Il cyber crime nell’ordinamento italiano e le prospettive di armonizzazione europea
ABSTRACT
Vengono definiti reati informatici in senso ampio tutti quelli commessi con l’utilizzo di tecnologie informatiche o telematiche. L’esigenza di una normativa ad hoc è emersa alla fine degli anni Ottanta, quando è iniziata la “migrazione” sulle reti telematiche della maggior parte delle attività lavorative e sociali, lo sviluppo del commercio elettronico e delle comunicazioni attraverso il web.
L’evoluzione delle tecnologie informatiche ha offerto ampie possibilità per la crescita delle aziende e dei servizi, come ad esempio l’e-commerce, l’e-government, l’home-banking, il trading online e tante altre che consentono di rendere più efficiente la società nel suo complesso, ma al contempo stesso la rendono estremamente dipendente dalla rete. Specularmente, l’intensificazione degli scambi economici e la creazione di nuove opportunità di profitto ha comportato un aumento della criminalità virtuale.
E infatti, sia le forme di criminalità comune, sia le organizzazioni criminali in senso stretto, sfruttando i vantaggi della globalizzazione, perseguono nei mercati internazionali e nella rete la propria strategia di arricchimento illecito. Può anzi dirsi che la dimensione internazionale ed economica assunta dalle mafie è accresciuta dalle nuove tecnologie.
Nella misura in cui queste ultime si fanno attrici del sistema economico, che vendono beni e servizi sul mercato in concorrenza con le imprese lecite, lo sviluppo di relazioni imprenditoriali è facilitato dal mondo digitale, che offre spesso anonimato, rapidità di comunicazione e quindi copertura ad operazioni illecite. Allo stesso tempo, per le ragioni che si sono accennate, la difficoltà di captare le comunicazioni effettuate con i nuovi strumenti consente ai componenti dei sodalizi illeciti di interagire con minori rischi.
Peraltro, i rischi provenienti dalla rete riguardano anche le forme di reati più semplici che vengono commessi quotidianamente anche sulle piattaforme social e sono legati, prevalentemente, a condotte di odio, discriminazione, o abuso ai danni di persone vulnerabili.
Computer crimes in a broad sense are defined as all those committed with the use of computer or telematic technologies. The need for ad hoc legislation emerged at the end of the 1980s, when the “migration” of most of the work and social activities to telematic networks, the development of electronic commerce and web communications began. The evolution of information technologies has offered ample opportunities for the growth of companies and services, such as e-commerce, e-government, home-banking, online trading and many others that allow you to make society as a whole is more efficient, but at the same time they make it extremely dependent on the network. Conversely, the intensification of economic exchanges and the creation of new profit opportunities has led to an increase in virtual crime. And in fact, both the common forms of crime and criminal organizations in the strict sense, exploiting the advantages of globalization, pursue their own strategy of illicit enrichment in international markets and on the Internet. Indeed, it can be said that the international and economic dimension assumed by the mafias is increased by new technologies. To the extent that the latter become actresses of the economic system, who sell goods and services on the market in competition with legitimate businesses, the development of business relationships is facilitated by the digital world, which often offers anonymity, rapid communication and therefore coverage to illegal operations. At the same time, for the reasons mentioned above, the difficulty of capturing the communications made with the new tools allows the members of illicit associations to interact with less risk. Moreover, the risks originating from the network also concern the simplest forms of crimes that are committed daily also on social platforms and are mainly linked to hate conduct, discrimination, or abuse against vulnerable people.
Sommario
1. Introduzione
2. L’evoluzione della normativa italiana
3. La responsabilità da reato “informatico” degli enti: i crimini cibernetici d’impresa
4. La cyber security nell’ordinamento italiano: tra Governance del web, misure preventive e specializzazione
del personale
5. Verso una normativa europea
6. Conclusioni
Summary
1. Introduction
2. The evolution of the Italian legislation
3. The “IT” crime liability of entities: corporate cyber crimes
4. Cyber security in the Italian legal system: between web governance, preventive measures and staff specialization
5. Towards a European legislation
6. Conclusions
1. Introduzione
La “criminalità informatica” non consiste in una categoria definita giuridicamente, anche se viene citata in alcune fonti europee e sovranazionali[1]. Allo stesso modo non si rinviene una definizione riconosciuta di “computer related crime” o “cybercrime”[2]. Sul piano empirico, essa abbraccia una molteplicità di comportamenti lesivi di interessi penalmente rilevanti, riconducibili ai “reati informatici”, introdotti in molti ordinamenti nazionali.
Dopo l’affermazione di Internet, si è assistito al passaggio dalla dimensione “privata” o “individuale” del computer e delle delimitate reti di computer alla dimensione “pubblica” o “collettiva” dei sistemi, basati sull’interconnettività globale. Nell’attuale società dell’informazione la “criminalità informatica” risulta essere dunque flessibile e mutevole.
Sul piano del diritto penale sostanziale, la “criminalità informatica” può includere sia fattispecie legali costruite, sul piano della formulazione, con elementi di tipizzazione connessi a procedimenti di automatizzazione di dati o informazioni, ovvero legate a modalità, oggetti o attività di carattere tecnologico (reati informatici in senso stretto)[3], sia tutte quelle fattispecie incriminatrici “comuni” che, pur non presentando espressamente elementi tipici caratterizzati dalla tecnologia, possono essere applicate a fatti commessi tramite la tecnologia, la rete o nel cyberspace[4] (reati informatici in senso lato).
