




























































































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Sbobine delle lezioni del corso di diritto penale dell'informatica
Tipologia: Dispense
1 / 103
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!





























































































Si è iniziato a parlare di reati informatici negli anni ’70 quando sono emerse delle nuove modalità di aggressione a beni giuridici, già tutelati nell’ordinamento, ma che le norme, così come scritte all’interno del Codice penale, non erano in grado di sanzionare. Questo era dovuto al fatto che è vero che la protezione era rivolta agli stessi beni giuridici ma le modalità erano diverse e il diritto penale non può essere interpretato in via analogica, soprattutto se l’analogia è in malam partem. Il divieto di interpretazione analogica nel diritto penale discende dal principio di legalità. L’interpretazione del diritto penale è tassativa e questo comportava che, per esempio, la truffa non poteva essere applicata a nuove forme di aggressione al patrimonio come la frode informatica in cui non c’è l’induzione in errore di una persona, ma si tratta di una manomissione di dati all’interno di un sistema informatico che produce un risultato che non è quello inizialmente previsto e che quindi porta ad un pregiudizio. L’aggressione era sempre al patrimonio ma con modalità differenti che non potevano rientrare nella truffa. Si avevano delle fattispecie incriminatrici che non erano più idonee a tutelare queste nuove forme di aggressione attraverso sistemi informatici. Si inizia, allora, a cercare una definizione da dare a questo nuovo fenomeno: la definizione serviva, da un lato, per giustificare la creazione di nuove fattispecie incriminatrici e, dall’altro lato, aiutava l’interprete ad ascrivere a una certa categoria tutti gli abusi dell’informatica che gli si presentavano davanti. Ci sono state diverse opinioni e tutta la dottrina ha provato ad ipotizzare delle definizioni da dare alla criminalità informatica. Inizialmente si è pensato che potesse essere definita come una manifestazione della criminalità attraverso conoscenze della tecnologia informatica : i reati informatici potevano essere commessi soltanto se si avevano determinate conoscenze informatiche (a differenza di altri reati che potevano essere compiuti da chiunque). Questa definizione non andava bene perchè lasciava fuori una serie di reati che pure potevano essere ascritti alla categoria dei reati informatici, ma che non prevedevano nessuna conoscenza particolare dell’informatica. Un esempio era l’abuso di carte magnetiche di pagamento: tutti possono utilizzare una carta di pagamento falsa e prelevare soldi, non c’è bisogno di avere conoscenze informatiche particolari, ciò nonostante rientra tra i reati informatici. Era necessaria una definizione che potesse ricomprendere tutte le varie aggressioni attraverso l’abuso dell’informatica. La successiva definizione proposta era quella che definiva la criminalità informatica come l’insieme di reati che prevedevano il coinvolgimento dell’elaboratore elettronico (computer o sistema informatico) nella realizzazione del fatto. Anche questa definizione non era esaustiva perchè non esplicitava chiaramente il significato di coinvolgimento : per esempio, nel furto di un computer, è coinvolto un elaboratore informatico, ma non per questo è necessario introdurre un nuovo reato specifico per sanzionare quel comportamento in quanto è sufficiente il reato di furto (nulla cambia rispetto al furto di una bicicletta). Di conseguenza, si è cercato di restringere questa definizione stabilendo che non rientrasse nella categoria ogni reato che prevedeva il coinvolgimento di un elaboratore elettronico, ma solo i reati in cui il computer è l’oggetto o lo strumento dell’azione.
