Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
e REGOLAMENTAZIONE COMUNITARIA
INTRODUZIONEALLAPROBLEMATICA
I reati informatici, o computer crimes, possono essere definiti come il risvolto negativo dello
sviluppotecnologicodellinformaticaedellatelematica.
Lo sviluppo delle tecnologie informatiche ha permesso di disegnare nuovi scenari da qualche
decennioaquestaparte.
In un lasso di tempo assai breve, la maggior parte delle attivit umane svolte manualmente o
attraverso apparecchiature meccaniche, hanno lasciato il passo a ben pi efficienti
implementazionidigitali.
Sipensiadesempioaglienormiarchividocumentaliche,finoanontroppiannifa,creavanogrossi
problemidigestionenonch,soprattutto,diindicizzazione.
Il vantaggio della creazione di database informatici centralizzati ha permesso di risolvere gran
partediquestiproblemi,velocizzandoedottimizzandotutteleoperazionidiricercaedestrazione
dati.
Conletecnologiedigitaliinoltrelinformazionesisvincoladalsupportoe,diconseguenza,diventa
assaifacilepoterriprodurreilcontenutoindipendentementedalsupportosucuimemorizzato
(sia esso un hard disk, un dvd, un usb drive o altro); da tutto ci ne deriva anche una estrema
facilitinterminidiportabilitetrasferimento.
Questa naturale facilit di scambio del dato digitale viene ulteriormente incrementata ed
agevolatadallosviluppodelleretitelematiche,inparticolareInternet.
Dalconnubioinformaticaretitelematicheoriginanoampiepossibilitperlacrescitadellasociet.
Da ci si sviluppano attivit quali ad esempio lecommerce, legovernment, lhomebanking, il
trading online e tante altre attivit che consentono di rendere pi efficiente la societ, ma al
contempo la rendono estremamente netcentrica. Con ci si vuole sottolineare il fatto che la
maggiorpartedelleattivitsociali,lavorativeedisvagopassanooggiattraversoretitelematiche.
Se dunque tutti gli interessi e le attivit propositive della societ si spostano su Internet, di
conseguenza, anche le attivit illecite (i cd. reati informatici) ne seguiranno levoluzione nelle
forme e nelle pratiche. A tal riguardo diventa perci necessario sviluppare idonee contromisure
atteacontrastare,oquantomenoalimitare,ilprogredirediquesteformedicrimine.
Alfinedipotercontrastareilsemprecrescenteaumentodeireatiinformatici,sirendenecessario
svilupparemetodologie,praticheenormativeingradodicombatterneglieffetti.
Daunpuntodivistapragmaticoesistonofondamentalmenteduegranditipologiedipraticheche
possibileadottarepercontrastareicomputercrimes1:
1 Prevenzionedeireati(latoutenteelatopubblicasicurezza)
2 Repressionedeireati(CodicePenaleedisposizionicomunitarie)
Al di l della specificit dei singoli illeciti che possibile compiere attraverso gli strumenti
informatici (che verranno di seguito analizzati), possibile stilare alcune massime di riferimento
perprevenireilcompiersideireatiinformatici.
NuovetecnologieNuovecriminalit,<http://www.reportonline.it/modules.php?name=News&file=print&sid=2122>
OCSE,LineeguidadellOCSEsullasicurezzadeisistemiedelleretidinformazione,
<http://www.oecd.org/dataoecd/16/23/15582268.pdf>
Convenzioneeuropeaperlasalvaguardiadeidirittidelluomoedellelibertfondamentali,
<http://www.giustizia.it/pol_internaz/tutela/ce_salv_diritti.htm>
dilog)(art.5Direttiva2006/24/CE4).Inognicasocomunquetalidatipotrannoessereconservati
per un periodo non superiore a 2 anni (art. 6) e per i soli fini di indagine, accertamento e
perseguimentodeireati(art.1).
IREATIINFORMATICIPREVISTIDALCODICEPENALEITALIANO
PrimadianalizzarecomeilCodicePenaleclassifichiedindividuiicomputercrimes,opportuno
precisare che per ogni reato previsto si specificheranno anche, oltre alle disposizioni del Codice
Penale, le possibilit preventive che lutenza (intesa sia come utente privato che come azienda)
puadottarealfinediscongiurare,almegliopossibile,criminiinformaticiapropriodanno.
La prima vera normativa contro lemergente fenomeno dei cyber crimes stata la legge 547/93
(Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura penale in
temadicriminalitinformatica).
Precedentementeaquestaleggemoltipochiinterventisonostatifattiinmateriadirepressioneai
reatiinformatici,soprattuttoperquelcheriguardailperiodosinoaglianni90.
Sinoadallorasipossonoconsiderareinfattisolocasisporadici,comeadesempiolalegge191/78
cheintroducevanelCodicePenalelart.420controlattentatoadimpiantidielaborazionedati,o
lalegge121/81relativaallaprimaformadituteladeidatiarchiviatiinunsistemainformatico.
Apartiredaldecenniosuccessivo,conlosviluppodelletecnologieinformaticheetelematiche,si
senteinveceunamaggioresigenzadidotarsidileggipispecificheedapprofonditeinmateriadi
tutela informatica, come la legge 197/91 che, allart. 12 punisce lindebito utilizzo delle carte di
creditoola518/92che,conlart.10,miraapunire,perveroinmanieraeccessivamentegenerica,i
Direttiva2006/24/CE,<http://www.garanteprivacy.it/garante/document?ID=1485189>
reatidipirateriainformatica.5Maconlalegge547/93chesipongonolebasiperunareale
lottaalcrimineinformatico.
Per rendere pi agevole la comprensione dei provvedimenti normativi previsti con la suddetta
legge,appareconvenientesuddividereinmacrocategorieleareediintervento;
1) Frodiinformatiche;
2) Falsificazioni;
3) Integritdeidatiedeisistemiinformatici;
4) Riservatezzadeidatiedellecomunicazioniinformatiche.
