Art. 24-bis - Delitti informatici e trattamento illecito di dati [7]

1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. [8]

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105 [8-bis], si applica all’ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).

[7] Articolo inserito dall’art. 7, comma 1, L. 48/2008, in vigore dal 5 aprile 2008.

[8] Il presente comma era stato modificato dall’art. 9, comma 2, DL 93/2013; successivamente, tale modifica non è stata confermata dalla legge di conversione (L. 119/2013).

[8-bis] Il periodo “e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105 ” è stato introdotto dalla L. 133/2019 che ha convertito con modifiche il DL 105/2019.

Elenco dei reati richiamati dalla norma

Art. 491-bis CP (Documenti informatici). N.B.: questa previsione comporta l’inserimento nell’elenco dell’art. 24-bis di tutti i reati compresi nel Capo III del Libro II del Codice penale se riguardanti documenti informatici pubblici con efficacia probatoria.

Art. 615-ter CP (Accesso abusivo a un sistema informatico o telematico)

Art. 615-quater CP (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici)

Art. 615-quinquies CP (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico)

Art. 617-quater CP (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche)

Art. 617-quinquies CP (Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche)

Art. 635-bis CP (Danneggiamento di informazioni, dati e programmi informatici)

Art. 635-ter CP (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità)

Art. 635-quater CP (Danneggiamento di sistemi informatici o telematici)

Art. 635-quinquies CP (Danneggiamento di sistemi informatici o telematici di pubblica utilità)

Art. 640-quinquies CP (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica)

Art. 1, comma 11, DL 105/2019, convertito con modifiche con L. 133/2019, di cui si riporta per comodità di consultazione il testo vigente dopo la legge di conversione: “ Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni”.

Nota esplicativa

Reati informatici

Il contenitore dei reati informatici (anche denominati computer crimes o cybercrimes) comprende numerose fattispecie criminose che possono essere distinte in due essenziali tipologie.

La prima, che costituisce l’ossatura portante dell’art. 24-bis, è quella dei reati necessariamente informatici (computer crimes propriamente detti) i cui tratti comuni sono l’indispensabilità della loro connessione a tecnologie e strumenti informatici o telematici e la loro potenzialità offensiva in danno di tali tecnologie e strumenti.

Questa categoria è formata dalle figure criminose introdotte dalla Legge 547/1993, successivamente modificata dalla Legge 48/2008 (cui si deve anche l’introduzione dell’art. 24-bis) che ha ratificato e introdotto nel nostro ordinamento la Convenzione di Budapest del 23 novembre 2001 sul fenomeno del cybercrime.

La Legge 547 ha anche integrato fattispecie incriminatrici preesistenti, introducendovi le seguenti previsioni:

art. 392 (esercizio arbitrario delle proprie ragioni mediante danneggiamento informatico);
art. 420 (attentato a sistemi elettronici di pubblica utilità);
art. 616 (violazione di corrispondenza telematica);
art. 621 (rivelazione del contenuto di documenti segreti su supporti informatici).

A questi elenchi si devono aggiungere ulteriori ipotesi di reato contenute in leggi speciali.

Ci si riferisce ai casi di duplicazione abusiva di software (art. 171-bis comma 1 della L. 633/1941 sul diritto di autore), riproduzione, trasferimento, distribuzione, comunicazione, presentazione o dimostrazione in pubblico del contenuto di una banca dati (art. 171-bis comma 2 stessa legge) e trattamento illecito di dati personali (art. 167 commi 1 e 2 D. Lgs. 196/2003).

La seconda tipologia è quella dei reati eventualmente informatici (computer related crimes) che comprende i reati commessi mediante l’uso di strumenti e tecnologie di tipo informatico ma che potrebbero essere compiuti anche a prescindere da questi, come ad esempio una truffa.

Documento informatico

Si intende per tale, secondo la definizione contenuta nel D. Lgs. 82/2005 (Codice dell’amministrazione digitale) una “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

Sistema informatico

La Corte di Cassazione, in plurime pronunce, ha chiarito che il sistema informatico è «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dall’elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente».

Una definizione analoga è data dall’art. 1 della Convenzione di Budapest per la quale un sistema informatico è «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati».

Sistema telematico

Il sistema telematico, a sua volta, è la risultante di più sistemi informatici collegati stabilmente tra di loro, sempre che il collegamento serva allo scambio a distanza di informazioni di cui il sistema ha bisogno.

Codice di accesso a sistemi informatici o telematici

Sono compresi in questa nozione, ai sensi dell’art. 615-ter CP, “codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico”.

Nozione di intercettazione

L’intercettazione consiste nella captazione occulta e contestuale del contenuto di una conversazione o comunicazione tra soggetti, mediante modalità idonee, con intromissioni operate da soggetti terzi rispetto ai conversanti, con apparecchiature in grado di fissarne l’evento e tali da vanificare le cautele ordinariamente poste a protezione del carattere riservato dello scambio comunicativo.

Comunicazioni informatiche e telematiche

Si intendono per tali gli scambi comunicativi che avvengono sfruttando mezzi informatici o telematici.

Rassegna di giurisprudenza

Accesso abusivo a un sistema informatico

Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente (nella fattispecie le Sezioni unite hanno chiarito che la condotta tipica del delitto di accesso abusivo inizia con digitazione da remoto delle credenziali di autenticazione da parte dell’utente, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra il client e il server.

Ne consegue che il reato si perfeziona nel luogo in cui l’operatore materialmente digita la password di accesso o esegue la procedura di login, superando in tal modo misure di sicurezza predisposte dal titolare del sistema e accedendo al sistema) (SU, 17325/2015).

