Elementi fondamentali di alcuni dei reati introdotti dalla legge 547/1993 e poi dalla legge 48/2008.
A. ARTICOLO 615-TER DEL CODICE PENALE
Uno dei punti centrali dell’intervento del 1993 è il reato di “accesso abusivo ad un sistema informatico o telematico” di cui all’articolo 615-ter.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa (“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”), si procede invece d’ufficio negli altri casi previsti.
Il legislatore ha inoltre posto particolare attenzione ai casi in cui oggetto della condotta illecita siano sistemi informatici di interesse militare oppure relativi all’ordine pubblico, alla sicurezza pubblica, alla sanità, alla protezione civile o comunque di interesse pubblico: in tali casi la pena è la reclusione da uno a cinque anni e da tre ad otto anni.
L’articolo 615-ter prevede un reato di mera condotta configurato da due forme tipiche: l’introduzione abusiva in un sistema protetto da misure di sicurezza e la permanenza in esso senza autorizzazione dell’avente diritto. Per quanto riguarda l’elemento soggettivo, è richiesto il dolo generico, non rilevando gli scopi e le finalità che abbiano motivato l’ingresso o la permanenza non autorizzata nel sistema.
Tanto la collocazione dell’articolo all’interno del Codice quando la costruzione sintattica e semantica delle norma, denunciano la connessione di questa fattispecie con la violazione di domicilio (articoli 614 e 615 del Codice Penale): l’articolo 615- ter può essere infatti considerato un delitto contro l’inviolabilità di quel “domicilio informatico” che sarebbe rappresentato dai sistemi informatici intesi come espansione ideale del bene protetto dall’articolo 14 della Costituzione.
Commette dunque reato chi, per esempio, accede alla casella di posta elettronica altrui senza il consenso del Il reato è configurabile anche nel caso in cui il soggetto sia abilitato ad accedere al sistema e tuttavia abbia violato le prescrizioni impartite dal titolare del sistema per delimitarne l’accesso.
B. ARTICOLO 615-QUATER DEL CODICE PENALE
L’articolo 615-quater prevede il reato di “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”.
Anche in questo caso la norma punisce la mera condotta, senza riguardo al verificarsi di un determinato eventi. Per quanto riguarda l’elemento soggettivo, il reato sussiste in caso di dolo specifico, vale a dire in presenza di una precisa volontà di procurare a sé o ad altri un profitto, oppure di arrecare ad altri un danno: come per il 615-ter anche qui il sistema informatico deve essere protetto da misure di sicurezza, la cui assenza esclude la punibilità.
Esempio di una condotta punibile è quella di chi, ricevuti i codici di carte di credito abusivamente scaricati da un sistema informatico, li inserisce in carte di credito clonate al fine di prelevare successivamente senato contate attraverso il sistema
C. ARTICOLO 615-QUINQUIES DEL CODICE PENALE
L’articolo 615- quinquies rubricato “diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico” punisce la creazione, la detenzione e la diffusione di programmi rientrati sotto la categoria di virus informatici o di malware in generale, nonchè di componenti hardware in grado di danneggiare sistemi informatici o telematici.
Il testo attualmente vigente è stato modificato con la legge 48/2008: in precedenza il reato si configurava esclusivamente mediante la diffusione dei suddetti prodotti informatici dannosi. Inoltre, il nuovo testo non ritiene sufficiente il dolo generico e quindi il fatto è punibile soltanto se commesso col preciso scopo di danneggiare illecitamente un sistema, le informazioni, i dati o i programmi in esso contenuti.
Rientra nella fattispecie punita la condotta di chi manipoli un software in maniera tale che compia azioni non volute dall’utente, contro la volontà dell’utilizzatore e con lo scopo di danneggiare il Tale era “Vierika”, un malware che veniva allegato a messaggi di posta e, se seguito, interveniva sulla configurazione del sistema operativo Windows, riducendo al minimo il livello di protezione del browser Internet Explorer e inserendovi una home page predefinita diversa da quella impostata dall’utente: nel momento in cui l’utente si collegava ad internet e apriva il browser veniva lanciato uno script che creava un file che veniva inviato agli indirizzi email contenuti nella rubrica del client di posta elettronica del sistema operativo infettato”.
D. ARTICOLO 617-QUATER DEL CODICE PENALE
L’articolo 617-quater prevede il reato di “intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”: esso tutela dunque le comunicazioni relative ad un sistema oppure intercorrenti tra più sistemi.
La condotta punita si sostanza nella intercettazione fraudolenta di dette comunicazioni, oppure nel loro impedimento o interruzione: per quando riguarda l’elemento soggettivo è richiesto il dolo generico.