Anche questo restringimento della definizione non era sufficiente perchè, in realtà, se viene rubato, per esempio, il monitor di un pc, questo è l’oggetto dell’azione ma ciò non toglie che possa rinterrate nel delitto di furto. Anche questa terza definizione viene superata e si arriva ad una quarta proposta in cui la definizione si incentra sull’utilizzo della tecnologia informatica: secondo questa definizione rientrerebbero nella criminalità informatica tutti quei reati che prevedono l’uso di un computer o di una conoscenza informatica. Anche questa definizione, che sembrava essere quella più corretta, non andava bene perché non faceva rientrare in sé alcune condotte come quella dell’utilizzo di una calamita (che non è un oggetto informatico), avvicinata ad un elaboratore informatico, per danneggiare i dati contenuti all’interno della memoria dell’elaboratore. Si arriva quindi alla conclusione che non era possibile dare una definizione unitaria, su cui tutti fossero concordi, di criminalità informatica, e se anche fosse stata data una definizione questa sarebbe stata troppo generica e avrebbe ricompreso anche condotte che nulla c’entravano con la criminalità informatica. Nello studio sulla criminalità informatica svolto in seno all’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) negli anni ’80 è sembrato più opportuno il riferimento diretto a una precisa tipologia di abusi: non era tanto necessario dare una definizione che potesse ricomprendere in sé tutte le varie tipologie di abuso dell’informatica, ma andare ad indicare direttamente quali fossero le manifestazioni della criminalità informatica che dovevano essere sanzionate specificamente dal legislatore. Posta questa premessa, un ruolo propulsivo fondamentale allo sviluppo del diritto penale dell’informatica arriva dalla Raccomandazione del Consiglio d’Europa n. 9 del 13 settembre 1989 sulla criminalità informatica e prevede una ricognizione completa delle diverse manifestazioni della criminalità informatica. Il Consiglio d’Europa, attraverso questa Raccomandazione, suggerisce alle varie legislazioni nazionali quali devono essere le fattispecie di reato da introdurre all’interno dei loro codici per poter andare a tutelare quei beni giuridici, come il patrimonio, che, pur essendo già oggetto di tutela, non venivano correttamente tutelati quando aggrediti attraverso un sistema informatico. L’Italia ha dato immediatamente esecuzione a questa Raccomandazione introducendo quasi tutte le fattispecie incriminatrici suggerite, ma non tutti gli Stati hanno fatto altrettanto. Le diverse condotte vengono ripartite in due gruppi (la Raccomandazione contiene due liste):
Si tratta di divulgare o utilizzare senza diritto un segreto commerciale o industriale con l’intenzione di recare un pregiudizio alla persona che ne è titolare.
3. L’utilizzazione non autorizzata di un elaboratore : in questo caso la tutela è più rivolta al possibile danneggiamento di quell’elaboratore. Il soggetto utilizza un elaboratore che non è di sua proprietà e accetta il rischio di cagionare un pregiudizio al legittimo proprietario. 4. Utilizzazione non autorizzata di un programma informatico protetto. La Raccomandazione non fa altro che promuovere i reati informatici nel senso di sollecitare l’attenzione dei legislatori nazionali a prendere in considerazione specificamente queste tipologie di condotte anche se quel legislatore è già intervenuto precedentemente e ha già inserito dei reati per andare a sanzionare la criminalità informatica. Era necessario creare una politica legislativa, quindi delle leggi, uniforme in tutti gli Stati per evitare, da un lato, che ci fossero dei paradisi informatici cioè Stati in cui quel tipo di condotta non era sanzionata, e dall’altro lato per creare una stretta collaborazione tra Stati anche perchè i reati informatici sono molto spesso transnazionali. Visto il carattere transnazionale del fenomeno era fondamentale creare una sinergia e una collaborazione tra gli Stati, ma la premessa è che in entrambi gli Stati quella condotta sia sanzionata. Successivamente, la criminalità informatica è oggetto di studio del XV Congresso dell’Associazione Internazionale di Diritto Penale (AIDP) del settembre 1994. Questo studio è molto importante perchè confluisce in una relazione in cui si conferma quanto già suggerito nella Raccomandazione. Inoltre, si suggerisce agli Stati di considerare le liste contenute nella Raccomandazione come una lista unitaria e quindi di ragionare anche sulle condotte previste nella lista facoltativa come se fossero tanto gravi da necessitare la repressione penale. Si suggerisce anche un ampliamento dei tipi di abuso dell’informatica meritevoli di tutela e si suggerisce di andare a reprimere anche: - (^) Il commercio di codici di accesso : serve ad anticipare la tutela sull’accesso abusivo. - (^) La diffusione di programmi virus : è un’anticipazione di tutela rispetto al danneggiamento informatico. La tecnologia ha vissuto a partire dagli anni ’70, quando si è iniziato a parlare di criminalità informatica, una rapida evoluzione tanto che quei reati, che inizialmente erano visti come pericolosi ma in una dimensione che non era come quella attuale, vengono ad assumere una dimensione completamente diversa. A questo cambiamento contribuisce l’utilizzo della rete, la diffusione di internet: tutti i reati elencati nella Raccomandazione possono essere realizzati attraverso internet. Questo aumenta la pericolosità di questi reati tanto che il termine criminalità informatica viene ritenuto non più sufficiente e quindi sostituito dal termine cybercrime. Con cybercrime si intendeva evidenziare il fatto che il luogo privilegiato di diffusione di questi reati fosse la rete. Il rapido evolversi della tecnologia porta ad una nuova attenzione a livello internazionale tanto che nel 2001 si ha la Convenzione di Budapest sul Cybercrime del Consiglio d’Europa. Non si tratta più di una Raccomandazione ma di una convenzione. Questo ha come conseguenza il fatto che: - (^) Ha una forza vincolante : i legislatori nazionali devono adattare la propria normativa interna a questa convenzione; - (^) Ha l’ obiettivo di armonizzare le legislazioni nazionali : l’Italia aveva introdotto nuove fattispecie di reato per dare attuazione alle Raccomandazione, ma questo non è stato fatto da tutti gli Stati. inoltre, anche chi l’aveva fatto, aveva utilizzato modalità diverse. - (^) Il piano d ’intervento non è più solo sostanziale ma anche processuale. Dal punto di vista sostanziale nella Convenzione vengono date delle definizioni (sistema informatico, dati, etc.) che possono essere utili ai legislatori nazionali sempre nell’ottica di armonizzare il più possibile le norme interne e renderle applicabili nei diversi Stati.
