiuta con
l’obiettivo di violare la loro privacy”.
7
esplicito, infatti, il riferimento al possesso indebito ed all’eventuale diffusione
di codici di accesso e non al loro utilizzo ai fini di un accesso abusivo.
La disposizione punisce la detenzione non autorizzata di codici di accesso
(password, P.I.N., smart card criptate ecc.) ed anche loro diffusione illecita a
terzi non autorizzati. Inoltre, è contemplato, quale reato, anche la diffusione di
istruzioni tecniche su come eludere od ottenere i suddetti codici di accesso.
Non è sufficiente la detenzione o la diffusione, illecite, di codici per poter
incorrere nelle pene previste dall’articolo in questione, ma è necessario che da
tale detenzione o diffusione ne derivi un profitto per sé o per altri ovvero un
danno a terzi (cosiddetto dolo specifico).
Rientra, in questa figura di reato, anche la clonazione di cellulari (in particolare,
la duplicazione abusiva del numero seriale del cellulare)3.
-
3
PROCEDIBILITÀ: querela di parte nell'ipotesi semplice, d'ufficio nelle
ipotesi aggravate
ARRESTO IN FLAGRANZA: facoltativo
Cassazione, 17 dicembre 2004, n. 5688: “integra il reato di detenzione e
diffusione abusiva di codici di accesso a servizi informatici o telematici di cui
all'art. 615-quater c.p., la condotta di colui che si procuri abusivamente il
numero seriale di un apparecchio telefonico cellulare appartenente ad altro
soggetto, poiché attraverso la corrispondente modifica del codice di un
ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita
connessione alla rete di telefonia mobile, che costituisce un sistema telematico
protetto, anche con riferimento alle banche concernenti i dati esteriori delle
comunicazioni, gestite mediante tecnologie informatiche”.
8
4. Diffusione di programmi diretti a danneggiare o interrompere un sistema
informatico (Art. 615- quinquies)
“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire
l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri
apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due
anni e con la multa sino a euro 10.329”.
L’art. 615-quinquies (recentemente modificato dalla Legge 18 marzo 2008, n.
48) mira a reprimere la diffusione di “apparecchiature, dispositivi o programmi
informatici” diretti a danneggiare o interrompere un sistema “informatico o
telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso
pertinenti”. Si tratta, in altri termini, della diffusione di tutti i programmi
rientranti sotto la categoria di virus informatici (o malicious software, o
malware) ma anche della diffusione di componenti hardware (smart card, pen
drive USB ecc) in grado di danneggiare sistemi informatici e/o telematici. Il
fatto che vi sia un articolo del Codice Penale unicamente dedicato a questa
tipologia di hardware e software, evidenzia come la diffusione stessa di essi sia
molto alta.
Le categorie che rientrano sotto l’etichetta di malware (o virus informatici)
sono molte ma, in linea generale, sono tutte accomunate dalla finalità dannosa
per il sistema informatico. I virus sono costituiti da porzioni di codice sorgente
che si diffondono mediante copiatura all’interno di altri programmi (completi),
in modo tale da essere eseguiti ogni volta che il file infetto viene eseguito.
La diffusione dei virus può avvenire sia attraverso comuni supporti di
memorizzazione (DVD, CD-ROM), sia attraverso la distribuzione su reti
telematiche (in particolare Internet). Le tipologie di codici maligni sono assai
varie: worm, trojan horse, backdoor, spyware ecc..
Il comportamento che si vuole reprimere attraverso l’art. 615-quinquies è la
diffusione di questi codici maligni o di strumenti hardware dannosi ma anche la
condotta di mera detenzione dei suddetti beni.
9
Nella versione precedente alla riforma del 2008, il reato si configurava,
esclusivamente mediante la distribuzione dei suddetti prodotti informatici
dannosi; non era, invece, punita la creazione o la semplice detenzione dei
medesimi. La norma riformulata sanziona non solo chi diffonda, comunichi,
consegni o, comunque, metta a disposizione programmi, apparecchiature o
dispositivi, ma anche chi produca, importi, si procuri ovvero riproduca tali software
o hardware.
Va, altresì, precisato che la novella del 2008 non prevede il dolo generico,
ovverosia la consapevolezza che il bene informatico fosse in grado di