Quale esempio del reato si può individuare la condotta dell’amministratore di sistema che predisponga un software appositamente finalizzato alla intercettazione delle comunicazioni di posta elettronica tra gli utenti del sistema.
E. ARTICOLO 617-QUINQUIES DEL CODICE PENALE
L’articolo 617- quinquies prevede la “installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche”: la condotta qui si limita alla installazione degli apparecchi atti ad intercettare, impedire o interrompere le comunicazione relative a un sistema o tra più sistemi. Il legislatore ha voluto dunque punire anche la semplice istallazione di tali apparecchi: qualora questa condotta si concretizzasse nella fattispecie di cui all’articolo 617-quater non si avrebbe dunque concorso tra i due reati ma assorbimento nella fattispecie più grave.
Per esempio, integra il reato di cui all’articolo 617-quinquies del codice penale, la condotta di chi, al posto del pannello originario, installi su uno sportello bancomat un’apparecchiatura capace di memorizzare i codici digitati, quando non vi sia prova certa dev’intercettazione di almeno un codice identificativo.
Oppure, pensiamo al caso in cui venga installato uno “skimmer” che consenta di intercettare i dati della banda magnetica della carta di credito utilizzata presso uno sportello bancomat, mentre una microtelecamera nascosta registra la digitazione del codice segreto sulla tastiera. Qualora questi dati, astrattamente idonei a ottenere carte clonate abilitate al pagamento o al prelievo di denaro contante, non vengano utilizzati, si configura il reato di cui all’articolo 617-quinquies, in caso contrario si avrà il reato ex articolo 617-quater.
F. ARTICOLO 617-SEXIES DEL CODICE PENALE
L’articolo 617-sexies disciplina la “falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”: in delitto qui sanzionato ha affinità con il falso materiale, concernente in questo caso un documento informatico ma la fattispecie qui configurata è diversa in quanto disciplina il caso speciale di un documento oggetto di comunicazione.
Per quanto riguarda l’elemento soggettivo il testo indica chiaramente il dolo specifico.
Questo reato è configurabile in una delle tipiche condotte con cui si realizza il “pishing” e, in particolare, nella falsificazione di comunicazioni di istituti di credito che mirano a carpire i codici relativi a servizi finanziari online.
G. ARTICOLO 635-BIS DEL CODICE PENALE
L’articolo, il cui testo originario è stato modificato dalla legge 48/2008 è rubricato “Danneggiamento di informazioni, dati e programmi informatici”: il bene tutelato coincide non col sistema informatico ma con le informazioni, i dati e i programmi ivi contenuti. L’elemento materiale è costituito dal mero danneggiamento del sistema, da una condotta dunque finalizzata ad impedire che il sistema funzioni: l’articolo 635-bis dispone la procedibilità a querela della persona offesa, sostituita da quella d’ufficio in caso di ricorrenza delle circostanze aggravanti.
Nel testo si fa riferimento tanto alla distruzione quando alla cancellazione di dati: in un altro contesto i due termini potrebbero indicare due condotte sostanzialmente indistinguibili. In riferimento ai dati informatici la cancellazione è distinta dalla distruzione in quanto quest’ultima indica un’eliminazione definitiva dei dati.
Il legislatore ha voluto dunque punire anche la condotta che comporta la sola perdita temporale di dati che possono essere in seguito ripristinati.
H. ARTICOLO 635-TER DEL CODICE PENALE
L’articolo 635-ter prevede un caso aggravato rispetto al precedente, il “danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico e comunque di pubblica utilità”: la norma, introdotta dalla legge 48/2008 tutela l’ordine pubblico rispetto ad atti diretti contro sistemi informatici di pubblica utilità e contro dati, informazioni e programmi in essi contenuti. Il reato è perseguibile d’ufficio e, per quanto riguarda l’elemento soggettivo, richiede il dolo generico.
Il bene che qui viene difeso è l’interesse collettivo all’integrità dei dati di rilievo pubblico: in quanto tali, ad essi viene accordata una tutela rafforzata rispetto a quella di cui all’articolo 635-bis. Infatti, non viene punito qui soltanto chi distrugge, cancella o altera i dati ma anche chi commette un fatto diretti a distruggere, cancellare o alterare i dati.
La pena è aumentata se il fatto viene commesso con violenza alla persona o con minaccia ovvero si sia realizzato con abuso della qualità di operatore del sistema.
I. ARTICOLO 635-QUATER DEL CODICE PENALE
L’articolo 635-quater prevede il “danneggiamento di sistemi informatici o telematici” e costituisce una autonoma fattispecie costruita a partire dall’articolo 635-bis. La norma è stata introdotta dalla legge 48/2008, mentre il comma due è stato novellato dall’articolo 2 della legge 7/2016: il reato è procedibile d’ufficio e per quanto riguarda l’elemento soggettivo è richiesto il dolo generico.