- (^) Vengono individuate una serie di condotte che devono essere ritenute penalmente rilevanti. In particolare, questo condotte vendono divise: - (^) Da un lato ci sono tutte le condotte in cui il sistema informatico è l’oggetto della condotta incriminatrice. Esempio: danneggiamento (il dato è l’oggetto della condotta). - (^) Dall’altro lato il sistema informatico è lo strumento di aggressione. Esempio: frode informatica, falso. Vengono aggiunte, separatamente, le condotte che riguardano la violazione del diritto d’autore. Un’altra parte della Convenzione riguarda i reati a sfondo sessuale: la rete incrementava dei reati già previsti dagli ordinamenti come la pornografia e la prostituzione, ma in ambito virtuale. Per questo motivo viene dedicata una parte specifica della Convenzione a questi reati ed in particolare alla pornografia minorile. Ancora oggi la Convenzione di Budapest è fondamentale tanto che ci sono degli studi come il Report del Cybercrime Convention Commettee del Consiglio d’Europa (luglio 2020) che illustra i benefici e l’impatto della Convenzione di Budapest. Questo report va a vedere come è stata applicata la Convenzione nei vari Stati e quali sono stati i benefici. Un altro studio che è in fase di partenza è l’Octopus Project on Cybercrime del Consiglio d’Europa (gennaio
Dall’altro lato, però, l’aspetto negativo sarebbe stato quello di introdurre tante norme incriminatrici: introducendo un nuovo titolo interamente dedicato alla criminalità informatica significava andare a duplicare anche quelle fattispecie, più vicine ai reati informatici, che invece potevano essere semplicemente ampliate. Nel corso dei lavori preparatori che hanno portato all’adozione di questa legge si è deciso di non creare un titolo autonomo, anche perché la peculiarità della materia non era da sola sufficiente a configurare uno specifico titolo; non si ritenne così importante e necessaria da dover configurare un autonomo titolo. Si è quindi optato per inserire i reati informatici accanto alle figure di reato già esistenti che sembravano più vicine. Esempio: la frode informatica è stata inserita vicino alla truffa. La truffa non può essere applicata ad una frode informatica perché non c’è l’induzione in errore, che è l’evento intermedio della truffa e che è necessario perché il fatto sia tipico: per poter incriminare quel fatto è necessario riscontrare, nel caso concreto, tutti gli elementi previsti dalla fattispecie incriminatrice (principio di legalità). Ciò non toglie però che il reato di truffa sia molto simile a quello di frode informatica e quindi si è creato un nuovo reato di frode informatica, inserito accanto alla truffa, con l’unica differenza di togliere l’induzione in errore. Il trattamento sanzionatorio è il medesimo proprio perchè il fatto è lo stesso; semplicemente si incrimina una manifestazione diversa di quello stesso fatto. I settori in cui è intervenuta la L. n. 547/1993 sono:
1. Frodi informatiche Il problema era proprio quello di andare ad introdurre nuove fattispecie che non prevedessero l’induzione in errore da parte di un essere umano. Per ovviare al problema è stato introdotto l’ art. 640-ter c.p. Art. 640 c.p. - Truffa Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032 ”. La truffa è: - (^) un reato comune: si differenzia dai reati propri, che possono essere compiuti da soggetti qualificati, ad esempio il pubblico ufficiale; - (^) un reato a forma vincolata: non qualunque condotta viene punita, bensì chi agisce tramite artifici e raggiri. L’agire attraverso artifici e raggiri è l’evento intermedio; l’evento finale della truffa è il procurare a sé o ad altri un ingiusto profitto. Art. 640-ter c.p. - Frode informatica Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. Anche la frode informatica è un reato comune. Il trattamento sanzionatorio è identico. La differenza tra truffa e frode informatica è che nella frode informatica è tipizzata la condotta (alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto su informazioni, dati o programmi) viene eliminato l’evento intermedio (è eliminata la formula “con artifizi e raggiri”) e viene lasciato l’intervento finale del procurare a sé o ad altri un ingiusto profitto.