In questo contesto assume rilevanza anche la distinzione fra reati cibernetici in senso stretto e reati cibernetici in senso lato. Nei primi l’elemento tecnologico e specializzante è caratterizzato proprio dalla connessione in rete o dalla fruibilità del cyberspace.[5]
I secondi, invece, presentano modalità o possibilità di realizzazione concreta “in rete” e sono formulati in termini più generali ed elastici, tanto da essere realizzabili o concepibili a prescindere dall’informatica e dalla rete[6]. Questa impostazione teorica trova un riscontro nelle disposizioni di carattere processuale previste dalla Convenzione sulla criminalità informatica del Consiglio d’Europa, che si applicano non solo ai reati da essa previsti (artt. 2-11), ma anche a tutti gli illeciti commessi attraverso i sistemi informatici ed a quelli per il cui accertamento è necessaria la raccolta della prova elettronica (ex art. 14 della Convenzione).
Una parte della dottrina americana ritiene che la categoria “cybercrime” comprenda almeno tre sub-categorie: reati in cui il computer o il sistema informatico costituiscono l’obiettivo delle attività criminali; reati in cui il computer e, in generale, le nuove tecnologie ed Internet, rappresentano gli strumenti per commettere o preparare un reato; reati in cui il sistema informatico e la rete costituiscono solo un “aspetto incidentale” nella commissione dell’illecito[7].
Il crimine cibernetico si distingue dalla criminalità tradizionale per l’assenza di confini fisici e geografici. Ciò disorienta le vittime rendendole più vulnerabili, per l’impossibilità di reagire, data l’incapacità di percepire l’attacco fisicamente. Dall’altro lato, il cyber criminale, è agevolato dalla disponibilità diffusa di malware sulla rete, e dal fatto che il cyber crime non richiede particolari capacità tecniche. Molti cybercriminali provengono dai paesi in via di sviluppo e non hanno un’istruzione avanzata; essi iniziano la loro carriera criminale già nell’adolescenza, spinti generalmente da motivazioni socioeconomiche. Si tratta di individui prevalentemente di sesso maschile, di età compresa tra i 18 e i 30 anni, il cui modus operandi consiste nel riunirsi in piccoli o medi gruppi.
Dati tratti dal Report annuale dello IOCTA 2015 suggeriscono che l’80% dei cyber crimes necessita infatti di un’organizzazione definita. Nasce in queste circostanze il cosiddetto “crimine cibernetico organizzato”. Esso si caratterizza per una maggior concentrazione nell’Est Europa, in Medio Oriente, e Nord America, e predilige le operazioni di scambio e vendita di servizi, di consulenza, diffusione di virus, affitto di botnet, servizi spam, hosting, e le modalità di associazione ed organizzazione più disparate che vanno dall’uso di reti “underground” e parallele ad Internet, ad esempio Thor e la Darknet, o “Deep Web”, alla cosiddetta “glocalization” dei gruppi, ossia l’esercizio di azioni transnazionali tendenti alla “prossimità locale e culturale”. Il mercato del crimine cibernetico, basato su furti di dati ed estorsioni, ha praticamente superato il mercato della droga, ottenendo quasi il doppio dei ricavi illeciti.
Occorre considerare, inoltre, che gran parte delle tecnologie e delle competenze private in questo campo è di proprietà di imprese, che decidono generalmente di non denunciare gli attacchi subiti per evitare danni reputazionali o perdite in Borsa; ciò accentua la vulnerabilità del sistema.
A ciò deve aggiungersi la capacità dei terroristi di inserirsi nelle reti, pur non potendo eguagliare la capacità cibernetica di uno Stato.
I settori principali del crimine cibernetico includono il furto e la manipolazione dei dati sensibili, la contraffazione dei prodotti, il sistema delle criptovalute e il riciclaggio.
A seconda degli attori e delle finalità, il Quadro Strategico annuale per la sicurezza nello spazio cibernetico elaborato dalla Presidenza del Consiglio dei Ministri italiana nel 2013 distingue quattro macro-categorie: Cyber-crime (criminalità cibernetica): il complesso di attività con finalità criminali che vanno dalla frode telematica al furto d’identità fino alla sottrazione indebita d’informazioni, creazioni e/o proprietà intellettuali; Cyber-espionage (spionaggio cibernetico): l’acquisizione indebita di dati e/o informazioni sensibili, proprietarie o classificate; Cyber-terrorism (terrorismo cibernetico): l’insieme delle azioni ideologicamente motivate, volte a condizionare uno Stato o un’organizzazione internazionale; Cyber-warfare (guerra cibernetica): l’insieme delle attività e delle operazioni militari pianificate e condotte allo scopo di conseguire effetti nel predetto ambiente.
Un campo da non sottovalutare è poi quello dell’intelligence; esso può diventare il vettore attraverso cui il cybercriminale, o l’organizzazione criminale, grazie al furto di dati, riesce ad infiltrarsi in un sistema. È dunque l’intelligence che prepara il terreno all’attacco che verrà condotto. Rispetto a quella del passato, inoltre, l’intelligence attuale dispone di più sofisticati strumenti tramite i quali poter aumentare l’asimmetricità – caratteristica saliente delle tecniche d’attacco cibernetico – e condurre più agevolmente le operazioni. Questo è un fattore che va evidenziato a causa dell’immensa quantità di dati che l’intelligence cibernetica può raccogliere e gestire. Se però si ha a disposizione un buono strumento di lettura e di valutazione dei dati, unito a un chiaro obiettivo, anche la semplice raccolta dei dati aperti esistente sulla rete potrebbe essere sufficiente per penetrare segreti di Stato.