danneggiare o alterare il funzionamento di un sistema informatico o telematico,
e la consapevolezza della diffusione, comunicazione o consegna; oggi, al
contrario, l’elemento soggettivo è circoscritto al dolo specifico ed il fatto è
punibile soltanto se commesso “allo scopo di danneggiare illecitamente un
sistema informatico o telematico, le informazioni, i dati o i programmi in esso
contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o
parziale, o l’alterazione del suo funzionamento”.
-
PROCEDIBILITÀ: d’ufficio
ARRESTO IN FLAGRANZA: non consentito nemmeno in flagranza di
reato
5. Segue. Il caso Vierika
Con la sentenza del Tribunale Penale di Bologna, I Sez. Giudice Monocratico,
21.07.05, si è aperto un’importante momento di analisi della fattispecie
contemplata nell’art. 615-quinquies c.p..
Si tratta del caso Vierika, che prende il nome virus informatico protagonista
dell’intera vicenda. Si trattava, nello specifico, di un worm, programmato in
linguaggio Visual Basic Script, in grado di modificare il registro di
configurazione di Windows all’insaputa dell’utente. Nella prima fase, il virus
10
abbassava le protezioni del browser ed impostava, quale l’home page
predefinita, una pagina web che conteneva uno script in Visual Basic. Tale
indirizzamento provocava, ad insaputa dell’utente, l’attivazione di un secondo
script (il primo, come detto, modificava il registro di windows), che aveva lo
scopo di creare un file nell’hard disk del computer. Si verificava, così, un
effetto di mass-mailing, consistente nell’invio, agli indirizzi trovati all’interno
della rubrica di Outlook, di una e-mail con allegato il primo script, in modo da
provocare una diffusione capillare dell’infezione.
Ebbene, per il Tribunale di Bologna la fattispecie suddetta integrava la
fattispecie punita dall’art. 615quinquies. Il giudice, però, ha sussistente anche il
di “accesso abusivo al sistema informatico” (615-ter), in quanto ha ritenuto che
l’autore del software aveva abusivamente violato le misure poste a protezione
del sistema; vierika abbassava i livelli di protezione del browser consentendo
l’abusiva introduzione nel sistema.
La decisione di primo grado è stata appellata, e la Corte d’Appello di Bologna,
investita sulla configurabilità del 615-ter, ha affermato:
“L’appellante deduce che, anche nella denegata ipotesi d’accusa, nel descritto
funzionamento, autoreplicante ma non “virale”, non sarebbe ravvisabile
requisito essenziale del reato 615-ter, costituito dall’accesso al sistema
dell’utenza, giacché comunque XXXXX, stante l’effetto autoreplicante
automatico, rimaneva ignaro degli indizi informatici raggiunti e dei dati
contenuti nelle memorie dei computers che scaricavano il programma”.
È evidente che per il Giudice d’appello l’art. 615-ter richiede unicamente
l’abusività dell’accesso al sistema, ovvero la permanenza contro la volontà del
titolare e non pretende l’effettiva conoscenza, da parte dell’agente, dei dati
protetti. Il caso di specie riguarda la creazione del programma autoreplicante ed
il suo “lancio” in rete; comportamenti univocamente diretti ad inviare ed
installare, occultamente e fraudolentemente, il programma presso una sfera
indeterminata di ignare vittime.
I suddetti elementi sono, pertanto, sufficienti (secondo il Giudice d’Appello) ad
integrare la condotta di “accesso abusivo” penalmente rilevante”.
11
6. Danneggiamento di informazioni, dati e programmi informatici (Art. 635bis)
“Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o
sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona
offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del
secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di
operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio.”
L’art. 635-bis c.p. (Danneggiamento di informazioni, dati e programmi
informatici) è stato profondamente modificato dalla legge 48/2008 con un
decisivo allargamento delle condotte punibili. Innanzitutto, il primo comma
prevede la procedibilità a querela della persona offesa e non più d’ufficio, se
non nei casi aggravati contemplati negli articoli immediatamente successivi.
Già dalla rubrica risulta chiaro che la fattispecie protegge le informazioni, i dati
ed i programmi informatici e non più i sistemi informatici, i quali trovano, ora,