La condotta dell’artificio o raggiro, della truffa normale, si trasforma in una condotta che richiede lo strumento informatico: alterazione di sistema informatico o telematico, intervento senza diritto su informazioni, programmi o contenuti. Le frode informatica viene quindi introdotta accanto al reato di truffa perché molto simile, bisognava semplicemente adattarlo al nuovo fenomeno che prima non esisteva. Un altro tipo di frode è l’ indebito utilizzo di una carta magnetica di pagamento. In tal senso, all’interno L. n. 197/1991 , che nulla c’entra con il diritto penale nel senso che si tratta di una legge volta a prevenire l’utilizzo del sistema finanziario a scopo di riciclaggio, è contenuto l’ art. 12 che va a sanzionare l’indebito utilizzo di una carta di pagamento magnetica. Anche questo è un tipo di frode: si tratta di una frode diversa che non si ha tanto andando a manipolare dei dati all’interno di un sistema informatico quanto invece nell’utilizzare indebitamente una carta magnetica. Utilizzando una carta magnetica la condotta rientra nella frode informatica. L’utilizzo indebito significa che la carta può essere di proprietà di un altro soggetto e che viene utilizzata senza il consenso del proprietario oppure può essere una carta falsa o una carta procurata illecitamente. Tutte le condotte che riguardano l’uso non autorizzato di una carta o l’uso di una carta falsa rientrano nell’art. 12 della L. n. 197/1991 e quindi rimangono al di fuori del Codice penale nonostante sia stata poi inserita la riserva di codice. Nel 2018 è stata introdotta nell’art. 1 c.p. la riserva di codice per cercare di evitare che ci fossero troppi reati al di fuori del codice penale, sempre per facilitare l’interprete nell’andare a ricercare le norme incriminatrici. In questo caso, la frode informatica è un reato che va a salvaguardare il patrimonio.
2. Aggressione alla integrità di dati e sistemi informatici Sempre con l’idea di andare a trovare un posto nel Codice penale in cui inserire la condotta, è stata introdotta una norma accanto alla fattispecie tradizionale di danneggiamento. Art. 635 c.p - Danneggiamento Chiunque distrugge, disperde, deteriora o rende, in tutto o in parte, inservibili cose mobili o immobili altrui con violenza alla persona o con minaccia ovvero in occasione del delitto previsto dall'articolo 331 , è punito con la reclusione da sei mesi a tre anni. La norma non poteva essere applicata ad un danneggiamento di un dato o di un sistema informatico perché il concetto di dati non rientrava nel concetto di cose mobili o immobili. Era quindi necessaria l’introduzione di una nuova fattispecie. Per questo morivo viene introdotto l’ art. 635-bis c.p. Art. 635-bis c.p. - Danneggiamento di informazioni, dati e programmi informatici Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Anche in questo caso il trattamento sanzionatorio è identico; era semplicemente una questione di ampliare la fattispecie, ma era difficile farlo introducendo un altro comma all’interno di quel reato e quindi ne è stato creato un altro. Sul danneggiamento è intervenuta, nel 2008, una legge di attuazione della Convenzione di Budapest. Dopo la Raccomandazione del 1989 il legislatore italiano interviene nel 1993 con la L. n. 547. Dopo la Convenzione di Budapest del 2001, il legislatore interviene nuovamente per ratificare la Convenzione con la L. n. 48/2008 che introduce ulteriori modifiche a quelle norme che erano state
Il reato di danneggiamento, è inserito all’interno del titolo XIII, (delitti contro il patrimonio); in particolare è collocato nel Capo I del Titolo XIII che disciplina i “delitti contro il patrimonio mediante violenza alle cose o alle persone”. Il reato di cui all’art. 615-quinquies c.p., invece, è stato introdotto non nei delitti contro il patrimonio, ma fa parte dei delitti contro la persona, nella sottocategoria “inviolabilità del domicilio”. Lo hanno inserito all’interno di un titolo che non tutela il patrimonio, ma che tutela l’inviolabilità del domicilio e quindi nella macro-categoria dei delitti contro la persona. Probabilmente questa fattispecie è stata vista come una violazione del domicilio informatico, anche se in realtà il bene tutelato non è tanto il domicilio informatico quanto l’integrità del dato. Sempre rispetto all’aggressione all’integrità di dati, quindi sempre rispetto alla tutela del patrimonio, è stato inserito, sempre nel 1993, all’ art. 392 c.p. , che disciplina il reato di “esercizio arbitrario delle proprie ragioni con violenza sulle cose” , il comma 3. Art 392 co. 3 c.p. - Esercizio arbitrario delle proprie ragioni con violenza sulle cose […] Si ha altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico. In questo caso il legislatore, invece di inserire una specifica fattispecie di esercizio arbitrario delle proprie ragioni con violenza su un sistema informatico o su un dato o