Passando agli scenari di guerra veri e propri, si è già fatto ricorso più volte, nell’arco degli anni, all’uso di attacchi cibernetici in funzione di supporto alle operazioni militari. Un ulteriore scenario da considerare è quello relativo all’uso dell’arma cibernetica in funzione strategica, non più quindi come supporto ma come arma principale di attacco contro un paese; quest’ipotesi è stata discussa anche in sede Nato quando si è sostenuto che gli attacchi cibernetici potessero fare scattare il casus foederis dell’Alleanza a difesa dello Stato aggredito, ai sensi dell’articolo 5 del Trattato istitutivo. Generalmente, l’attacco cibernetico si serve di un algoritmo codificato a mezzo di un computer per diffondere degli effetti pregiudizievoli di varia natura, a seconda della tipologia di attacco o del sistema bersaglio di questo[8].
Tra gli strumenti utilizzabili, uno dei più diffusi è il malware, ovvero un programma avente lo scopo di cagionare danni diffusi, quali il disturbo del malfunzionamento di una rete, la sottrazione di informazioni, l’accesso non autorizzato a reti e sistemi. Un altro tipico strumento di attacco è il DDos (Distributed Denial of Service), meno sofisticato del malware, ma non meno efficace. A questo punto, gli obiettivi di un attacco cibernetico possono essere due: le informazioni o la provocazione di un danno fisico. Un attacco può colpire direttamente un software oppure può colpire direttamente l’hardware attraverso il software.
Naturalmente si può diversificare l’effetto dell’attacco a seconda che questo sia condotto contro un sistema in uso a un privato o una famiglia o contro computer privati in uso a dipendenti di imprese o dello Stato o, ancora, contro mainframe (grandi computer costituiti da una potente unità centrale di elaborazione dati alla quale sono collegati numerosi terminali) aziendali o statali. Per esempio, un attacco cibernetico può essere finalizzato a paralizzare le infrastrutture di comunicazione di un paese o la rete di trasporto ferroviaria e aerea civile, con il rischio di scontri fra treni o di disastri aerei.
Nel contesto globale descritto, è necessario menzionare il pericolo rappresentato dall’Isis.
I vertici del cosiddetto Stato Islamico hanno ben compreso che una guerra analoga a quella tradizionale, combattuta anche con strumenti tecnologici, avrebbe potuto portare risultati anche maggiori di quelli conseguibili con le armi militari convenzionali. Così, nel 2014, Al-Bhagdadi, soprannominato “l’informatico” dell’Isis, ideò il Cyber Caliphate per combattere la Cyber Jihad, facendo propria un’intuizione in passato sviluppata anche da Bin Laden. Inizialmente, il Califfato Cibernetico ha reclutato un gruppo di giovani hackers di età compresa tra i 18 e i 24 anni, istituendo delle “hackers division”, basate su un organico complessivo di circa 3 mila hackers “effettivi”, dislocati in ogni angolo del pianeta, inclusi gli Stati Uniti e l’Europa. L’attività dei cc.dd. cyber jihadisti consistono oggi nella predisposizione di cyber attacchi verso tutti i paesi considerati “nemici” o “infedeli” e nell’opera di proselitismo e propaganda dello Stato Islamico. Tra gli strumenti di riferimento per le attività di proselitismo e di coordinamento delle cellule terroristiche sparse in tutto il mondo vi sono i social network, che contengono immagini e video in grado di influenzare psicologicamente le masse.
2. L’evoluzione della normativa italiana
La legislazione italiana in materia di cyber crime è abbastanza recente. Vengono definiti reati informatici in senso ampio tutti quelli commessi con l’utilizzo di tecnologie informatiche o telematiche: essi sono disciplinati dalla legge 547 del 1993 che ha integrato le norme del codice penale e del codice di procedura penale relative alla criminalità informatica. L’esigenza di una normativa ad hoc è emersa alla fine degli anni Ottanta, quando è iniziata la “migrazione” sulle reti telematiche della maggior parte delle attività lavorative e sociali, lo sviluppo del commercio elettronico e delle comunicazioni attraverso il web. L’evoluzione delle tecnologie informatiche ha offerto ampie possibilità per la crescita delle aziende e dei servizi, come ad esempio l’e-commerce, l’e-government, l’home-banking, il trading online e tante altre che consentono di rendere più efficiente la società nel suo complesso, ma al contempo stesso la rendono estremamente dipendente dalla rete.
Specularmente, l’intensificazione degli scambi economici e la creazione di nuove opportunità di profitto ha comportato un aumento della criminalità virtuale. E infatti, sia le forme di criminalità comune, sia le organizzazioni criminali in senso stretto, sfruttando i vantaggi della globalizzazione, perseguono nei mercati internazionali e nella rete la propria strategia di arricchimento illecito. Può anzi dirsi che la dimensione internazionale ed economica assunta dalle mafie è accresciuta dalle nuove tecnologie. Nella misura in cui queste ultime si fanno attrici del sistema economico, che vendono beni e servizi sul mercato in concorrenza con le imprese lecite, lo sviluppo di relazioni imprenditoriali è facilitato dal mondo digitale, che offre spesso anonimato, rapidità di comunicazione e quindi copertura ad operazioni illecite.
Allo stesso tempo, per le ragioni che si sono accennate, la difficoltà di captare le comunicazioni effettuate con i nuovi strumenti consente ai componenti dei sodalizi illeciti di interagire con minori rischi. Peraltro, i rischi provenienti dalla rete riguardano anche le forme di reati più semplici che vengono commessi quotidianamente anche sulle piattaforme social e sono legati, prevalentemente, a condotte di odio, discriminazione, o abuso ai danni di persone vulnerabili. Ciò premesso, la maggior parte dei reati informatici è incardinata nel Libro secondo del Codice Penale, relativo ai delitti contro la persona. Come è evidente, si tratta di fenomeni sconosciuti alla sistematica originaria del Codice Rocco, che si sono dovuti innestare attraverso diverse modifiche normative riguardanti le diverse fattispecie di parte speciale.