La macrocategoria delle frodi informatiche regolamentata dallart. 640ter del Codice Penale,
contenutoallinternodelTitoloXIIIdeidelitticontroilpatrimonio,CapoIIdeidelitticontroil
patrimoniomediantefrode,erecitacos:
art.640ter(Frodeinformatica):Chiunque, alterando in qualsiasi modo il funzionamento di
un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalit su
dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso
pertinenti, procura a s o ad altri un ingiusto profitto con altrui danno, punito con la
reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549
se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo
640, ovvero se il fatto commesso con abuso della qualit di operatore del sistema.
Hackingecriminalitinformaticalapproccionormativoallacriminalitinformatica(capitoloIII),
<http://www.altrodiritto.unifi.it/devianza/tavassi/nav.htm?cap3.htm>
Il delitto punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze
di cui al secondo comma o un'altra circostanza aggravante.
Si parla qui di un reato consistente nel trarre in inganno un elaboratore elettronico, al fine di
ricavarne un guadagno economico (per s o per altri complici), a danno di un soggetto terzo
(solitamenteildetentoredellelaboratoreelettronico).
Sitrattapercidiunestensionedelreatoditruffadescrittoallart.640c.p.
Art.640(Truffa):Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a s
o ad altri un ingiusto profitto con altrui danno, punito con la reclusione da sei mesi a tre
anni e con la multa da euro 51 a euro 1.032 .
La pena della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:
1. se il fatto commesso a danno dello Stato o di un altro ente pubblico o col pretesto di
far esonerare taluno dal servizio militare;
2. se il fatto commesso ingenerando nella persona offesa il timore di un pericolo
immaginario o l'erroneo convincimento di dovere eseguire un ordine dell'autorit.
Il delitto punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze
previste dal capoverso precedente o un'altra circostanza aggravante.
Traireatichepifrequentementevengonocompiuti,echericadono,traglialtri,allinternodella
frodeinformatica,visonolecd.pratichediPhishingequelledidiffusionediappositiprogrammi
truffaldini,definitiDialer.
Il phishing altro non che unattivit finalizzata ad estorcere dati personali (in prevalenza legati
alle carte di credito od ai conti bancari) attraverso una richiesta esplicita al suo legittimo
possessore.Ilprincipalemetodoperporreinessereilphishingquellodiinviareunamailintutto
epertuttosimileaquellacheverrebbeinviatadaunregolareistituto(banca,sitodaste,provider,
ecc. e con relativo logo identificativo), nella quale si riportano vari tipi di problemi tecnici
(aggiornamento software, scadenza account, ecc.) che motivano lutente a cliccare sul link
riportatonellamailperandareadaggiornareipropridatipersonali.
Chiaramente il link non porta al vero sito dellistituzione, ma ad un sito fasullo ed
opportunamentecreatodallautoredelreatodiphishing,chesiimpossessercosdeidatiinseriti
dallutente.
Dal punto di vista della prevenzione il phishing si configura come uno di quei reati che possono
facilmenteesseredebellaticonunacorrettainformazioneagliutenti.
A tal scopo lABI (Associazione Bancaria Italiana) ha stilato una lista di 10 punti chiave nella
prevenzionedelphishing:
1. Diffidate di qualunque e-mail che vi richieda l'inserimento di dati riservati riguardanti codici di
carte di pagamento, chiavi di accesso al servizio di home banking o altre informazioni personali;
2. possibile riconoscere le truffe via e-mail con qualche piccola attenzione: generalmente queste email non sono personalizzate e contengono un messaggio generico di richiesta di informazioni
personali per motivi non ben specificati; fanno uso di toni intimidatori; non riportano una data di
scadenza per l'invio delle informazioni;
3. nel caso in cui riceviate un'e-mail contenente richieste di questo tipo, non rispondete all'e-mail
stessa, ma informate subito la vostra banca tramite;
4. non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi
a un sito contraffatto, difficilmente distinguibile dall'originale;
5. diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali, quali in
particolare @;
6. quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta:
queste pagine sono riconoscibili in quanto l'indirizzo che compare nella barra degli indirizzi del browser
comincia con https:// e non con http:// e nella parte in basso a destra della pagina presente un
lucchetto;
7. diffidate se improvvisamente cambia la modalit con la quale vi viene chiesto di inserire i vostri
codici di accesso all'home banking;
8. controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito per
assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate
la banca e/o l'emittente della carta di credito;
9. le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili
gratuitamente degli aggiornamenti (le cosiddette patch) che incrementano la sicurezza di questi
programmi;
10. Internet un po' come il mondo reale: come non dareste a uno sconosciuto il codice PIN del
vostro bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri
dati riservati senza essere sicuri dell'identit di chi li sta chiedendo.
6
Unaltrotipodireatocherientranellacategoriadellefrodiinformatichelusodelcosiddetto
Dialer.
Il dialer un piccolo programma (pochi kilobyte) appositamente scritto per dirottare la
connessione Internet dellignaro utente verso un altro numero telefonico, spesso di tariffazione
internazionale e comunque sempre molto pi caro rispetto alla comune chiamata telefonica al
numeroPOPdelproprioprovider.
Attraversolutilizzodeldialerilguadagnomultiplo;operatoriditelefonia,societproduttricidei
dialer,webmaster.
Eperdaprecisarechelutentefinale(singolooaziendachesia)vienecolpitodaldialersolonel
momento in cuieffettivamente lo scarica e lo installa sul proprio computer. Il dialer infatti un
normalissimo programma e come tale deve preventivamente essere installato per poter essere
eseguito.
Una volta installato sar il dialer che automaticamente sostituir il numero ordinario di
connessioneconunnumeroatariffazionemaggiorata.
Anche per la frode mezzo dialer, come per il phishing, molto importante linformazione
dellutenza Internet, la quale pu proteggersi da questa truffa attraverso pochi e semplici
accorgimenti.