un programma contenuto all’interno di un computer, ha introdotto uno specifico comma in cui viene ampliata la nozione violenza sulle cose : per cose non si intende solo le cose materiali e mobili, ma si intende anche il funzionamento di un sistema informatico o telematico o un programma informatico. L’inserimento di uno specifico comma è l’altra tecnica legislativa che poteva essere utilizzata: o si inseriscono specifiche norme incriminatrici oppure si ampliano fattispecie incriminatrici già esistenti. Affinché il giudice possa condannare una persona per un reato ci deve sempre essere un’offesa ad un bene giuridico (principio di offensività), tant’è che se non c’è un’offesa il fatto non è tipico e la persona deve essere assolta perché il fatto non sussiste, non c’è il reato. I reati di pericolo astratto tendono a far emergere questi dubbi. L’interprete tende a far rientrare i reati di pericolo astratto tra i reati di pericolo concreto, con degli escamotage. Esempio: Il reato di incendio, ex art. 423 co. 1 c.p., è un reato di pericolo astratto, ciò nonostante, i giudici tendono a far rientrare nella definizione di incendio soltanto determinati tipi di incendio: soltanto quelli che hanno una certa grandezza, una certa capacità di propagazione e una certa pericolosità. Di conseguenza, pur non dovendo essere, il pericolo, accertato dal giudice in concreto, il giudice usa degli escamotage. Esempio: un mozzicone lasciato sulla strada asfaltata con del fumo: secondo la norma dovrebbe essere un incendio, ma in realtà non c’è nessun pericolo alla incolumità pubblica (bene giuridico tutelato) e quindi in quel caso si dice che non si tratta di un incendio, per essere incendio deve avere determinate dimensioni. Per capire se si tratta di un reato di pericolo astratto o concreto è necessario andare a vedere come è formulata la norma. Nelle norme che hanno ad oggetto reati di pericolo concreto si trovano delle formule come “diretto a” che fa capire che quel fatto è pericoloso per il bene giuridico. Altre espressioni che si possono trovare trovare nelle norme sono: pericolo per , idoneo a, etc. Queste espressioni sono tutti sinonimi per dire che quel fatto è pericoloso per il bene giuridico: il giudice deve valutare caso per caso se il bene giuridico ha corso un pericolo.
All’interno del macro settore delle aggressioni all’integrità si è scelto di introdurre, come nuove condotte, il danneggiamento e la diffusione di apparecchiature diretta a danneggiare, e si è scelto di ampliare la definizione legale di violenza sulle cose per far rientrare l’aggressione al dato informatico all’intento del reato di esercizio arbitrario delle proprie ragioni con violenza sulle cose. Art 392 co. 1 c.p. - Esercizio arbitrario delle proprie ragioni con violenza sulle cose Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito, a querela della persona offesa, con la multa fino a euro 516. Esempio: Caio deve un risarcimento danno a Tizio. Caio, nonostante abbia effettivamente questo diritto, e al posto di rivolgersi al giudice va direttamente da Tizio e lo minaccia. Con l’introduzione del comma 3 si amplia la definizione di cose facendovi rientrare anche i dati. Esempio: se Tizio per obbligare Caio a restituirgli i suoi soldi, al posto di rivolgersi al giudice, gli manda un virus rompendogli il computer, la condotta rientrerà nel reato di esercizio arbitrario delle proprie ragioni. Prima del 1993 questa condotta non sarebbe rientrare nell’art. 392 c.p. perchè non si poteva interpretare analogicamente, in maniera estensiva, il termine cose. Nel 1993 la stessa tecnica di ampliamento di una fattispecie già esistente era stata utilizzata per andare ad incriminare il danneggiamento a sistemi di pubblica utilità : non erano state introdotte altre fattispecie incriminatrici che andavano a sanzionare il danneggiamento quando il dato o il sistema era di pubblica utilità, proprio perché era stato modificato l’ art. 420 c.p. con l’introduzione del comma 2. Art. 420 co. 2 c.p. - Attentato a impianti di pubblica utilità La pena di cui al comma 1 si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in esso contenuti. Con la L. n. 48/2008 vengono sbrigati i commi 2 e 3 e con quella stessa legge vengono inserite le 3 fattispecie diverse di danneggiamento: 635-ter, 635-quater, 635-quinquies. Sostanzialmente viene rivista tutta la disciplina del danneggiamento distinguendo il dato dal sistema informatico e il dato da pubblica utilità dal sistema informatico di pubblica utilità e viene tolta la disciplina di cui all’art. 420 c.p. perchè altrimenti sarebbe stata raddoppiata. Nell’art. 420 c.p. rimane solo il comma 1. Art. 420 co. 1 c.p. - Attentato a impianti di pubblica utilità Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni ”. Viene tolta la parte in cui si dice che per impianto si intende anche il dato o il sistema informatico telematico.