Ad un livello generale, gli studiosi distinguono tra reati cyber dipendenti e cyber correlati. I primi, definiti cyber crimes in senso stretto, riguardano tutti gli illeciti che non potrebbero essere commessi in assenza di strumenti informatici o telematici; i reati cyber correlati, o cybercrimes in senso lato, sono tutti i reati commessi anche al di fuori del cyberspazio, come lo stalking, per i quali è possibile avvalersi anche dell’uso di tecnologie informatiche[9].
Un’ulteriore distinzione, all’interno del cyber crime, fa riferimento a due categorie di illeciti: i reati informatici sono qualificati come comportamenti manipolativi truffaldini, mentre i delitti di abuso riguardano gli usi impropri delle risorse tecnologiche per scopi personali[10].
Invece, per documento informatico si intende qualunque supporto informatico contenente dati o informazioni avente efficacia probatoria o programmi specificamente destinati ad elaborarli[11]. In altre parole, il documento informatico è la rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti[12].
In relazione al bene protetto, va rilevato che, sebbene la sicurezza informatica sia divenuta un tema centrale nel dibattito pubblico e scientifico, si tratta di un oggetto di tutela dai contorni ampi e sfumati. Di fatto, nella normativa italiana essa non configura un bene a sé, ma un valore trasversale, un bene strumentale alla protezione di diversi beni finali [13], dalla riservatezza informatica ai dati personali, dall’integrità di dati e sistemi telematici, alla fede pubblica. Un reato informatico può infatti comportare una violazione dei sistemi informatici, offendere alternativamente il patrimonio o la persona, violare i diritti di proprietà intellettuale[14] o integrare addirittura il Cyberterrorismo e cyber warfare. In primo luogo, va evidenziato il legame tra il cyber crime e la maggior parte dei delitti contro la persona.
L’utilizzo della rete internet e, soprattutto, dei social network aumenta la rapidità e la violenza degli attacchi, e aumenta la vulnerabilità delle vittime, che sono spesso giovani, minori, e anziani, perché può produrre danni maggiori e più estesi e rende difficile perseguire i responsabili. Nell’ambito descritto, occorre citare la produzione, il possesso e la diffusione di materiale pedo-pornografico, riscontrabili anche all’interno del fenomeno del c.d., sexting, regolato dagli articoli 600-ter c.p. (“Produzione di materiale pedo-pornografico”) e 600-quater c.p. (“Detenzione di materiale pornografico riguardante i minori”).
Altri fenomeni particolarmente insidiosi sono il c.d. grooming, ovvero l’adescamento di minori attraverso la rete, previsto dall’art. 609-undecies c.p. e la diffusione illecita di immagini o video sessualmente espliciti, meglio nota come revenge porn, di cui al nuovo art. 612-ter.
Quest’ultimo, è probabilmente l’esempio più lampante della potenziale pericolosità insita nei mezzi telematici, come dimostrano alcuni casi tristemente noti in cui le vittime sono state costrette a cambiare scuola o luogo di lavoro, ovvero spinte a gesti estremi. Le fattispecie descritte, costituenti reati cyber dipendenti, pongono il problema non solo di identificare i responsabili, ma soprattutto di bloccare la diffusione dei contenuti sensibili o le condotte aggressive.
Tra i reati cyber correlati, in cui l’utilizzo del computer rappresenta semplicemente una modalità di realizzazione privilegiata, rientra lo stalking, che può concretizzarsi in una persecuzione della vittima condotta attraverso la rete, ad esempio, inviando mail o messaggi in chat. Il delitto di cui all’art. 612-bis c.p. è una fattispecie plurioffensiva posta a tutela della libertà morale e della salute, ed ha carattere abituale, essendo il risultato di una condotta persecutoria reiterata nel tempo[15]. In quest’ultimo caso, è evidente che la rete internet e i social network offrono oggi una più ampia gamma di metodi intrusivi nella sfera privata della persona offesa. Viene poi in rilievo l’articolo 615-bis, che disciplina le interferenze illecite nella vita privata.
Il delitto in esame tutela la riservatezza o la privacy nei luoghi di privata dimora, nei quali la stessa principalmente si dispiega. Titolare dell’interesse protetto non è solo il soggetto direttamente attinto dall’illecita intrusione, ma anche chiunque faccia parte, nel luogo violato, di un nucleo privato con diritto alla riservatezza[16]. La norma, inserita dalla l. 98/174, fa riferimento, sin dalla sua origine, all’uso di strumenti di ripresa visiva o sonora.
Questa norma è un esempio di formulazione abbastanza ampia e tecnologicamente neutra da includere anche le modalità di ripresa effettuate oggi attraverso nuovi strumenti, come smartphone o tablet. Tra i cyber crime in senso stretto rientrano a pieno titolo anche l’accesso abusivo ad un sistema informatico, la detenzione e diffusione abusiva di codici di accesso a sistemi informatici e la diffusione di virus e malware diretti a danneggiare o interrompere sistemi informatici.
Questi reati cyber-dipendenti sono inseriti dal legislatore tra i delitti contro la persona e proteggono, più precisamente, il c.d., “domicilio informatico”, come spazio ideale di pertinenza della sfera individuale[17].