Il reato di accesso abusivo è possibile solo quanto il sistema oggetto dell’accesso è protetto da una qualsiasi forma di sicurezza logica (ad esempio account con nome utente e password o firewall) o fisica (ad esempio, meccanismi di custodia di impianti quali la presenza di vigilanti o porte blindate) (Sez. 5, 12372/2001).

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

Integra il reato di detenzione abusiva di codici di accesso a servizi informatici (art. 615-quater CP) e non quello di ricettazione, la condotta di chi riceve i codici di carte di credito e li inserisce in carte clonate poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat (Sez. 2, 47021/2013).

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico

Ricorre il reato di cui all’art. 615-quinquies CP allorché taluno crei un programma informatico del tipo worm (che ciò non richiede un file eseguibile per diffondersi, essendo capace di replicarsi autonomamente), lo spedisca via mail come allegato, induca i destinatari a classificarlo come un file immagine, visionarlo, scaricarlo e così, a loro insaputa, modifichi il registro del sistema Windows in uso nei loro computer, cambi la homepage predefinita del browser (nella specie Windows Explorer) e lo induca all’invio di mail ad altri destinatari così da diffondere il worm (Corte di appello di Bologna, Sez. 2, 27 marzo 2008).

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche

Sono integrati i reati di cui agli artt. 617-quater e 617-quinquies CP allorché taluno installi abusivamente, all’interno di apparecchi POS, posti alle postazioni di cassa di un esercizio commerciale, carte di memoria capaci di intercettare e registrare i codici di accesso di carte di credito, bancomat e strumenti affini inseriti dalla clientela, in vista della loro successiva clonazione (Tribunale di Monza, sentenza 8 del 5 marzo 2012).

Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche

Integra il reato di cui all’art. 617-quinquies CP e non il reato di cui all’art. 615-quater CP la condotta di chi installa su uno sportello bancomat, in sostituzione del pannello originario, un’apparecchiatura composta da una superficie plastificata, con una microtelecamera con funzioni di registratore video per la rilevazione dei codici bancomat, quando non vi sia prova certa dell’avvenuta captazione di almeno un codice identificativo.

L’attività illecita di intercettazione, infatti, nel silenzio dell’art. 617-quinquies CP, deve ritenersi possa essere consumata con qualunque mezzo ritenuto idoneo a svelare la conoscenza di un sistema informatico quale è da considerarsi la digitazione da parte dell’operatore umano del codice di accesso ad un sistema attraverso una tastiera alfanumerica, digitazione che era destinata ad essere l’oggetto dell’illecita captazione (GIP Tribunale di Milano, 19 febbraio 2007).

Il reato previsto dall’art. 617-quinquies CP è un reato di pericolo che si consuma con la sola installazione di apparecchiature elettroniche per la clonazione, senza che sia necessario accertare l’effettiva memorizzazione e utilizzazione dei dati illecitamente procurati (Tribunale di Trento, sentenza 256 del 10 marzo 2014).

Integra il reato ex art. 617-quinquies CP la condotta di chi inserisce nella postazione bancomat di un istituto di credito congegni idonei ad alterare il funzionamento dell’apparecchiatura bancomat, acquisendo in tal modo abusivamente i codici segreti della clientela (nella fattispecie, lo scopo del soggetto agente era di effettuare prelievi tramite le carte clonate.

I congegni erano costituiti da uno skimmer per la lettura di carte di credito a banda magnetica e successiva memorizzazione dei codici digitati ed un videosistema idoneo a intercettare e memorizzare i pin digitati sul tastierino numerico, puntato dal dispositivo) (Corte di appello di Trento, sentenza 371 del 16 gennaio 2015).

Danneggiamento di informazioni, dati e programmi informatici

Ricorre il reato ex art. 635-bis CP allorché taluno cancelli una rilevante mole di dati dall’hard disk del personal computer della postazione di lavoro assegnatagli dal suo datore di lavoro. La cancellazione richiesta dalla fattispecie incriminatrice è ravvisabile sia nel caso di rimozione definitiva e irrecuperabile dei dati sia nel caso in cui i dati siano recuperabili ma solo con procedure tecniche complesse e dispendiose (Sez. 5, 8555/2012).

Frode informatica del soggetto che presta servizi di certificazione di firma elettronica

NB: si riportano per affinità decisioni attinenti al reato di cui all’art. 640-ter CP.

Integra il delitto di frode informatica e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi (Sez. 2, 17748/2011)

L’abusivo utilizzo di codici informatici di terzi (intervento senza diritto) – comunque ottenuti e dei quali si è entrati in possesso all’insaputa o contro la volontà del legittimo possessore (con qualsiasi modalità) – è idoneo ad integrare la fattispecie di cui all’art. 640-ter CP ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sé o ad altri un ingiusto profitto (Sez. 2, 9891/2011).

Articolo precedente

Articolo successivo

Art. 24-bis - Delitti informatici e trattamento illecito di dati [7]

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

L'affaire Qatargate. Sulla “Proposta di direttiva del Parlamento europeo e del Consiglio relativa alla lotta contro la corruzione mediante il diritto penale”: la centralità degli adeguati assetti

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Whistleblowing: quale ruolo per l’Organismo di vigilanza?

Idoneità dei modelli organizzativi ex l. 231/2001 con un focus sulla prevenzione del rischio dei fenomeni corruttivi nell’ambito degli enti pubblici e società partecipate.

Whistleblowing: ostacolo e ritorsioni nei confronti del segnalante

Shopping low cost: quali sono i veri rischi