3. Condotte di falsificazione Le condotte di falsificazione sono il terzo fronte in cui interviene la legge del 1993. Anche in questo caso il problema era quello di andare ad applicare la disciplina del documento falso anche alle aggressioni a documenti che però erano soltanto informatici: non c’era la versione cartacea di quel documento, ma erano contenuti all’interno di un sistema informatico (documenti di qualsiasi tipo predisposti con un sistema informatico). La disciplina che esisteva per i documenti falsi non poteva essere applicata perché per documento si intendeva documento cartaceo.
Quando nelle norme si trova la formula “a fine di” significa che si tratta di un reato doloso specifico: non basta il dolo generico, ma ci deve essere un fine specifico perseguito dall’agente. Questo fine non deve essere per forza portato a termine: bisogna solo andare a vedere se il soggetto ha agito con quel fine, non anche se quel fine si è realizzato In questi casi quindi non è sufficiente volontà e rappresentazione di commettere un fatto ma ci vuole anche l’intenzione di perseguire, in questo caso, un ingiusto vantaggio o di arrecare ad un altro un danno. La falsificazione o l’alterazione del contenuto di comunicazione è punibile soltanto se il soggetto che le ha alterate o formate falsamente ne fa anche uso: non è sufficiente avere la condotta di falsificazione o alterazione della comunicazione, ma il contenuto formato falsamente o alterato deve essere anche utilizzato. In mancanza di questo elemento non il fatto non è punibile perchè non è tipico. Mentre nei documenti di falso il bene giuridico tutelato è la fede pubblica , l’art. 617-sexies c.p. è inserito nei delitti contro la persona e, in particolare, della inviolabilità dei segreti: cambia il bene giuridico tutelato. I reati di falso sono reati di pericolo: tutelano la fede pubblica. Ponendo che il bene giuridico tutelato è la fede pubblica (cioè l’affidamento di una persona che crede in quella cosa che le viene sottoposta) se un pubblico ufficiale produce un atto palesemente falso e lo utilizza, questa condotta può essere incriminata? No perché essendo chiaro che che il documento è falso, questo significa che la fede del soggetto non è stata messa in pericolo, manca l’offesa al bene giuridico tutelato. In questo caso si parla di falsi grossolani che non sono punibili perché manca l’offesa al bene giuridico tutelato, la condotta non è tipica.
4. Aggressione alla riservatezza dei dati e delle comunicazioni informatiche In questo caso non si fa riferimento all’integrità dei dati come nel danneggiamento, ma alla riservatezza del dato. In questo ambito sono state introdotte due categorie:
In questo caso il dipendente ha le chiavi d’accesso al sito, ma la sua permanenza all’interno di quel sistema, in quel momento, non è corretta. I beni giuridici tutelati potrebbero dalla norma potrebbero essere:
Questo reato ha sicuramente un ruolo di primo piano perché è una delle prime manifestazioni della criminalità informatica: quando negli anni ’70 inizia a parlarsi di criminalità informatica, lo si fa proprio in riferimento a truffe realizzate con un sistema informatico. È la prima manifestazione importante che incide sulla opinione pubblica della criminalità informatica. Si tratta di un reato che ha un impatto molto forte perché le frodi informatiche si verificano con grande frequenza e soprattutto perché l’entità del danno è anch’esso molto grande. Nel 1977 in Germania, è stata condotta un’indagine ed è stato stimato che il danno arrecato da queste truffe informatiche (ancora non esisteva la fattispecie di frode informatica, erano delle truffe che non si sapeva come incriminare) era tra i 200 mila e i 300 mila marchi mentre le truffe tradizionali avevano arrecato un danno di 10 mila marchi. Questa indagine è proseguita negli anni e negli anni successivi il divario si è andato ad accentuare, perché con il tempo ci si specializzava e si trovano metodi sempre nuovi per sfruttare questo sistema informatico. Ci sono quindi diverse forme di frode informatica: quella che più si verificava era quella della manipolazione di dati nelle diverse fasi di un procedimento di elaborazione elettronica. Si introducevano dei dati, manomessi, in una delle diverse fasi in cui si articola un procedimento di elaborazione di dati influenzandone il risultato. I dati possono essere manomessi in una fase iniziale, intermedia o finale del procedimento di elaborazione di dati. Esempio: il dipendente di una azienda manipola i dati di una fattura e questo fa si che il risultato sia diverso da quello aspettato generando un ingiusto profitto. La manipolazione può anche incidere su una fase intermedia di un procedimento di elaborazione. Esempio: cambiare il nome sulla busta paga intestandola ad un dipendente