protezione in un autonomo e più grave delitto contemplato all’art. 635-quater
(danneggiamento di sistemi informatici o telematici)4.
La nuova norma contiene una più ampia ed articolata descrizione del fatto
tipico; è prevista anche la punibilità di chi introduce o trasmette dati,
informazioni o programmi, così da far rientrare anche i danneggiamenti
realizzabili anche a distanza mediante virus, di tipo malware, introdotti o fatti
circolare in rete.
4
Danneggiamento di sistemi informatici o telematici (Art. 635-quater):
“Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo
635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi,
distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui
o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il
fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”.
12
Sono stati abrogati i commi 2 e 3 dell’art. 4205 c.p. e, nel contempo, si sono
introdotte le due nuove figure degli articoli 635-ter (Danneggiamento di
informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente
5
Attentato a impianti di pubblica utilità (Art. 420):
“Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è
punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni”.
Il legislatore ha inserito la “pubblica utilità” quale elemento costitutivo della fattispecie
criminosa al fine di restringere il campo di applicazione della norma, facendo sì che gli impianti
interessati siano solo quelli la cui messa fuori uso possa determinare un pericolo per l’ordine
pubblico.
Di seguito il testo dei commi abrogati dalla Legge 18 marzo 2008, n. 48:
“La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare
o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o
programmi in essi contenuti o ad essi pertinenti.
“Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati,
delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento
dell'impianto o del sistema la pena è della reclusione da tre a otto anni”.
13
pubblico o comunque di pubblica utilità)6 e
art. 635-quinquies
(Danneggiamento di sistemi informatici o telematici di pubblica utilità)7.
Queste due nuove fattispecie sono state introdotte nella sezione dedicata ai reati
contro il patrimonio così da tenere separati i beni giuridici protetti:
informazioni, dati e programmi nell’art. 635-ter; i sistemi informatici o
telematici nell’art.635-quinquies.
Entrambe le fattispecie presentano l’aggravante dell’effettivo danneggiamento,
con una pena edittale che parte da un minimo di tre anni, fino al massimo di
otto anni.
6
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro
ente pubblico o comunque di pubblica utilità (Art. 635- ter):
“Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere,
deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici
utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica
utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il
deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o
dei programmi informatici, la pena è della reclusione da tre a otto anni.
7
Danneggiamento di sistemi informatici o telematici di pubblica utilità (Art. 635-quinquies):
“Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto
o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne
gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di
pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della
reclusione da tre a otto anni.
14
-
-
PROCEDIBILITÀ: querela di parte nell’ipotesi semplice, d’ufficio nelle
ipotesi aggravate
ARRESTO IN FLAGRANZA: per danneggiamento semplice non è
consentito, per il danneggiamento aggravato è facoltativo
7.
La frode informatica (art. 640 ter c.p.).
-
“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o
telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o
programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o
ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e
con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se
ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640,
ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di
cui al secondo comma o un'altra circostanza aggravante”.
L’art. 640-ter punisce l’illecito arricchimento conseguito attraverso l’impiego
fraudolento di un sistema informatico.
Il raggiro verso il sistema informatico può configurarsi in una qualsiasi delle
diverse fasi del processo di elaborazione dei dati: durante la fase iniziale
