La criminalità informatica e il cybercrime

La criminalità informatica e il cybercrime
 

A partire dalla fine degli anni Ottanta del secolo scorso, come conseguenza del progresso informatico, è emersa la necessità di apprestare un sistema adeguato di tutele per i reati informatici inquadrati nell’ampio fenomeno del cybercrime. Le condotte delittuose nel mondo del cybercrime si possono dividere in due categorie: a) Computer facilitaded crime, crimini realizzati utilizzando strumenti informatici (es. furto, trattamento illecito di dati, riciclaggio, estorsione, clonazione di documenti); b) Computer crime, che hanno come obiettivo l’attacco a scopo di lucro di computer e device (es. attacchi informatici a infrastrutture digitali, malware).

La nascita di Internet ha portato alla creazione di un canale di comunicazione che è divenuto un potente veicolo per la realizzazione di illeciti. In questa evoluzione vi è stato un ampliamento sia dei delitti che delle categorie di “criminali”. In questo modo i programmi informatici sono divenuti oggetti di condotte criminose non prevedibili. Si tratta un risvolto sicuramente negativo dello sviluppo tecnologico dell’informatica.

La Raccomandazione sulla Criminalità informatica del Consiglio d’Europa è stato il primo testo normativo emanato a livello europeo. Ha individuato le principali condotte informatiche abusive. Sono state predisposte due liste di reati: i) una lista minima nella quale venivano elencati reati di sabotaggio informatico, di frode, falso in documenti informatici, danneggiamento di dati e programmi, accesso abusivo, intercettazione non autorizzata; ii) nella seconda lista erano elencate una serie di condotte rilevanti come, ad esempio, l'utilizzo non autorizzato di un elaboratore, l'utilizzo non autorizzato di un programma informatico, lo spionaggio informatico.

Nel 1994 il predetto testo normativo è stato ulteriormente integrato con altre condotte quali il commercio di codici d’accesso e la diffusione di virus e malware.

In Italia, i primi disegni di legge sono stati presentati agli inizi degli anni Ottanta, arrivando ad una conclusione solo nel 1993 con la legge di modifica del Codice penale e di procedura penale; Nel 2008, con la ratifica della Convenzione di Budapest sul Cybercrime del 2001, è stato introdotto l’art. 24-bis nel D.lgs. 231/2001; Nel 2012, è stato modificato l’art. 240 c.p., con previsione della confisca degli strumenti informatici che siano stati usati, in tutto o in parte, per la commissione dei reati previsti dalle leggi 547/93 e 48/2008.; Nel 2019, è stato istituito il perimetro di sicurezza nazionale cibernetica e introdotto uno specifico delitto (art. 1, comma 11 D.L. 105/2019), che è andato ad integrare l’art. 24-bis, comma terzo, D.lgs. 231/2001.

I reati introdotti dai richiamati testi normativi non sono inseriti in un singolo titolo del Codice penale. Il legislatore ha preferito privilegiare il criterio del bene giuridico tutelato.

Si trovano inseriti (tra i delitti contro la fede pubblica) gli articoli 491 – bis c.p. “Documenti informatici con previsione del reato di falso informatico” e l’art. 495 – bis c.p. “Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri”.

L’obiettivo di queste norme è quello di preservare la continuità dei servizi essenziali. L’art. 4 D.lgs. 65/2018 individua i seguenti criteri per l'identificazione degli operatori di servizi essenziali: “a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio”, mentre sono destinatari della normativa sul Perimetro di sicurezza nazionale cibernetica, gli operatori attivi nei seguenti ambiti: interno, difesa, spazio e aerospazio, energia e telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali o del lavoro.