Ilphishing:analisi,datieprevisioni,<http://www.jei.it/approfondimentigiuridici/notizia.php?ID_articoli=545>
Ilproblemaprincipalecheildocumentoinformaticononvienecompresonellasuaveraessenza
che lo slega dalla materialit; mentre il documento cartaceo lega indissolubilmente contenuto e
Dialer,trojanhorse:cosasinascondedietrounclick,
<http://www.giuristitelematici.it/modules/bdnews/article.php?storyid=104>
8
Daprecisarechelanormativadistinguetrafalsitmaterialeefalsitideologica;laprimaidentificaunanon
corrispondenzatraautoreetesto,lasecondaidentificaunanonveridicitdelledichiarazionicontenutenel
documentostesso.
contenente,neldocumentoinformaticotuttocinonavvieneeddunquelimitativoricondurloal
supportoinformatico.9
Dettocibisognaquindichiarirecosasiintendeperdocumentoinformatico.
Il documento informatico sostanzialmente un documento immateriale e dinamico, ed la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (come definito dal
D.P.R.513/97art1letteraaericonfermatonelD.P.R.445/2000art.1letterab)inquantonon
vialcunadistinzionetraloriginaleelacopia.
Nonsitrattadunquediunmerocambiodisupportorispettoalpreesistentedocumentocartaceo,
madiuncambionellaconcezioneveraepropriadidocumentochenellinformatica,comedetto,
assumeicaratteridirappresentazione.10
Ildocumentoinformaticoacquistaeffettivavalenzalegaleconlalegge59/1997(art.15comma2).
Per poter per essere valido un documento deve poter essere autenticato e se ne deve poter
attribuirelapaternit.
A tale scopo interviene la firma digitale, e nel D.P.R. 513/97 art. 1 lettera b se ne da una
definizione:sintendeper firma digitale, il risultato della procedura informatica (validazione) basata
su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al
sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l'integrit di un documento informatico o di un
insieme di documenti informatici.
Conlafirmadigitaledunquesiattestaanchelintegritedilnonripudiodeldocumento(quindisi
scongiura la falsit materiale), in quanto nella procedura di firma digitale viene generato un
particolarecodicecrittograficoderivantedallamescolanzadeidatiidentificatividelmittentecon
Hackingecriminalitinformaticalapproccionormativoallacriminalitinformatica(capitoloIII),op.cit.
10
Ilfalsoinformatico,
<http://www.filodiritto.com/diritto/privato/informaticagiuridica/falsoinformaticopetruzzelli.htm>
il contenuto vero e proprio del documento (hash); qualora al momento della ricezione vi sia
corrispondenzatraicodicicrittograficiottenuti,siavrebbeconfermadellintegritdeldocumento
edellautenticitdelmittente.
Tuttocivieneconfermatodallart.5delsuddettoD.P.R.513/97,incuisispecificalavaliditquale
scrittura privata del documento informatico sottoscritto con la firma digitale, nonch la sua
efficaciaprobatoria.11
Dunquenelcasoincuiundocumentovengadeliberatamentefalsificato(siafalsitmaterialeche
ideologica)vengonoapplicatelepenedicuiagliarticolicheregolamentanolefalsitinattidelle
scrittureprivateedegliattipubblici(TitoloVII,CapoIII).
IlCodicePenaleregolamentapoiunaterzamacrocategoria,cheriguardalintegritdeidatiedei
sistemi informatici, attraverso vari articoli, tra cui il 635bis sul danneggiamento di sistemi
informatici e telematici, contenuto nel Titolo XIII dei delitti contro il patrimonio, Capo I dei
delitticontroilpatrimoniomedianteviolenzaallecoseoallepersone;
art.635bis(Danneggiamentodisistemiinformaticietelematici):Chiunque distrugge,
deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero
programmi, informazioni o dati altrui, punito, salvo che il fatto costituisca pi grave reato,
con la reclusione da sei mesi a tre anni.
Se ricorre una o pi delle circostanze di cui al secondo comma dell'articolo 635, ovvero se
il fatto commesso con abuso della qualit di operatore del sistema, la pena della
reclusione da uno a quattro anni.
Lart.635bisdelCodicePenaleriproponeilreatodidanneggiamento(previstodallart.635c.p.)in
rapportononsoloalleapparecchiatureinformaticheotelematiche,maancheaidati,informazioni
11
Falsificazionedellafirmadigitale:unrischioevitabile,<http://www.diritto.it/materiali/tecnologie/calabrese.html>
Sitrattadunquediunestensioneneireatididanneggiamentoasistemiinformatici,chetrovaqui
ora un inasprimento nel caso in cui il reato di danneggiamento sia compiuto contro impianti di
pubblica utilit e quindi di pericolo per lordine pubblico e per gli interessi socioeconomici
collettivi.
IlCodicePenaleintervieneancheestendendolart.392aisistemiinformatici(comma3);
art.392(Esercizioarbitrariodelleproprieragioniconviolenzasullecose):Chiunque, al fine
di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da
s medesimo, mediante violenza sulle cose, punito a querela della persona offesa, con la
multa fino a euro 516.
Agli effetti della legge penale, si ha violenza sulle cose allorch la cosa viene danneggiata o
trasformata, o ne mutata la destinazione.
Si ha, altres, violenza sulle cose allorch un programma informatico viene alterato,
modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento
di un sistema informatico o telematico.
A tal riguardo viene punito colui che ricorre al regolamento di conti attraverso luso della
violenzasullecosealfinedimanifestareunpretesodiritto.