La sezione successiva tutela, invece, l’inviolabilità dei segreti, prevedendo i delitti di violazione, sottrazione e soppressione di corrispondenza, cognizione, interruzione o impedimento illeciti di comunicazioni telegrafiche o telefoniche, di falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche, nonché di intercettazione, o interruzione illecita di comunicazioni informatiche, di installazione di apparecchiature dirette a tale scopo, e, ancora, di falsificazione, alterazione o soppressione del contenuto di comunicazioni telematiche. Gli artt. 618, 619, 620 e 620-bis tutelano, invece, la rivelazione del contenuto di corrispondenza, e la relativa sottrazione, che possono ben essere commessi anche sfruttando la rete telematica.
Come si è visto, il nostro sistema punisce sia i reati basati sulle tecnologie informatica per compiere gli abusi, come l’uso di Spam o Malware (malicious software) sia i reati realizzabili di per sé “offline”, ma che ricevono un contributo importante dai dispositivi telematici, come la frode informatica, la creazione di falsa identità, l’information warfare, consistente in una guerra d’informazioni finalizzata ad ottenere un vantaggio militare rispetto al nemico, e il phishing, consistente in truffe online per far comunicare alla vittima dati sensibili.
Alcuni cyber crimes offendono, invece, non la riservatezza o la persona, bensì il patrimonio; si pensi alla frode informatica, introdotta nel 1993 all’articolo 640-ter c.p., commessa da “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico, telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”.
Ad essa devono aggiungersi tutte le forme di truffa o estorsione cyber correlate, in cui gli artifizi, i raggiri, e le minacce vengono veicolate non in comunicazioni tra presenti, ma attraverso messaggi scambiati in rete. Con la legge 48/2008, il legislatore, oltre a sostituire l’originario art. 635-bis c.p., ha introdotto tre ulteriori fattispecie agli artt. 635-ter, 635-quater, 635-quinquies c.p., i digital crimes, che sono divisi idealmente in tre gruppi, agli articoli 635-bis, 635-ter, 635-quater e 635-quinquies c.p.[18] La prima classe di ipotesi è il danneggiamento di hardware e software; il secondo gruppo è integrato dalla detenzione e diffusione di software o hardware allo scopo di compiere reati. Infine, sono stati inseriti nel codice la violazione dell’integrità di dati ed il danneggiamento di sistemi informatici o telematici.
Alcuni esempi di criminalità informatica sono costituiti anche da delitti contro la fede pubblica. Vengono in rilievo, a tal fine, la falsificazione di documenti informatici, ex art. 491-bis c.p. (ad esempio falsificazione della firma digitale), e l’art. 495-bis c.p., relativo alla falsa dichiarazione o attestazione al certificatore di firma elettronica. Sul fronte procedurale, la legge 48/2008 ha poi introdotto un’interessante nuova fattispecie di confisca, riguardante stavolta strumenti informatici o telematici utilizzati per la commissione di reati contro il patrimonio ai sensi del comma 1-bis dell’art. 240 c.p.
In materia di tutela dei dati personali, occorre citare la fattispecie di furto o indebito utilizzo dell’identità digitale[19], nonché gli artt. 43, 44, 45 e 46 del d.lgs. 51/2018 sul trattamento dei dati personali da parte delle autorità competenti al fine di prevenzione, accertamento e perseguimento di reati, in attuazione della direttiva (UE) 2016/680, e il decreto legislativo relativo alla prevenzione dei reati gravi e di terrorismo a tutela del codice di prenotazione (PNR), di attuazione della successiva direttiva (UE) 2016/681. Da ultimo, assume un pregnante significato il collegamento tra il nostro Codice privacy di cui al d.lgs. 196/2003 e il Regolamento dell’Unione europea 2016/679[20].
È stato poi modificato l’art. 167, ossia il reato di trattamento illecito di dati personali, e sono stati aggiunti gli artt. 167-bis e 167-ter, relativi alla comunicazione e diffusione illecita di dati personali trattati su larga scala ed all’acquisizione fraudolenta di tali dati; questi ultimi, per essere letti alla luce del GDPR, necessitano di coordinamento con altri provvedimenti non aventi valore di fonti del diritto[21]. Ulteriori modifiche hanno riguardato gli artt. 168, 170, 171 e 172.
Lo scopo perseguito dal legislatore italiano pare essere quello di aderire quanto più ampiamente possibile ad un approccio sistematico puntuale, prevedendo diverse ipotesi di condotte penalmente rilevanti in materia di violazione o abuso di dati personali. Tuttavia, nel sopracitato caso del nuovo impianto, si attendono pronunce giurisprudenziali di assestamento della materia e provvedimenti significativi dell’Autorità Garante, senza cui non è possibile discutere l’impatto di tali norme nella lotta al crimine cibernetico. Sempre in tema di protezione dei dati personali, gioca menzionare il c.d., Spamming, disciplinato dall’art. 130 del Codice della Privacy, intitolato “Comunicazioni indesiderate”.
Infine, a conferma dell’attenzione del legislatore verso i pericolo insiti nell’uso della rete e dei social network, la legge 29 maggio 2017, n. 71, ha disciplinato l’allarmante fenomeno del cyber bullismo, inteso come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti online aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”.
Si tratta di una definizione che contiene una sorta di catalogo di reati che possono esser posti in essere dal «cyberbullo»: si pensi al ricatto che normalmente è espressione sinonimica dell’estorsione; si pensi all’amplissimo e generico concetto di «qualsiasi forma di pressione», che comprende anche il concetto di minaccia e quello di violenza privata; si pensi al concetto di denigrazione che richiama alla mente il delitto di diffamazione o l’ingiuria, peraltro indicato espressamente nella stessa elencazione; si pensi infine al concetto di «qualunque forma di aggressione», che comprende, fra l’altro, le percosse e le lesioni lievissime.