diverso. Anche in questo caso è il risultato finale che cambia: viene manipolato attraverso l’inserimento fraudolento di dati che può incidere in una delle diverse fasi di elaborazione di un risultato finale. Esempio: viene stampata una fattura e poi scambiata con un’altra. Questa manipolazione incide direttamente sulla fase finale dell’elaborazione. Il procedimento di elaborazione dati cambia in base a quali dati vengono elaborati e in quale sede vengono elaborati, ma ciò non toglie che questo inserimento fraudolento vada ad influenzare il risultato finale. Altra forma di frode informatica, introdotta nel 1991, è l’ abuso di carte magnetiche di pagamento. Si inizia a parlare di abuso di carte magnetiche di pagamento quando compaiono i primi distributori automatici di banconote (bancomat). Negli anni ’70 il sistema anche finanziario era completamente diverso da quello attuale: non esistevano i bancomat e non esistevano nemmeno le carte magnetiche con banda magnetica che permettono di prelevare i soldi. Con la comparsa di queste macchine si pone il problema di andare a sanzionare gli abusi di carte di pagamento perché, in questo caso, non è una persona fisica a dare i soldi ma è una macchina perciò manca l’induzione all’errore e di conseguenza la fattispecie di truffa tradizionale non poteva essere applicata. Successivamente sono nati anche i POS quindi non era più solo una questione di andare a prelevare dei soldi, ma anche una questione di pagare dei beni. Anche in questo caso, non essendoci una persona da indurre in errore non era applicabile la fattispecie di truffa. Per ovviare a questo problema viene introdotto l’art. 12 della L. n. 197/1991.
Altro problema a cui bisognava trovare una soluzione era quello che riguardava l’ utilizzo di una carta di pagamento falsa : anche in questo caso, come nei casi di falso, la carta magnetica non poteva essere assimilata ad un documento cartaceo e quindi non era sanzionabile la detenzione, il possesso e l’utilizzo di una carta falsa perché non rientrava nella nozione di documento. Per documento si intende una dichiarazione di scienza o di volontà espressa in forma alfanumerica in modo da essere comprensibile da un essere umano. In questa nozione di documento non rientravano la carta di pagamento con una banda magnetica e i dati inseriti all’interno del chip perché i dati di questo chip erano invisibili e quindi non potevano essere ricondotti a questa formula. Non potendosi applicare la fattispecie di falso rimaneva un vuoto di tutela a cui si sopperisce con l’art. 12 della L. n. 197/1991. L’ art. 12 della L. n. 197/1991 va a sanzionare l’utilizzo di una carta magnetica falsa o di proprietà altrui. Inoltre, negli anni ’90, quando la norma è stata introdotta, questa sanzionava anche una terza condotta: si sanzionava l’ utilizzo indebito della carta magnetica da parte dello stesso titolare. L’utilizzo indebito si aveva quando si oltrepassava fraudolentemente il saldo disponibile sul conto corrente (esempio: sul conto corrente ci sono 2000 euro, il titolare ne preleva 2500), ma anche quando veniva utilizzata una carta scaduta o revocata. Questo era possibile perchè le carte bancomat lavorano con il chip o banda magnetica dalla fine degli anni ’80: prima la carta di credito era registrata in un elenco cartaceo ed era la persona fisica che doveva aggiornare periodicamente l’elenco. Se la persona non si accorgeva il soggetto poteva usare una carta di credito revocata o scaduta: il sistema permetteva l’utilizzo della carta perché non era stato aggiornato l’elenco cartaceo. Vengono quindi sanzionate:
La modifica ha inciso sulla definizione di carta di pagamento. Le condotte sono rimaste le stesse: chi indebitamente utilizza non essendone titolare, chi falsifica o altra, ovvero chi possiede, cede o acquisisce. Quello che cambia è l’aggiunta della formula o comunque ogni altro strumento diverso dai contanti. Se nella formulazione precedente si parlava di carte di credito di pagamento, ovvero qualsiasi altro documento analogo che abilita al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi , ora, accanto a questo, è stata aggiunta questa ulteriore formula. Nel momento in cui aggiunge questo pezzo alla norma si occupa anche di dare una definizione a ciò che si intende con ogni altro strumento diverso dal contante. In particolare, l’art. 1 del d. lgs. 184/2021 stabilisce che per ogni altro strumento diverso dal contante si intende ogni dispositivo, oggetto o record protetto, materiale o immateriale , o una loro combinazione, diverso dalla moneta a corso legale, che, da solo o unitamente a una procedura o a una serie di procedura o a una serie di procedure, permette al titolare o all’utente di trasferire denaro o valore monetario, anche attraverso mezzi di scambio digitali. Quello a cui