Riferitoallinformaticasitrattadellalterazione,modificaocancellazioneintuttoodinpartediun
programmaalfinediturbarneilcorrettofunzionamento.12
Interessantedaanalizzareinfinelart.615quinquies,attraversocuisimeglioprecisaunaspetto
gi genericamente affrontato dallart. 635bis. Contenuto nel Titolo XII dei delitti contro la
persona, Capo III dei delitti contro la libert individuale, Sezione IV dei delitti contro la
inviolabilitdeldomicilio,recita:
art.615quinquies(Diffusionediprogrammidirettiadanneggiareointerrompereunsistema
informatico):Chiunque diffonde, comunica o consegna un programma informatico da lui
stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema
informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti,
ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, punito con la
reclusione sino a due anni e con la multa sino a euro 10.329.
12
S.Nespor,A.DeCesaris,InternetelaLegge,Hoepli,2001,pp.363364
IlfattochevisiaunarticolodelCodicePenaleunicamentededicatoaquestatipologiadisoftware,
evidenziacomeladiffusionestessadiquestimalwaresiamoltoalta.
Le categorie che rientrano sotto letichetta di malware sono molte ma, in linea generale, sono
tutte accomunate dal medesimo scopo di danneggiare un sistema informatico (specialmente in
riferimentoallasuapartesoftware).
Lacategoriadimalwarepidiffusaeconosciutaquelladeivirus,specialipartidicodicechesi
diffondonocopiandosiallinternodialtriprogrammi,inmodotaledaessereeseguitiognivoltache
ilfileinfettovieneaperto.13
La diffusione dei virus legata alla trasmissione di questi file infetti, che pu avvenire sia
attraversocomunisupportidimemorizzazionemagnetoottica,siaattraversounadistribuzionesu
reti telematiche. Queste ultime, in special modo Internet, hanno poi dato terreno fertile alla
diffusionedialtrimaliciouscode,tracuiworm,trojanhorse,backdoorespyware,solopercitarei
picomuni.
Attraverso lart. 615quinquies si mira dunque a reprimere la diffusione di questi codici maligni
(indipendentemente dalla scopo per cui sono creati), e costituisce reato la distribuzione di
supporti contenenti malware, o la loro diffusione attraverso reti telematiche (non pertanto
punitalacreazioneolasemplicedetenzioneditalisoftware).
Daprecisareperchetalereatopunitosoloqualoravisiadoloenonlonelmomentoincuisi
accerti una condotta meramente colposa. Ci serve a scagionare tutti quegli individui che si
vedonovittimeignareedinconsapevolidelladiffusionedeimalware(conparticolareriferimento
agliworm,chesiriproduconosenzailconsensodellutenteedasuainsaputa).
13
Malware,<http://it.wikipedia.org/wiki/Malware>
Inoltre lart. 615quinquies individua un reato di pericolo, in cui non necessariamente si deve
verificareunadistruzione(parzialeototale),comeinveceavvienenelcasodellart.635bis(reato
dievento).14
Dal punto di vista della prevenzione possibile ricorrere allutilizzo di software quali antivirus,
antispyware, ecc. che, se opportunamente aggiornati, sono in grado di segnalare allutente
leventualepresenzadisoftwaremaligni.
Ultima macrocategoria dei reati informatici quella inerente la riservatezza dei dati e delle
comunicazioniinformatiche.
IntaleambitoilCodicePenaleintervieneconlintentodireprimereformediintrusionenellasfera
privataaltrui.
Il primo provvedimento previsto dalla legge 547/93 in materia di riservatezza dei dati e delle
comunicazioniinformatichequelloadottatoconlart.615terdelCodicePenale
accessoabusivoadunsistemainformaticootelematico,TitoloXIIdeidelitticontrolapersona,
CapoIIIdeidelitticontrolalibertindividuale,SezioneIVdeidelitticontrolainviolabilitdel
domicilio;
art.615ter(Accessoabusivoadunsistemainformaticootelematico): Chiunque
abusivamente si introduce in un sistema informatico o telematico protetto da misure di
sicurezza ovvero vi si mantiene contro la volont espressa o tacita di chi ha il diritto di
escluderlo, punito con la reclusione fino a tre anni.
La pena della reclusione da uno a cinque anni:
1) se il fatto commesso da un pubblico ufficiale o da un incaricato di un pubblico
servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio,
14
Ildelittodidiffusionediprogrammidirettiadanneggiareointerrompereunsistemainformatico,
<http://www.computerlaw.it/public/perfetti_615quinquies.pdf>
Con questo articolo si vuole tutelare il sistema informatico, inteso qui come vera e propria
estensione del domicilio dellindividuo, al fine di proteggerlo da accessi non autorizzati e da
permanenzanongradita(tutelaperaltrogarantitadallart.14dellaCostituzioneItaliana15).
Cicheimmediatamentesicogliedallart.615tercheunsistemaperpotersubireunaccesso
abusivo, deve essere protetto da una qualsivoglia forma di sicurezza (sia essa una forma di
protezionelogicaadesempionomeutenteepasswordofisicavigilantesoporteblindatea
protezione dei sistemi informatici;ed daltronde questo il caso in cui si pu applicare il punto
duedelsecondocomma)16,ecipresupponeunpalesatointeressedellindividuoavolertutelarei
propri dati (ed in ci si distingue anche la differenza del domicilio informatico da quello reale
tutelato dallart. 614 c.p.; essendo infatti il domicilio informatico un luogo estremamente
15
LaCostituzionedellaRepubblicaItaliana,<http://www.quirinale.it/costituzione/costituzione.htm>
16
Interpretazionedellarticolo615terdelCodicePenale,<http://www.diritto.it/materiali/penale/merola.html>
flessibileedaperto,nonsipututelareildomicilioaprioriinquantotale,masidevetutelaresolo
cicheesplicitamenteiltitolarehadecisochedeverimanereriservato,etalevolontesplicita
manifestataattraversoladozionediunamisuradisicurezza).
Nelcasoinfattiincuiilsistemainformaticononsiaprotettoinalcunmodononpusussistereil
reatodiaccessoabusivo.