L’art. 1 della legge n. 71/2017 è di fondamentale importanza anche perché al comma 3 stabilisce cosa si debba intendere per «Gestore del sito internet», seppure ai fini della stessa legge, ovverosia «il prestatore di servizi della società dell’informazione, diverso da quelli di cui agli articoli 14,15 e 16 del decreto legislativo 9 aprile 2003, n. 70, che, sulla rete internet, cura la gestione dei contenuti di un sito in cui si possono riscontrare le condotte di cui al comma 2». Il comma 3, include anche il mezzo web («ogni altro mezzo di pubblicità») nell’ambito delle condotte punibili, riconoscendo la portata particolarmente incisiva di detto strumento[22]. Una tipica modalità di estrinsecazione del fenomeno del cyberbullismo riguarda infatti l’offesa dell’altrui reputazione perpetrata tramite web ai danni di un soggetto minorenne.
Anzi, secondo i dati forniti dalla Polizia Postale e delle Comunicazioni, nel corso del 2013, un terzo delle denunce per cyberbullismo relative proprio al reato di diffamazione hanno avuto come vittime minorenni di età compresa tra i 14 e 17 anni. Anche il reato di minaccia ex art. 612 c.p. si presta a sanzionare il fenomeno del bullismo telematico, nel momento in cui la minaccia del danno ingiusto avvenga a danno di minori e mediante l’uso della rete[23]. Infine, il comma 1 dell’art. 1 della legge in commento cita espressamente l’art. 167 cod. privacy[24]. Secondo i dati della Polizia Postale, la violazione della privacy, specie a danno di minori, si esplica spesso nella violazione del diritto all’immagine, ossia nell’attività di pubblicazione dell’altrui immagine sui social network con lo scopo di porre in atto un attacco o la loro messa in ridicolo.
La questione, oltre ad avere rilievo da un punto di vista civilistico, coinvolge anche la sfera penalistica, poiché l’immagine di un soggetto deve essere sicuramente considerata un «dato personale» ai sensi dell’art. 4 della legge n. 196/2003 e il cui trattamento illecito rientra, dunque, nell’alveo dell’art 167 della stessa legge. Nonostante l’art. 7 in esame citi espressamente solo le norme appena analizzate, dal disposto dell’art. 1 della medesima legge è possibile inferire, come anticipato, che il fenomeno del cyberbullismo possa essere sanzionato anche da ulteriori fattispecie previste nel codice penale, quali i reati di sostituzione di persona, atti persecutori, molestie o disturbo alle persone, accesso abusivo ad un sistema informatico, pornografia minorile, detenzione di materiale pornografico ed ancora i reati di estorsione ed istigazione al suicidio.
Gli atti di cyberbullismo, a seconda di come si esprime il comportamento, possono integrare anche il reato di atti persecutori ex art. 612-bis c.p.: infatti l’utilizzo di mail ossessive, video e messaggi attraverso i social network non sono meno pericolosi di telefonate assillanti, inseguimenti e appostamenti.
La Cassazione, in più pronunce, ha applicato l’art. 612-bis alle ipotesi di cyberstalking[25] più di recente la Suprema Corte ha stabilito che è, altresì, perseguibile per stalking colui che si intromette nella vita privata di una persona (di un minore nel caso specifico del cyberbulling), allo scopo di destabilizzarla con condotte ossessive e assillanti, attraverso accessi indebiti e costanti nell’account mail o nel profilo Facebook della stessa[26].
Il riconoscimento giurisprudenziale del cyberstalking e la particolare insidiosità in tema delle nuove tecnologie come mail, sms, chat e, soprattutto, social network, specie nei rapporti tra adolescenti, ha prodotto la modifica del testo originario dell’art. 612-bis, operato dalla legge n. 119/2013, con la previsione di un aumento di pena per il caso in cui il reato venga commesso attraverso strumenti informatici o telematici, che si è aggiunto all’aggravio di pena nel caso in cui la vittima sia un minore. Le condotte del cyberbullo possono integrare altresì i reati di istigazione o aiuto al suicidio, detenzione e divulgazione di materiale pedopornografico ex artt. 580 e 600-ter e quater c.p.[27], nonché quelli di estorsione ex art. 629 e truffa ex art. 640 c.p.
Si tratta, comunque, di un elenco certamente suscettibile di integrazioni in considerazione della velocità con cui gli strumenti di comunicazione si evolvono e delle innumerevoli modalità attraverso cui è possibile porre in essere condotte riconducibili al fenomeno in esame. La legge in esame costituisce peraltro un esempio di come mettere in campo strumenti alternativi e preventivi rispetto a quelli penalistici a tutela della vittima, in questo caso del minore[28]. L’art. 2 introduce uno speciale rimedio a tutela della vittima di atti di cyberbulling, ossia la possibilità di adire il titolare del trattamento o il gestore del sito internet o del social media, al fine di ottenere l’oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore diffuso nella rete internet.
In caso di mancata risposta entro quarantotto ore, o comunque nel caso in cui non sia possibile identificare il titolare del trattamento o il gestore del sito internet o dei social media, l’interessato può rivolgere analoga richiesta, al Garante per la protezione dei dati personali, il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi degli articoli 143 e 144 del citato D.lgs. 196/2003. L’art. 3 prevede, inoltre, entro trenta giorni dall’entrata in vigore della legge, l’istituzione presso la Presidenza del Consiglio dei Ministri, di un tavolo tecnico coordinato dal MIUR per la prevenzione e il contrasto del cyberbullismo, e la redazione di un piano di azione integrato da adeguate campagne di informazione e sensibilizzazione, insieme al monitoraggio del fenomeno con la collaborazione anche della Polizia Postale.