(manipolazione di input) di raccolta e inserimento dei dati da elaborare, oppure
durante la fase intermedia (manipolazione di programma) di elaborazione in
senso stretto, oppure ancora durante la fase finale (manipolazione di output) di
emissione dei dati elaborati.
Il primo comportamento considerato dalla norma in esame riguarda il
funzionamento di un sistema informatico o telematico, e consiste nella
modifica del regolare svolgimento delle funzioni di elaborazione e/o
trasmissione di dati realizzato da un sistema informatico.
15
È di fondamentale importanza, pertanto, chiarire il significato di sistema
informatico, ai sensi della norma in esame. Sono tali quegli apparati che
forniscono beni o servizi che siano gestiti da un elaboratore; rientrano in tale
definizione le fotocopiatrici, i telefoni cellulari, i distributori automatici di
banconote ecc.. Non sono, invece, ricompresi, anche se la definizione è assai
ampia, i congegni elettronici di apertura e chiusura, i quali hanno esclusiva
funzione di protezione in sostituzione alle tradizionali serrature.
La formula “intervento senza diritto su dati, informazioni o programmi” è di
portata così generale da comprendere ogni forma di interferenza, diretta e
indiretta, in un processo di elaborazione di dati, diversa dalla alterazione del
funzionamento del sistema informatico.
L’intervento sui dati, inoltre, può consistere in alterazione e soppressione ma
anche nella introduzione di dati falsi.
Non è ravvisabile, invece, l’intervento senza diritto sui dati nel caso di semplice
uso non autorizzato del PIN altrui come ad esempio il servizio di home
banking, attraverso il quale i clienti di una banca possono eseguire una serie di
operazioni bancarie, servendosi del terminale situato a casa loro e facendosi
riconoscere dal computer attraverso gli estremi del proprio numero di
identificazione.
Infatti, l’uso indebito del codice di identificazione altrui consente soltanto
l’accesso al sistema informatico e non anche, in modo diretto, il conseguimento
di un ingiusto profitto, che potrebbe, eventualmente, derivare dal successivo
compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero
e proprio intervento senza diritto sui dati.
-
16
PROCEDIBILITÀ: d’ufficio in caso di frode aggravata, a querela in caso di
frode semplice
ARRESTO IN FLAGRANZA: obbligatorio per la frode aggravata,
facoltativo per quella semplice
FERMO: mai consentito
8. Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche (art. 617quater).
“Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o
telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la
reclusione da sei mesi a quattro anni.
Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela,
mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle
comunicazioni di cui al primo comma.
I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.
Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è
commesso:
1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente
pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o
con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di
operatore del sistema;
3) da chi esercita anche abusivamente la professione di investigatore privato”.
La disposizione è finalizzata all’impedimento dell’intercettazione fraudolenta,
che si configura quando si prende conoscenza delle comunicazioni altrui in
maniera occulta e senza esserne legittimato. Il dolo è generico e le fattispecie
descritte sono punibili a querela della persona offesa nelle ipotesi semplici;
viceversa si procede d’ufficio nelle ipotesi aggravate, descritte nella seconda
parte della norma.
La Suprema corte di Cassazione, nel 2005, con al sentenza n. 4011, ha stabilito
che la violazione di cui all’art. 617quater, comma 2 c.p., è ravvisabile
ogniqualvolta la si diffondano al pubblico i cosiddetti “fuori onda”, intercettati
17
fraudolentemente (trasmissioni televisive interne, trasmesse su un canale
riservato, contenenti comunicazioni di servizio).
-
PROCEDIBILITÀ: reato semplice a querela, reato aggravato dufficio
ARRESTO IN FLAGRANZA: obbligatorio per le ipotesi aggravate,
9. L’installazione di apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni informatiche o telematiche (art.
617quinquies c.p.)
“Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero
intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma
dell'articolo 617-quater”.
Tale norma sanziona la semplice predisposizione di apparecchiature atte a intercettare,
impedire o interrompere comunicazioni informatiche o telematiche. Di particolare
interesse in materia è una pronuncia del GIP di Milano, del 19 febbraio 2007, secondo
cui si ravvisa il reato di cui all’art. 617-quinquies c.p. (e non il reato di cui all'art. 615
quater-c.p.) qualora si installi su uno sportello bancomat, in sostituzione del pannello
originario, un’apparecchiatura composta da una superficie plastificata, con una
microtelecamera con funzioni di registratore video per la rilevazione dei codici
bancomat; ciò anche quando non vi sia prova certa dell’avvenuta captazione di almeno
un codice identificativo.
L’attività punita dalla norma in esame, infatti, deve ritenersi consumata in presenza di
qualunque mezzo ritenuto idoneo a svelare la conoscenza di un sistema informatico; è,
pertanto, idonea anche la digitazione del codice di accesso ad un sistema attraverso una
18
tastiera alfanumerica in quanto è proprio la medesima digitazione l’oggetto dell’illecita
captazione.
-
10. La falsificazione, alterazione o soppressione del contenuto
comunicazioni informatiche o telematiche (art. 617sexies c.p.)
di
“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno,
forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche
occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico
o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne
facciano uso, con la reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma
dell'articolo 617-quater”.
La disposizione punisce il comportamento di chi falsifica, altera o sopprime il
contenuto delle comunicazioni informatiche o telematiche. Il reato si configura quando
l’agente compie taluna delle condotte descritte, a condizione che sussista il dolo
specifico (al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un
danno) e qualora ne faccia uso illegittimo (ovvero permette che altri ne facciano uso).
-
19
11. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 392
c.p.)
“Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa
arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito a querela della
persona offesa, con la multa fino a euro 516.
Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o
trasformata, o ne è mutata la destinazione.
Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato
o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema
informatico o telematico”.
Il terzo comma (introdotto dalla legge 547/93) estende l’applicazione della norma a
tutte le ipotesi in cui il soggetto agente, al fine di esercitare un preteso diritto e pur
potendo, ricorrere all’autorità giudiziaria, preferisce farsi ragione da se con violenza
sulle cose.
La Pretura di Torino nel 1996) ha stabilito che “deve ritenersi violenza sulle cose, tale
da integrare l'elemento della fattispecie di cui all'art. 392 comma ultimo c.p., il
comportamento di un soggetto il quale, al fine di esercitare un preteso diritto di
esclusiva per l'installazione e gestione delle componenti informatiche di macchinari
industriali, altera surrettiziamente il programma di propria produzione installato sugli
stessi, inserendo un file di "blocco data" in grado di interrompere automaticamente il
funzionamento del macchinario - rendendolo del tutto inservibile - alla scadenza della
data prestabilita”.
L’inserimento del terzo comma tiene conto delle nuove e specifiche modalità di
aggressione ai programmi informatici. Un software si considera alterato ogniqualvolta
ne è stata modificata l’essenza attraverso una manipolazione totale o parziale del
codice sorgente. L’intervento abusivo lo rende, così, in tutto o in parte diverso, senza
peraltro snaturarne le originarie funzioni. La cancellazione di un programma consiste,
invece, nella soppressione totale o parziale delle istruzioni che lo compongono. La
violenza, di cui alla seconda parte del terzo comma, ha ad oggetto il funzionamento di
un sistema informatico o telematico: ricadranno, pertanto, in questa previsione, tutte
quelle forme di disturbo del processo di elaborazione o di trasmissione a distanza di
dati, che non consistano in un intervento diretto sul programma.
20
-
PROCEDIBILITÀ: querela dell’offeso.
ARRESTO IN FLAGRANZA: mai consentito