Da precisare inoltre che con lart. 615ter non si fa alcun riferimento ad eventuali danni causati
dallaccessoabusivoalsistema(questionegiaffrontataconlart.635bis),masimiraareprimere
esclusivamentelattodiaccessoadunsistemaperilqualenonsihannoidirittiperaccedervioper
permanervioltreladuratastabilitadaltitolaredelsistema.17
Cichedunqueappareimportanteallalucedellart.615terlasalvaguardiadeidaticontenuti
allinternodelpropriodomicilioinformatico.
Dalpuntodivistadellaprevenzioneappareevidentechetralepossibilisoluzioniperscongiurare
unaccessoabusivo,cisiaquelladiregolarelaccessoperselezione(o,dicontro,peresclusione).
Atalriguardounadellepisemplicimisuredaadottarequelladiimpostareunaccountdotatodi
nome utente e password di accesso. Altra soluzione, pi dispendiosa ma anche pi efficace,
quelladidotarsidiunfirewallalfinedicontrollaregliaccessi.18
In ogni caso, come gi specificato, occorre che sia presente un, seppur minimo, sistema di
protezionealfinedipoterparlarediaccessoabusivoinrelazioneallart.615terc.p.19
Altre disposizioni del Codice Penale in materia di riservatezza dei dati e delle comunicazioni
informatiche,lesipossonoriscontrarenellart.615quater:
17
Ireatiinformaticinellordinamentoitaliano,<http://www.oilproject.org/logs/dispense/diritto_penale_reati.pdf>
18
Sicurezzainformatica,<http://it.wikipedia.org/wiki/Sicurezza_informatica>
19
SentenzaCortediCassazioneSezVI,27ottobre2004(dep.30novembre2004),n.46509,
<http://www.penale.it/page.asp?mode=1&IDPag=174>
art.615quater(Detenzioneediffusioneabusivadicodicidiaccessoasistemiinformaticio
telematici):Chiunque, al fine di procurare a s o ad altri un profitto o di arrecare ad altri
un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole
chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da
misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo,
punito con la reclusione sino ad un anno e con la multa sino a euro 5.164.
La pena della reclusione da uno a due anni e della multa da euro 5.164 a euro 10.329
se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo
617-quater.
Anchelart.615quatercompreso(comeil615ter)nelTitoloXIIdeidelitticontrolapersona,
CapoIIIdeidelitticontrolalibertindividuale,SezioneIVdeidelitticontrolainviolabilitdel
domicilio.Adifferenzadellart.615terper,lart.615quaterfariferimentoalpossessoindebito
edalleventualediffusionedicodicidiaccessoenonilloroutilizzoaifinidiunaccessoabusivo.
Tale articolo punisce dunque la detenzione non autorizzata di codici di accesso (con codici di
accessosiintendonononsolopasswordmaancheP.I.N.,smartcardcriptateoeventualisistemi
biometrici, come le impronte digitali ed il riconoscimento vocale), ma anche la loro diffusione
illecitaaterzinonautorizzati.Inoltrecontemplatoqualereatoancheladiffusionediistruzioni
tecnichesucomeeludereodottenereisuddetticodicidiaccesso.20
Inognicasononsufficienteladetenzioneoladiffusionedicodiciillecitiperpoterincorrerenelle
pene previste dallarticolo in questione, ma necessario che da tale detenzione o diffusione ne
deriviunprofittopersoperaltrioaltresundannoaterzi.
Sempre in riferimento alla macrocategoria sulla riservatezza dei dati e delle comunicazioni
informatiche, il Codice Penale individua nellart. 621 (Titolo XII dei delitti contro la persona,
20
Diffusioneedetenzioneabusivadicodicidaccesso,<http://www.studioferragina.com/mdb
database/ecrimes/detabucod.PDF>
Sezione V dei delitti contro la inviolabilit dei segreti) un ulteriore forma di protezione della
riservatezzadeipropridocumenti;
art.621(Rivelazionedelcontenutodidocumentisegreti):Chiunque, essendo venuto
abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o
documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa,
ovvero lo impiega a proprio o altrui profitto, punito, se dal fatto deriva nocumento, con la
reclusione fino a tre anni o con la multa da euro 103 a euro 1.032.
Agli effetti della disposizione di cui al primo comma considerato documento anche
qualunque supporto informatico contenente dati, informazioni o programmi.
Il delitto punibile a querela della persona offesa.
Lalegge547/93estendelart.621c.p.ancheaidocumentiinformatici,rendendodifattopunibile
come reato la rivelazione del contenuto di documenti riservati e da cui se ne trae un indebito
profittopersoperaltri,oltrechundannoperiltitolaredellostesso.
Pinellospecificodellambitoinformaticoentranogliartt.617quater,617quinquiese617sexies
(TitoloXIIdeidelitticontrolapersona,SezioneVdeidelitticontrolainviolabilitdeisegreti),i
qualitutelanolariservatezzadellecomunicazioniinformatichepropriocomenellostessoCodice
Penalesonotutelatelecomunicazionipermezzodiapparecchiaturetelefoniche,telegraficheed
epistolari attraverso gli artt. 617 e ss. Il fine ultimo di tali articoli comunque quello espresso
attraverso lart. 616 c.p. sulla Violazione, sottrazione e soppressione della corrispondenza,
sostenuto,tralaltro,anchedallart.15dellaCostituzioneItalianasullalibertesegretezzadella
corrispondenzaedellacomunicazione.
Nellospecificogliartt.617quater,617quinquiese617sexies:
art.617quater(Intercettazione,impedimentoointerruzioneillecitadicomunicazioni
informaticheotelematiche):Chiunque fraudolentemente intercetta comunicazioni relative ad
un sistema informatico o telematico o intercorrenti tra pi sistemi, ovvero le impedisce o le
art.617quinquies(Installazionediapparecchiatureatteadintercettare,impedireo
interromperecomunicazioniinformaticheotelematiche):Chiunque, fuori dai casi consentiti
dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra pi
sistemi, punito con la reclusione da uno a quattro anni.