Entro il 31 dicembre di ogni anno, il tavolo summenzionato dovrà redigere una relazione sulle attività svolte da presentare al Parlamento. La gran parte degli interventi sono destinati a trovare attuazione nelle scuole.
Ed infatti l’art. 4 prevede che, per l’attuazione delle finalità di cui all’art. 1, comma 1, il Ministro dell’istruzione, dell’Università e della ricerca, sentito il parere del Ministro della giustizia, adotti linee di orientamento per la prevenzione ed il contrasto del cyberbullismo nelle scuole, provvedendo al loro aggiornamento con cadenza biennale.
Il comma 2 del sopracitato articolo prevede apposite le linee guida sulla formazione del personale scolastico con la partecipazione di un referente per ogni autonomia scolastica, nonché misure di sostegno e rieducazione dei minori coinvolti e un efficace sistema di governance diretto dal MIUR. In definitiva, è evidente come il sistema-cyberspazio agevoli la commissione di determinati crimini e in alcuni casi determini nuove forme di reati. È evidente come il legislatore, sulla scorta delle esigenze invocate dal regolatore europeo, abbia preferito optare per una moltiplicazione caotica delle fattispecie penali, spesso ridondanti e non complete nella formulazione.
La giurisprudenza è stata così costretta a fare i conti con le limitazioni delle fattispecie tradizionali rispetto al cybercrime, costringendo a volte a forzature dei testi normativi. I reati informatici sono denotati da peculiari caratteristiche che li differenziano rispetto ai reati, per così dire, “offline”. Esse sono quelle della de-localizzazione delle risorse, quella della detemporalizzazione delle attività, nonché quella della de-territorializzazione. In parole semplici, c’è un’estrema facilità di commissione dei reati da qualunque parte del mondo, senza un necessario collegamento fisico fra l’utente e il sistema. Si pensi ai problemi che l’«ubiquità» dei contenuti pubblicati in rete e istantaneamente accessibili in qualunque parte del mondo determina sui criteri di collegamento impiegati dalle norme processuali per designare il foro competente[29].
Per visualizzate la rivista CLICCA QUI!
[1] COM (2012) 140 final.
[2] Si veda già M. Briat, U. Sieber (eds.), Computer Related Criminality: Analysis of Legal Policy in the OECDArea, Parigi 1986. Cfr. le Raccomandazioni n. R (89) 9 – sui profili di diritto penale sostanziale concernenti la lotta alla criminalità informatica – e n. R (95) 13, relativa ai problemi di procedura penale legati alla tecnologia dell’informazione; Convenzione Cybercrime adottata a Budapest il 23 novembre 2001; la direttiva 95/46/CE sulla tutela dei dati personali, nonché le direttive successive adottate in questo settore; le direttive in materia di protezione dei diritti d’autore e, in particolare, la direttiva 2001/29/CE; la direttiva 2000/31/CE sul commercio elettronico, le decisioni quadro contro gli attacchi informatici (2005/222/GAI), contro lo sfruttamento sessuale di minori e la pedopornografia (2004/68/GAI), contro il terrorismo (2002/475/GAI, parzialmente riformata dalla decisione 2008/919/GAI); sul piano processuale vedi quelle sul mandato d’arresto europeo (2002/584/GAI) e sull’applicazione del principio del reciproco riconoscimento delle decisioni di confisca (2006/783/GAI), che includono la “criminalità informatica” nelle liste di reati per cui si prescinde, in conformità con il principio del mutuo riconoscimento, dal requisito della doppia incriminazione per l’esecuzione diretta dei provvedimenti emessi dall’autorità giudiziaria dello Stato richiedente. Vedi per tutti L. Picotti, La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. ec., 4, 2011, 827 e ss. Nella letteratura tedesca, anche sul richiamo alle fonti sovranazionali e sulle nuove competenze penali dell’Unione Europea, basti il rinvio a U. Sieber, Computerkriminalität, in U. Sieber, F. H. Brüner, H. Satzger, B. Von Heintschel-Heinegg (Hrsg), Europäisches Strafrecht. Baden-Baden, 2011, 393 e ss.
[3] Vedi M. F. Weismann, International Cybercrime: Recent Developments in the Law, in R. D. Clifford (ed.), Cybercrime, III Ed., Carolina Academic Press, 2011, 257, 258.
[4] Si pensi, nell’ordinamento italiano, all’accesso abusivo a sistemi informatici (art. 615-ter c.p.) o alla frode informatica (art. 640-ter c.p.). Questa categoria di reati informatici si connota per un nuovo oggetto passivo su cui la condotta va a cadere (quali i dati, le informazioni, i programmi od altri “prodotti” informatici o digitali, compresi i “sistemi informatici” in genere) oppure dal fatto che il computer ed i prodotti informatici in genere costituiscono lo strumento tipico di realizzazione del ‘fatto’ criminoso. Così L. Picotti, La nozione di “criminalità informatica” cit.
[5] Si consideri, nel sistema italiano, la truffa comune (art. 640 c.p.), che può essere commessa attraverso l’invio di email ingannevoli che inducono in errore il destinatario determinandolo ad effettuare un atto di disposizione patrimoniale su conti correnti online. Oppure si pensi alla diffamazione online, o alle forme di manifestazione o diffusione del pensiero o di contenuti illeciti, quale la rivelazione od agevolazione “in qualsiasi modo” della conoscenza, da parte di terzi non legittimati, di una notizia che debba rimanere segreta. Su tali categorie si veda L. Picotti, Biens juridiques protégés et techniques de formulation des incriminations en droit pénal de l’informatique, in Rev. Int. Droit pénal, 2006, n. 3/4, 525 s.