L’Art. 1, comma 11, del D.L. 105/2019 introduce una nuova fattispecie di delitto che punisce con la reclusione da 1 a 3 anni chi fornisce informazioni o dati non rispondenti al vero rilevanti per l’aggiornamento degli elenchi degli operatori dei servizi essenziali, per gli affidamenti di forniture di beni, sistemi e  servizi ICT destinati ad essere impiegati sulle reti, per le attività ispettive e di vigilanza, nonché coloro che omettono tali informazioni, allo scopo di ostacolare l’espletamento dei procedimenti di cui all’art.  1, comma 2, lett. b) procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici, e comma 6, lett. a), procedimenti relativi all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi, e lett. c) attività ispettive e di vigilanza della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico.

Sono inseriti (tra i delitti contro la persona) gli articoli 615 – ter c.p. “Accesso abusivo a un sistema informatico o telematico”; 615 – quater c.p. “Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici e telematici”; 615 – quinquies c.p. “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”; 617 – quater c.p. “Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”; 617- quinquies c.p. “Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche”; 617 – sexies c.p. “Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”.

Sono inseriti (tra i delitti contro il patrimonio) gli articoli 635 – bis c.p. “Danneggiamento di informazioni, dati e programmi informatici”; 635 – ter c.p. “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”; 635 – quater c.p. “Danneggiamento di sistemi informatici o telematici”; 635-quinquies c.p. “Danneggiamento di sistemi informatici o telematici di pubblica utilità”; 640-ter c.p. “Frode informatica”; 640-quinquies c.p. “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”.

Sono stati anche modificati alcuni reati già previsti dal Codice penale con l'estensione ai nuovi beni tutelati. Si tratta degli articoli 392 c.p. “Esercizio arbitrario delle proprie ragioni con violenza sulle cose (con estensione della condotta anche ai sistemi informatici)”; 616 c.p. “Violazione, sottrazione e soppressione di corrispondenza (con equiparazione, al comma quarto, della corrispondenza ordinaria a quella informatica, telefonica o comunque a distanza)”; 621 c.p. “Rivelazione del contenuto di documenti segreti (con estensione al comma secondo del concetto di documento a “qualunque supporto informatico contenente dati, informazioni o programmi”)”.

Per comprendere la reale portata dei reati informatici (violazioni commesse con l’ausilio di un sistema informatico), è utile partire dalle definizioni date dall’art. 1 della Convenzione di Budapest emanata dal Consiglio d’Europa nel 2001, fatte proprie dalla giurisprudenza. Sistema informatico, un dispositivo o gruppo di dispositivi, uno dei quali effettua trattamenti automatizzati di dati. È stato affermato che con questo termine deve intendersi “complesso di dispositivi interconnessi o collegati con unità periferiche o dispositivi esterni (componenti hardware) mediante l'installazione di un software contenente le istruzioni e le procedure che consentono il funzionamento delle apparecchiature e l'esecuzione delle attività per le quali sono state programmate”. La giurisprudenza ha ritenuto sussistente la condotta di cui all’art. 635-quater c.p. con riferimento alla distruzione, al fine di perpetrare un furto, di due telecamere esterne dell’area di accesso ad una casa di cura intese quali componenti periferiche di un sistema informatico di videosorveglianza.

Dati informatici, una rappresentazione di fatti o concetti in una forma idonea all'elaborazione in un sistema informatico. È stato affermato che i dati informatici sono qualificabili come “cose mobili” in quanto “il file, pur non potendo essere materialmente percepito dal punto di vista sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i files possono essere conservati e elaborati”.

Nel dettaglio, è stata ritenuta “condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer ‘formattato’”. Per la configurabilità della condotta appropriativa  “va considerata la capacità del file di essere trasferito da un supporto informatico ad un altro, mantenendo le proprie caratteristiche strutturali, così come la possibilità che lo stesso dato viaggi attraverso la rete Internet per essere inviato da un sistema o dispositivo ad un altro sistema, a distanze rilevanti, oppure per essere ‘custodito’ in ambienti ‘virtuali’ (corrispondenti a luoghi fisici in cui gli elaboratori conservano e trattano i dati informatici); caratteristiche che confermano il presupposto logico della possibilità del dato informatico di formare oggetto di condotte di sottrazione e appropriazione”