Art. 635-bis - Danneggiamento di informazioni, dati e programmi informatici (1)

Rassegna di giurisprudenza

Il dato informatico, la cui nozione, sebbene riferibile, ai «dati, programmi ed informazioni» di cui alle norme del codice che ne sanzionano il danneggiamento (artt. 635-bis e 635-ter) e specificano le modalità esecutive delle perquisizioni (248, comma 2, 352, comma 1-bis, CPP), dei sequestri (art. 256, comma 1, 259, comma 2, 260, comma 2, CPP) e degli accertamenti urgenti (art. 354, comma 2, CPP) e, più in generale, alla componente software di un sistema, risulta comunque non chiaramente definita se non per l’ampia indicazione dell’oggetto fisico, il quale, tuttavia, può assumere conformazioni diverse, potendo, ad esempio, riguardare un insieme di istruzioni formulate in uno specifico linguaggio e finalizzate alla esecuzione di determinate operazioni (come nel caso del programma applicativo), un mero insieme di informazioni come quelle conservabili su carta, il risultato dell’elaborazione di più informazioni o operazioni, la rappresentazione di atti, fatti o dati giuridicamente rilevanti (nella forma, quindi, del documento elettronico), la riproduzione per immagine di atti o documenti cartacei etc.

La stessa Convenzione di Budapest definisce come dato informatico “qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione” (Sez. 2, 5338/2018).

Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Anche nel reato di frode informatica, quindi, l’ingiusto profitto costituisce elemento costitutivo reato di cui all’art. 640-ter, prevede, poi, due distinte condotte. La prima, consiste nell’alterazione, in qualsiasi modo, del «funzionamento di un sistema informatico o telematico»: in tale fattispecie vanno fatte rientrare tutte le ipotesi in cui viene alterato, in qualsiasi modo, il regolare svolgimento di un sistema informatico o telematico.

Per sistema informatico o telematico deve intendersi «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente.

Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello programmato: il che consente di differenziare la frode informatica dai delitti di danneggiamento informatico (artt. 635 bis - ter - quater - quinquies) non solo perché in quest’ultimi è assente ogni riferimento all’ingiusto profitto ma anche perché l’elemento materiale dei suddetti reati è costituito dal mero danneggiamento dei sistemi informatici o telematici e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni o perché il medesimo è reso inservibile (attraverso la distruzione o danneggiamento) o perché se ne ostacola gravemente il funzionamento (cfr. sul punto, in particolare, l’art. 635-quater).

La seconda condotta prevista dall’art. 640-ter è costituita dall’intervento «senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico [...]»: si tratta di un reato a forma libera che, finalizzato pur sempre all’ottenimento di un ingiusto profitto con altrui danno, si concretizza in una illecita condotta intrusiva ma non alterativa del sistema informatico o telematico (Sez. 2, 54715/2016).

Il reato di danneggiamento di dati informatici previsto dall’art. 635-bis deve ritenersi integrato anche quando la manomissione ed alterazione dello stato di un computer sono rimediabili soltanto attraverso un intervento recuperatorio postumo comunque non reintegrativo dell’originaria configurazione dell’ambiente di lavoro. (fattispecie in cui è stata ravvisata la sussistenza del reato in un caso in cui era stato cancellato, mediante l’apposito comando e dunque senza determinare la definitiva rimozione dei dati, un rilevante numero di file, poi recuperati grazie all’intervento di un tecnico informatico specializzato) (Sez. 5, 8555/2012).

Oggetto della tutela predisposta dall’art. 615-ter sono i sistemi informatici o telematici protetti da misure di sicurezza, non già nella loro consistenza fisica, ma nel loro contenuto, posto che, con la norma suddetta, il legislatore ha inteso assicurare l’esclusiva fruizione dello spazio fisico e ideale creato dalla tecnologia informatica e reso accessibile da quella telematica, variamente denominato da dottrina e giurisprudenza (“domicilio informatico”, “cassetto informatico”, ecc.). Si tratta, in sostanza, di uno spazio informatico – contenente dati e notizie – creato da un soggetto privato o pubblico, a cui è possibile accedere solo nei modi e alle condizioni stabilite dal titolare (il cd. dominus loci).

Per volontà legislativa, non tutti gli spazi in questione ricevono protezione penale, ma solo quelli protetti da misure di sicurezza, che rivelino l’inequivoca volontà del titolare di porre limiti e condizioni all’accesso.

Non ha nessun fondamento, quindi, la tesi, sostenuta in dottrina e fatta propria dal ricorrente, secondo cui l’art. 615-ter è preordinato a proteggere la “affidabilità del sistema” e la “sicurezza dei dati e dei programmi”, giacché tale tesi – oltre ad essere smentita dalla relazione al disegno di legge n. 2773, tradottosi poi nella L. 547/1993, secondo cui i sistemi informatici rappresentano «un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost.) – introduce un ulteriore requisito – non previsto dalla norma incriminatrice – per la configurabilità del reato, vale a dire la messa in pericolo dell’integrità del sistema e dei dati; inoltre, perché l’art. 615-ter costituirebbe – accedendo a tale tesi – una inutile sovrapposizione di altre norme, quali l’art. 635-bis cod. pen. (danneggiamento di sistemi informatici o telematici), l’art. 420 (attentato a impianti di pubblica utilità), ovvero l’art. 615-quinquies (diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico); infine, perché risulterebbe irragionevole la delimitazione della tutela predisposta dall’art. 615-ter ai soli sistemi informatici protetti da misure di sicurezza, posto che l’interesse alla integrità del sistema e dei dati sussiste per qualunque titolare di sistema, indipendentemente dalla predisposizione di misure atte a limitarne l’accesso.

L’affermazione secondo la quale la norma in questione configurerebbe un reato impossibile, in quanto qualsiasi sistema informatico non consente l’accesso, inteso come intrusione fisica o logica, ma risponde ad un’interrogazione, cozza col senso comune e col significato attribuito dalla legge al “sistema informatico”, il quale, dal punto di vista oggettivo, è dato dal complesso organico di elementi fisici (hardware) ed astratti (software) che compongono un apparato di elaborazione dati, ma rileva, ex art. 615-ter, per i suoi contenuti; vale a dire, per l’insieme di dati che custodisce e che costituiscono l’oggetto specifico della tutela penale. Introdursi in un sistema informatico non significa, quindi, introdursi fisicamente in un sistema siffatto, ma proprio carpire abusivamente le notizie in esso contenute, come logica e senso comune – oltre che la corretta esegesi del testo normativo – portano a ritenere (Sez. 2, 33311/2016).

I nuovi artt. 635-bis e 635-ter, collocati di seguito al preesistente reato di danneggiamento, prevedono, distinguendo fra dati pubblici e dati privati, il “Danneggiamento di informazioni, dati e programmi informatici”, condotta che consiste in “chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui”. I nuovi artt. 635-quater e quinquies, invece, puniscono, con una pena più alta, il danneggiamento del “sistema informatico” (o telematico) che si individua anche in un oggetto fisico.

La differenza dei due tipi di reati dimostra come il “dato informatico”, ovvero la “informazione”, abbia una disciplina quale “cosa” che può essere danneggiata separatamente dalla disciplina del danneggiamento della complessiva apparecchiatura in cui è contenuto (che è sicuramente una “cosa” in senso fisico tradizionale), rappresentata dal “sistema informatico”. A tale rinnovato concetto di “cose” corrispondono anche le innovazioni del codice di procedura penale che, oggi, assegna al dato informatico un valore pienamente assimilabile a quella di un oggetto “fisico (Sez. 6, 24617/2015).