La pena della reclusione da uno a cinque anni nei casi previsti dal quarto comma
dell'articolo 617-quater.
art.617sexies(Falsificazione,alterazioneosoppressionedelcontenutodicomunicazioni
informaticheotelematiche):Chiunque, al fine di procurare a s o ad altri un vantaggio o
di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in
parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative
ad un sistema informatico o telematico o intercorrenti tra pi sistemi, punito, qualora ne
faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.
La pena della reclusione da uno a cinque anni nei casi previsti dal quarto comma
dell'articolo 617-quater.
Gliarticolisiriferisconochiaramenteatuttequelleformedicomunicazioneinformaticapercui
previstaunaidentificazionebenprecisadei/deldestinatario(es.email,chatdiretteadunutente
preciso,ecc),incuicioesisteunarealeformadicorrispondenzainviolabile,laqualenonesiste
inveceperleformedicomunicazioneincuiidestinatarinonsonobendefinibiliespecificati(es.
sitipubblicidelworldwideweb,chatpubbliche,ecc.).21
A tal proposito viene invece a tutela lart. 21 della Costituzione Italiana (inerente la libert di
manifestareilpropriopensiero).
Dettociappareevidentecomeilreatodicuiallart.617quinquiessidispongainunaposizione
prodromica rispetto allart. 617quater, in quanto il primo si colloca in una fase antecedente
lintercettazione vera e propria e non necessaria la prova dellavvenuta intercettazione,
interruzione o impedimento della comunicazione, essendo sufficiente accertare lobiettiva
potenzialit lesiva dellapparecchiatura. Nel caso in cui avvenga poi leffettiva intercettazione,
interruzioneoimpedimento,siprocedersecondoquantoprevistodallart.617quater.
Conlart.617sexiessimirainveceasanzionarelimpiegoelarivelazionepubblicadeicontenuti
precedentementeintercettati,nonchlalorofalsificazione,alterazioneosoppressioneascopodi
profittooadannodialtri,condizionenecessariaperchsussistailreato.
Da precisare poi, ai fini soprattutto dellart. 617quater, che lintercettazione si verifica nel
momento in cui si carpisce, in maniera fraudolenta ed allinsaputa dei soggetti coinvolti nella
comunicazione, il contenuto del messaggio trasmesso. Qualora i soggetti coinvolti nella
comunicazioneautorizzinolintercettazioneilreatononsussisterebbe.22
21
Ireatiinformaticinellordinamentoitaliano,op.cit.
22
Ladisciplinapenaledegliillecitiinmateriaditecnologieinformatiche,<http://www.traniius.it/opinioni/Pica5.html>
Conlart.623bissivuolesemplicementeestendereilcampodiriferimentodegliarticolisinqui
discussi(edappartenentiallasezionedeidelitticontrolainviolabilitdeldomicilio)aqualunque
tipoditrasmissione,siaessa,indifferentemente,didati,suonioimmagini.
23
Hackingecriminalitinformaticalapproccionormativoallacriminalitinformatica(capitoloIII),op.cit.
24
Crittografiaasimmetrica,<http://it.wikipedia.org/wiki/Crittografia_asimmetrica>
Contaleprecisazionesicercadientrareinlineaconquellichesonoglisviluppidellamultimedialit
edingeneraledellinformaticapirecente,basatasullaconvergenzadeivarimediaesulla
continuainnovazionedelletecnologieditrasmissione.25
REGOLAMENTAZIONECOMUNITARIAINMATERIADIREATIINFORMATICI
DalleanalisisuireatiinformaticiprevistidalCodicePenaleitaliano,appareevidentecomecisiaun
forteinteresseneldisciplinaretaliilleciti.
Tali provvedimenti normativi tendono per a perdere la loro efficacia se non correttamente
supportatidaprovvedimentialivellocomunitario.
Ilprincipaleproblemaderivantedallaregolamentazionedelcrimineinformaticoderivainfattidalla
suaaterritorialit.
Sipongonodunqueproblemichesicollocanoadiversilivelli:
1alivelloinvestigativo(ampioterrenodamonitorare);
2alivelloprocessuale(chicompetenteafarecosa);
3alivellodidirittopenale(aqualeleggepenale,diqualeStato,bisognafareriferimento).26
EmergedunquelanecessitdidotarelUnioneEuropeadiunanormativachesappiaarmonizzare
le varie disposizioni nazionali, al fine di rendere pi omogeneo ed efficace lintervento sui
computercrimes.
25
CodicePenale,<http://www.altalex.com/index.php?idnot=36653>
26
S.Nespor,A.DeCesaris,InternetelaLegge,op.cit.,pp.349351
Eapartiredal1997chesisentelesigenzadiarmonizzareconcretamentelenormativenazionalia
livellocomunitario,dapprimaconlarisoluzionesulleprioritdellacooperazioneneisettoridella
giustiziaedegliaffariinterni,incuisispecificalanecessitdicombattereilcrimineinformatico
attraverso gli strumenti informatici stessi, poi con il documento definito dal Gruppo
multidisciplinare contro la criminalit organizzata, in cui si prevedono misure e strategie di
coordinamentotransnazionali.