Il delitto che viene qui configurato è inquadrabile come reato a forma vincolata, il cui obiettivo è la distruzione o il danneggiamento non di dati e informazioni ma di sistemi informatici nel loro complesso: l’oggetto del delitto è infatti costruito dal complesso di apparecchiature interconnesse o collegate tra loto, in cui una o più di esse effettui il trattamento automatico di dati mediante un programma.
È interessante notare come il legislatore abbia dato coperture tanto ai casi in cui in sistema viene danneggiato o reso irreversibile quando ai casi in cui di questi venga ostacolato gravemente il funzionamento.
La formulazione adottata può quindi punire anche un attacco attuato per mezzo di una botnet, ad esempio un DDoS (Distributed Denial of Service) capace di fare esaurire le risorse di un sistema a cause di un numero di richieste talmente elevato da renderlo incapace di erogare i servizi richiesti.
J. ARTICOLO 635-QUINQUIES DEL CODICE PENALE
L’articolo 635-quinquies prevede il “danneggiamento di sistemi informatici o telematici di pubblica utilità” e rappresenta un’ipotesi aggravata rispetto al reato ex articolo 635-quater, in confronto del quale assicura, di conseguenza, una tutela rafforzata che si manifesta nella punibilità anticipata alla fase del tentativo.
La condotta consiste nel compimento di atti diretti al danneggiamento di un sistema informatico o telematico di pubblica utilità: anche in questo caso si ha un reato a consumazione anticipata, che viene perfezionato con il compimento dell’azione.
Per quanto riguarda l’elemento soggettivo è richiesto il dolo generico. Analogamente a quanto previsto a proposito dell’articolo 635-ter, il comma 2 sanziona il caso in cui si verifichi l’esito lesivo, mentre un aggravamento della pena è previsto dal comma 3 qualora il fatto sia commesso con violenza alla persona o con minaccia ovvero con l’abuso della qualità di operatore del sistema.
K. ARTICOLO 640-TER DEL CODICE PENALE
L’articolo 640-ter del codice penale prevede la “frode informatica”, la cui lettura indica due condotte alternative:
- Da una parte si ha l’alterazione del funzionamento di un sistema
- Dall’altra si ha l’intervento sui dati, informazioni e programmi contenuti in un sistema: in questo secondo caso è da sottolineare come l’intervento debba essere “senza diritto”, espressione che comprende sia l’assenza del consenso del titolare dei dati, sia di ogni modalità non consentita da norme giuridiche
Uno dei problemi interpretativi sorti a proposito dell’articolo 640-ter riguarda la sua correlazione con la truffa: rispetto all’articolo 640, il 640-ter non richiede l’induzione in errore di un soggetto attraverso artifizi o raggiri.
Dottrina e giurisprudenza si sono indirizzate verso un’interpretazione che non considera rilevante, ai fini della configurabilità del reato, la cooperazione del soggetto tratto in inganno: la frode informatica si caratterizzerebbe dunque rispetto alla truffa in quanto le condotte ad essa riferibili investono un sistema informatico.
La formulazione adottata dal legislatore risulta ancora ambigua sotto alcuni profili.
Per riflettere sulla difficoltà di distinguere tra truffa e frode informatica basti citare la sentenza con cui il Tribunale di Roma ha ravvisato la sussistenza del reato di frode informatica nel caso di un soggetto che aveva sottratto le credenziali di una carta di credito al fine di effettuare delle scommesse online, citando, a conforto della propria decisione, la Corte di Cassazione secondo cui “integra il reato di frode informatica ex articolo 640-ter del codice penale, la condotta di introduzione nel sistema informatico delle Poste italiane s.p.a mediante l’abusiva utilizzazione dei codici di accesso personale di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro, depositate sul conto corrente del predetto”. In casi come questo il discrimine è davvero incerto: non si sarebbe potuta infatti sostenere la sussistenza del reato di truffa, dal momento che in questo caso ad essere raggirato è ben più il titolare della carta di credito piuttosto che il sistema informatico?
Ad aggravare ulteriormente la problematicità applicativa della disposizione sono i casi che riguardano la clonazione di carte di credito: intorno a questi esiste un vero e proprio contrasto giurisprudenziale registrato dalla stessa Corte di Cassazione che ha preso atto della difficoltà di qualificare in maniera univoca l’utilizzo indebito di supporti magnetici clonati, potendo essere con validi motivi ricondotto tanto all’articolo 55 del decreto legislativo 231/2007 (indebito utilizzo di carte di pagamento clonate) quanto all’articolo 640-ter del codice penale.