[6] Si pensi, ad esempio, agli artt. 171, lett. a) bis e 171 ter, co. 2, lett. a) bis della l. n. 633/41 (che sanzionano la diffusione abusiva tramite l’immissione in un sistema di reti telematiche di un’opera dell’ingegno protetta). Su tali reati si consenta di rinviare a R. Flor, Tutela penale e autotutela tecnologica, cit., 329 e ss.
[7] Vedi S. Brenner, Defining Cybercrime: A Review of Federal and State Law, in R. D. Clifford (ed.), Cybercrime, cit., 15-104, 17, cui l’Autrice si chiede se la categoria “cybercrime” abbracci nuove forme di criminalità e di crimini, ovvero se non si tratti piuttosto di “vecchio vino in nuove bottiglie” (“old wine in new bottles”). In verità questa espressione non è così distante da quella utilizzata da Barlow – “Selling wine without bottles” – con la quale quest’ultimo Autore intendeva rappresentare il nuovo scenario dominato dalla tecnologia, che ha determinato la trasformazione dell’architettura tipica su cui poggiava la tutela del diritto d’autore, e la crisi del sistema di tutela della proprietà intellettuale, dovuta alla proliferazione sia di fenomeni criminosi nuovi, che di “vecchi” fenomeni realizzati con nuovi strumenti [Internet]. Vedi J.P. Barlow, Selling Wine without Bottles: The Economy of Mind on the Global Net, in P. Ludlow (ed.), High Noon on the Electronic Frontier, Conceptual Issues in Cyberspace, III ed., MIT, 1999, 9 e ss., citato da R. Flor, Tutela penale e autotutela tecnologica, cit., 250.
[8] G. Guastella, Il dominio geopolitico dello spazio cibernetico, Edizioni ex libris, Palermo, 2020, pp. 57 ss.
[9] Picotti, Diritto penale e tecnologie informatiche: una visione di insieme, in AA.VV., Trattato di diritto penale – Cybercrime, diretto da Cadoppi-Canestrari-Manna-Papa, Utet, 2019, p. 75.
[10] E. Palazzolo, “Il cybercrime in Italia: una visione d’insieme”, www.iusinitinere.it, 24 settembre 2018.
[11] Art. 3 L. 547/1993.
[12] Art. 1 DPR 513/1997.
[13] Sulla sicurezza informatica come bene giuridico v. Picotti, Sicurezza informatica e diritto penale, in AA.VV., Sicurezza e diritto penale, a cura di Donini-Pavarini, Bononia University Press, 2011, pp. 230 ss.; sul rapporto tra bene strumentale e finale v. Fiorella, voce Reato in generale, in Enc. dir., vol., XXXVIII, Giuffrè, 1987, pp. 779 ss.
[14] Sul punto, con riferimento alla responsabilità degli enti, v. G. D’Adamo – M. Naj-Oleari, La proprietà intellettuale e la violazione dei marchi ex d.lgs. 231/2001 nel settore della moda, in Resp. Amm. Soc. enti, 2/2014, p. 117.
[15] Ex multis, v. Cass. Pen., 23 gennaio 2018, n. 8744.
[16] Ex multis, Cass. Pen., 25 gennaio 2012, n. 18035.
[17] Cass. Pen., 4 ottobre 1999, n. 3067, in tema di accesso abusivo a sistema informatico.
[18] Sulla definizione dei computer crimes, v. Pecorella, Diritto penale dell’informatica, Cedam, 2006, 1 ss.
[19] Cfr. G. Malgieri, La nuova fattispecie di “indebito utilizzo dell’identità digitale”, in Dir. Pen. Cont., 2/2015.
[20] In Italia la normativa di riferimento è il recente D.lgs. 4 settembre 2018, n. 101.
[21] Tra i vari provvedimenti utili alla comprensione della normativa, può farsi riferimento alla linee-guida dell’Art. 29 Working Party.
[22] Bisori, La diffamazione, in Cadoppi-Canestrari-Papa, I reati contro la persona. Reati contro l’onore e la libertà individuale, Torino, 2006, pp. 76 ss.
[23] La previsione sanziona «chiunque minaccia ad altri un ingiusto danno è punito, a querela della persona offesa, con la multa fino a 1.032 euro. Se la minaccia è grave, o è fatta in uno dei modi indicati nell’articolo 339, la pena è della reclusione fino a un anno e si procede d’ufficio».
[24] Esso prevede che: «1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».
[25] In via esemplificativa, Cass. pen., Sez. V, 24 giugno 2011, n. 25488, ha ritenuto sussistente il reato di stalking nella condotta dell’imputato che, dopo che la vittima aveva interrotto la convivenza, si era reso responsabile di continui messaggi inviati tramite il social network Facebook contenenti minacce e ingiurie, inoltre aveva violato il domicilio della vittima e percosso la stessa cagionandole lesioni.
[26] Cass. pen., Sez. V, 24 maggio 2017, n. 25940.
[27] Per un approfondimento su tali figure delittuose si veda, con riferimento agli articoli 580, 600-ter e quater c.p., Cocco-Ambrosetti, Trattato breve di diritto penale parte speciale, Padova, 2014, pp. 90 ss., 303 ss.
[28] C. Panicali, Il cyberbullismo: i nuovi strumenti (extrapenali) predisposti dalla legge n. 71/2017 e la tutela penale, in Responsabilità Civile e Previdenza, n. 6, 1 Giugno 2017, p. 2081.
[29] S. Carrea, L’individuazione del forum commissi delicti in caso di illeciti cibernetici: alcune riflessioni a margine della sentenza Concurrence Sàrl, in Diritto del Commercio Internazionale, n.3, 1° settembre 2017, p. 543.