Nel 1999 si svolge poi a Tampere ilprimo Consiglio europeo (con 15 Stati membri) interamente
dedicatoalsettoreGiustiziaeaffariinterni,esoprattuttoaireatilegatiallutilizzodelletecnologie;
a tal riguardo si indica espressamente che lobiettivo primo quello di dotarsi di sanzioni
comuni.27
EperconlaConvenzionediBudapestsulcybercrime(firmatail23novembre2001)chesivuole
dareunapidecisasferzataallalottacontroilcrimineinformatico.28
Atalpropositorecente(20febbraio2008)lapprovazione,allaCameradeiDeputati,deldisegno
di legge (proposto in data 19 giugno 2007) di ratifica ed esecuzione della Convenzione del
ConsigliodEuropasullacriminalitinformatica.29
LeprincipalimodifichealCodicePenaleriguardano:
Lart. 635bis (Danneggiamento di informazioni, dati e programmi informatici) stato
affiancato dagli artt. 635ter (Danneggiamento di informazioni, dati e programmi
informaticiutilizzatidalloStatoodaaltroentepubblicoocomunquedipubblicautilit)e
635quater(Danneggiamentodisistemiinformaticiotelematici).Cicheemergeuna
27
LazionedellUnioneeuropeanelcampodellalottacontrolacriminalitadaltatecnologia,
<http://www.giustizia.it/cassazione/convegni/dic2000/salazar.pdf>
28
Convenzionesullacriminalitinformatica,
<http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=3/16/2007&CL=ITA>
29
Disegnodileggen.2807,<http://www.camera.it/_dati/lavori/stampati/pdf/15PDL0031070.pdf>
30
LacameraapprovalaratificadellaconvenzionedelConsigliodEuropasullacriminalitinformatica,
<http://www.agatinogrillo.it/content/domaninellabattagliapensamedijaviermarias?q=node/307>
31
Convenzionesulcybercrime,ratificapivicina,<http://puntoinformatico.it/2197407/PI/News/LItaliaharatificato
laConvenzionesulcybercrime/p.aspx>
32
La"decisionequadro"utilizzataperravvicinareledisposizionilegislativeeregolamentaridegliStatimembri.Essa
puesserepropostasuiniziativadellaCommissioneodiunoStatomembroedeveessereadottataall'unanimit.
VincolagliStatimembriperquantoriguardailrisultatodaraggiungere,salvarestandolacompetenzadegliorgani
nazionaliinmeritoallaformaedaimezzidaimpiegareatalfine.
Disicurointeresse,edassaiesplicativi,risultanoesserealcunideiconsiderandoditaleDecisione
Quadro(chesirivolgeai25Statimembri):
(1)Lobiettivodellapresentedecisionequadroquellodi
migliorarelacooperazionetraleautoritgiudiziariee
lealtreautoritcompetentidegliStatimembri,compresi
lapoliziaeglialtriservizispecializzatiincaricatidellapplicazione
dellalegge,medianteilravvicinamentodelle
legislazionipenalidegliStatimembrinelsettoredegli
attacchicontroisistemidiinformazione.
(5)Lerilevantilacuneelenotevolidifferenzenellenormative
degliStatimembriinquestosettorepossonoostacolare
lalottacontrolacriminalitorganizzataedil
terrorismoecomplicareunefficacecooperazionegiudiziaria
edipolizianelcampodegliattacchicontroisistemi
diinformazione.Ilcaratteretransnazionaleesenza
frontieredeimodernisistemidiinformazionefaschegli
attacchicontrotalisistemisianospessodinaturatransnazionale,
erendeevidentelanecessitdiadottareurgentemente
azioniulterioriperilravvicinamentodelle
legislazionipenaliinquestosettore.
(8)Lelegislazionipenalinelsettoredegliattacchiaidannidi
sistemidiinformazionedovrebberoessereravvicinateal
finedigarantirelacooperazionegiudiziariaedipolizia
piampiapossibilenelsettoredeireatiattinentiagli
attacchiaidannidisistemidiinformazione,edicontribuire
allalottacontrolacriminalitorganizzataedil
terrorismo.
33
DecisioneQuadro2005/222/GAI,<http://europa.eu.int/eur
lex/lex/LexUriServ/site/it/oj/2005/l_069/l_06920050316it00670071.pdf>
34
Reatiinformaticieattivitdiindagine,<http://www.convegnovarenna.giuristitelematici.it/relazioni/galdieri.pdf>
Appare dunque evidente come lo scopo principe di questa Decisione Quadro sia quello di
armonizzare e rendere effettiva la cooperazione a livello transnazionale al fine di poter
combattere il cyber crimine che, per antonomasia, transfrontaliero e necessita dunque di una
normativapiserrataedefficace.
Per quanto riguarda il corpus effettivo della Decisione Quadro, appare molto interessante il
secondo paragrafo dellart. 8 (Responsabilit delle persone giuridiche), in cui si sostiene la
punibilitpenaledellaziendachenonattuaunacorrettasorveglianzaenonapplicaidoneemisure
disicurezzae,datalsuperficialit,nederiviunvantaggioperlastessa.
AltradisposizioneprevistadallaDecisioneQuadroquelladicuiallart.10,incui sistabiliscela
competenzagiurisdizionaleperogniStatomembroincasoconcorranounodeiseguentiparametri:
a)ilreatostatocommessointeramenteoinpartesulsuolodelloStatomembro;
b)ilreatostatocommessodaunsuocittadino;
c)ilreatostatocommessoabeneficiodiunapersonagiuridicachehasedelegalenelterritorio
delloStatomembro.
Alsecondoparagrafoditalearticolosispecificainoltre,inrelazioneallaletteraa),cheperstabilire
lapropriacompetenzagiurisdizionaleesistonoduediversicasi:
1 Il reato stato compiuto da una persona fisicamente presente sul territorio dello Stato
membro,indipendentementedadovesitrovavanoisistemiinformaticiattaccati;
2 Il reato stato compiuto ai danni di un sistema informatico residente sul territorio dello
Statomembro,indipendentementedalluogofisicoincuisitrovavalautoredelreato.
Talespecificazioneprevistadalsecondoparagrafodellart.10,consentediestenderelatutelaagli
attacchiinformaticinonsoloagliStatiUEmaancheagliStatiextraUE.35
35
NuoveresponsabilitesanzioniperleAziende:ireatiinformaticiriconducibiliadomessocontrollo,
<http://www.globaltrust.it/documents/legaldoc/giurisprudenza/commenti/Commmento_Frattallone_decisione_2005
_222_GAI.pdf>
CONCLUSIONI
Proprio a partire dalle ultime considerazioni in merito ai provvedimenti a livello comunitario, si
evince come la battaglia contro i crimini informatici debba necessariamente passare attraverso
unaserrataedarmonicacollaborazionealivellotransnazionale.