12. Falsità nei documenti informatici (art. 491-bis c.p.)
“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico
pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso
concernenti rispettivamente gli atti pubblici e le scritture private”.
L’art. 491-bis c.p. estende ai documenti informatici pubblici o privati “aventi efficacia
probatoria”8 la medesima disciplina prevista per le falsità commesse con riguardo ai
tradizionali documenti cartacei (previste e punite dagli articoli da 476 a 493 del codice
penale).
In particolare ci si riferisce ai reati di falsità materiale o ideologica commessa da
pubblico ufficiale o da privato, falsità in registri e notificazioni, falsità in scrittura
privata, falsità ideologica in certificati commessa da persone esercenti servizi di
pubblica necessità, uso di atto falso.
Il concetto di documento informatico è svincolato dal supporto materiale che lo
contiene, in quanto l’elemento penalmente determinante ai fini dell’individuazione del
documento informatico consiste nella possibilità di attribuire allo stesso di un’efficacia
probatoria secondo quanto previsto in ambito civilistico. In tal senso, il Codice
dell’amministrazione digitale (art. 1, lettera p) definisce il documento informatico
quale “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Da
questa definizione, combinata con le norme che disciplinano il valore e l’efficacia del
documento elettronico semplice e/o sottoscritto digitalmente, si ricavano le seguenti
regole. Il documento elettronico che non è sottoscritto con una firma elettronica (art. 1,
lettera q), non può avere alcuna efficacia probatoria, ma può al limite, a discrezione del
Giudice, soddisfare il requisito legale della forma scritta (art. 20, c. 1 bis); quando è
firmato con una firma elettronica “semplice” (cioè non qualificata) può non avere, di
per se, efficacia probatoria ed il giudice dovrà tener conto, per attribuire tale efficacia,
8
Queste parole sono state inserite dalla Legge 18 marzo 2008, n. 48.
21
delle caratteristiche oggettive di qualità, sicurezza, integrità e non modificabilità del
documento informatico; infine, il documento informatico sottoscritto con firma digitale
o altro tipo di firma elettronica qualificata ha l’efficacia prevista dall’articolo 2702 del
codice civile (scrittura privata), di conseguenza fa piena prova, fino a querela di falso,
se colui contro il quale è prodotto ne riconosce la sottoscrizione.
È importante evidenziare che nei reati di falsità in atti è fondamentale la distinzione tra
le falsità materiali e le falsità ideologiche; ricorre, la prima, quando vi è divergenza tra
l’autore apparente e l’autore reale del documento o quando questo sia stato alterato
(anche da parte dell’autore originario) successivamente alla sua formazione; ricorre,
invece, la falsità ideologica quando il documento contiene dichiarazioni non veritiere o
non fedelmente riportate.
Con riferimento ai documenti informatici aventi efficacia probatoria, il falso materiale
potrebbe compiersi mediante l’utilizzo di firma elettronica altrui, mentre appare
improbabile l’alterazione successiva alla formazione.
Non sembrano poter trovare applicazione, con riferimento ai documenti informatici, le
norme che puniscono le falsità in fogli firmati in bianco (artt. 486, 487, 488 c.p.).
Il reato di uso di atto falso (art. 489 c.p.) punisce chi pur non essendo concorso nella
commissione della falsità fa uso dell’atto falso essendo consapevole della sua falsità.
Tra i reati richiamati dall’art. 491-bis, sono punibili a querela della persona offesa la
falsità in scrittura privata (art. 485 c.p.) e, se riguardano una scrittura privata, l’uso di
atto falso (art. 489 c.p.) e la soppressione, distruzione e occultamento di atti veri (art.
490 c.p.).
-
22
PROCEDIBILITÀ: d’ufficio;
ARRESTO IN FLAGRANZA: non consentito;
FERMO: non consentito.

“I reati informatici (appunti)”

Transcript

Documenti analoghi

L`ORGANIZZAZIONE E LA GESTIONE DEL SISTEMA

8. MODULO RP – RIEPILOGO Mediante tale modulo possono

Zucchetti S.p.A. - Informagiovani

Criminologia e reati informatici

Le insidie reali del mondo virtuale

. - Isaca Roma

P. Di Troia CRIMINALITA` INFORMATICA 1^_PARTE

Richiesta di occupazione suolo pubblico – bar e ristoranti

Figure professionali in informatica

Gian Pietro Camisa