Tutti gli sforzi che, in questo campo, vengono compiuti dai singoli Paesi membri dellUnione a
livellonazionale,devonotrovareunaloroespressioneanchealivellocomunitario.
Arendereparticolarmenteimportante,quantocomplessa,larmonizzazionealivellocomunitario,
certamentelaparticolarecaratteristicadiextraterritorialitdellenuoveretitelematiche.
Ireaticompiutiamezzoinformatico,comesivisto,sonospessoslegatidalterritorioedunque
diventa particolarmente complesso riuscire a punire il reato senza una normativa comune ed
omogeneatraivariStatimembri.
Bench lItalia, nel caso specifico, sembra essersi dotata di un buon apparato legislativo nei
confronti dei cyber crimes, comunque doveroso sottolineare che tutti i provvedimenti in
questionedevonopoteressereapplicatialdildeipropriconfininazionali,penaunrendere,se
noninutili,quantomaivanituttiglisforzipostiinessere.
Per ultimo, ma non certo per importanza, quanto mai importante coltivare, ai fini di una
gradualeriduzionedelcrimineinformaticoedinparalleloallosviluppocoordinatodellenormative
transnazionali,unanuovaculturainformatica,chesappiabeninformareesensibilizzarelutenza
suivantaggimaanchesuirischichepossibilecorrereattraversounincautoutilizzodellenuove
tecnologielegateallinformaticaedallatelematica.
Dr Mauro Ventura
BIBLIOGRAFIA e SITOGRAFIA
CodicePenale,<http://www.altalex.com/index.php?idnot=36653>
Convenzioneeuropeaperlasalvaguardiadeidirittidelluomoedellelibertfondamentali,
<http://www.giustizia.it/pol_internaz/tutela/ce_salv_diritti.htm>
Convenzionesulcybercrime,ratificapivicina,<http://puntoinformatico.it/2197407/PI/News/L
ItaliaharatificatolaConvenzionesulcybercrime/p.aspx>
Convenzionesullacriminalitinformatica,
<http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=3/16/2007
&CL=ITA>
Crittografiaasimmetrica,<http://it.wikipedia.org/wiki/Crittografia_asimmetrica>
DecisioneQuadro2005/222/GAI,
<http://europa.eu.int/eur
lex/lex/LexUriServ/site/it/oj/2005/l_069/l_06920050316it00670071.pdf>
Dialer,trojanhorse:cosasinascondedietrounclick,
<http://www.giuristitelematici.it/modules/bdnews/article.php?storyid=104>
Diffusioneedetenzioneabusivadicodicidaccesso,
<http://www.studioferragina.com/mdbdatabase/ecrimes/detabucod.PDF>
Direttiva2006/24/CE,<http://www.garanteprivacy.it/garante/document?ID=1485189>
Disegnodileggen.2807,<http://www.camera.it/_dati/lavori/stampati/pdf/15PDL0031070.pdf>
Falsificazionedellafirmadigitale:unrischioevitabile,
<http://www.diritto.it/materiali/tecnologie/calabrese.html>
Hackingecriminalitinformaticalapproccionormativoallacriminalitinformatica(capitoloIII),
<http://www.altrodiritto.unifi.it/devianza/tavassi/nav.htm?cap3.htm>
Ireatiinformaticinellordinamentoitaliano,
<http://www.oilproject.org/logs/dispense/diritto_penale_reati.pdf>
Ildelittodidiffusionediprogrammidirettiadanneggiareointerrompereunsistemainformatico,
<http://www.computerlaw.it/public/perfetti_615quinquies.pdf>
Ilfalsoinformatico,
<http://www.filodiritto.com/diritto/privato/informaticagiuridica/falsoinformaticopetruzzelli.htm>
Ilphishing:analisi,datieprevisioni,
<http://www.jei.it/approfondimentigiuridici/notizia.php?ID_articoli=545>
S.Nespor,A.DeCesaris,InternetelaLegge,Hoepli,2001
Interpretazionedellarticolo615terdelCodicePenale,
<http://www.diritto.it/materiali/penale/merola.html>
LazionedellUnioneeuropeanelcampodellalottacontrolacriminalitadaltatecnologia,
<http://www.giustizia.it/cassazione/convegni/dic2000/salazar.pdf>
LacameraapprovalaratificadellaconvenzionedelConsigliodEuropasullacriminalit
informatica,<http://www.agatinogrillo.it/content/domaninellabattagliapensamedijavier
marias?q=node/307>
LaCostituzionedellaRepubblicaItaliana,<http://www.quirinale.it/costituzione/costituzione.htm>
Ladisciplinapenaledegliillecitiinmateriaditecnologieinformatiche,
<http://www.traniius.it/opinioni/Pica5.html>
Malware,<http://it.wikipedia.org/wiki/Malware>
NuoveresponsabilitesanzioniperleAziende:ireatiinformaticiriconducibiliadomessocontrollo,
<http://www.globaltrust.it/documents/legaldoc/giurisprudenza/commenti/Commmento_Frattallo
ne_decisione_2005_222_GAI.pdf>
NuovetecnologieNuovecriminalit,
<http://www.reportonline.it/modules.php?name=News&file=print&sid=2122>
OCSE,LineeguidadellOCSEsullasicurezzadeisistemiedelleretidinformazione,
<http://www.oecd.org/dataoecd/16/23/15582268.pdf>
Reatiinformaticieattivitdiindagine,
<http://www.convegnovarenna.giuristitelematici.it/relazioni/galdieri.pdf>
SentenzaCortediCassazioneSezVI,27ottobre2004(dep.30novembre2004),n.46509,
<http://www.penale.it/page.asp?mode=1&IDPag=174>
Sicurezzainformatica,<http://it.wikipedia.org/wiki/Sicurezza_informatica>