si fa riferimento e che mancava nella vecchia formulazione è un rimando a strumenti come PayPal o Satispay cioè metodi di pagamento che prescindono dalla carta materiale. Inoltre, il d. lgs. 184/2021 fa rientrare nella nozione di scambi digitali anche la valuta digitale intesa come una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è legata necessariamente ad una valuta legalmente istituita e non possiede lo status giuridico di valuta o denaro, ma è accettata da persone fisiche o giuridiche come mezzo di scambio, e che può essere trasferita, memorizzata e scambiata elettronicamente. Di conseguenza, si va ad applicare questa fattispecie di reato anche nei casi in cui si utilizza una valuta non riconosciuta dallo Stato, quindi tutte le criptovalute, diverse dall’euro che però vengono utilizzate per scambi di prestazione su internet. Da questo momento in poi rientrano nell’oggetto della condotta anche mezzi di pagamento digitali e immateriali così come anche lo scambio di criptovalute seppur prive di valore legale, ma socialmente sempre più accettate come mezzi di pagamento. Il d. lgs 184/2018 introduce anche l’ art. 493-quater c.p. che disciplina la detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere reati riguardanti strumenti di pagamento diversi dai contanti. Con questa fattispecie di reato si anticipa la tutela: non si va a sanzionare solo l’utilizzo e la falsificazione delle carte, ma ancor prima si va a sanzionare la diffusione di apparecchiature atte a creare e mettere nel commercio strumenti di pagamento diversi dai contanti. Di conseguenza, si va a sanzionare a livello informatico chi compie la condotta ma anche chi permette ad altre persone di compierla fornendo gli strumenti per produrre conti falsi. Infine, il medesimo decreto aggiunge un nuovo comma all’art. 640-ter c.p. che prevede un’altra ipotesi aggravante che ricorre quando il fatto di frode produce un trasferimento di denaro, di valore monetario o di valuta virtuale; in questo caso la pena sarà da uno a cinque anni. Prima dell’introduzione di questo comma c’era il problema che l’indebito utilizzo di carte di pagamento prevedeva una pena molto più alta della frode informatica. Ci potevano essere casi in cui l’indebito utilizzo era particolarmente grave, ma era strana come tecnica legislativa il fatto di prevedere due fattispecie più o meno simili, una con l’art. 640-ter c.p. che stabiliva la reclusione da sei mesi a tre anni e l’altra con l’art. 493-ter c.p. con prevedeva una reclusione da uno a cinque anni. Questo decreto legislativo interviene sull’art. 640-ter c.p. ed introducendo l’aggravante equipara il trattamento sanzionatorio. Quindi, se la frode informatica produce un trasferimento di denaro così come l’indebito utilizzo di carte di pagamento, allora la pena è uguale: da uno a cinque anni.
Ripasso diritto penale (parte generale)
Le modifiche introdotte con il d. lgs. 184/2021 hanno comportato un ampliamento delle condotte penalmente rilevanti: prime di quel momento chi utilizzava fraudolentemente le criptovalute non veniva sanzionato. La stessa cosa vale per l’introduzione dell’aggravante. Esempio: è in corso un processo penale per frode informatica realizzata con un trasferimento di dati nel gennaio 2019. A seguito della sentenza di condanna il soggetto decide di ricorrere in appello e durante il procedimento d’appello interviene la modifica che introduce l’aggravante. In questo caso l’aggravante non sarà applicata al soggetto perchè vale il principio di irretroattività della legge penale. Il principio di irretroattività della legge penale sfavorevole, sancito nell’ art. 25 co. 2 Cost. , è inderogabile : non è mai applicabile retroattivamente una legge sfavorevole che innalza il trattamento sanzionatorio o che introduce un nuovo reato che quando invece è stato commesso il fatto non era previsto. Al contrario, è derogabile il principio della retroattività della legge penale favorevole. Esempio: viene commessa una frode informatica nel 2019 e il soggetto viene condannato in primo grado. Durante il giudizio d’appello viene inserita una circostanza attenuante: per il principio della legge retroattività della legge penale favorevole la nuova circostanza attenuante deve essere applicata. Se invece, la circostanza attenuante non viene introdotta quando il procedimento è pendente, ma quando ormai la sentenza è passata in giudicato e il soggetto sta scontando la pena in carcere, in questo caso la circostanza attenuante non inciderà in alcun modo sul trattamento sanzionatorio. Questo è dovuto al fatto che il principio della retroattività della legge penale è derogabile e la deroga è proprio il fatto esiste una sentenza di condanna definitiva: il giudicato non permette di applicare retroattivamente una modifica, seppur favorevole. Esempio: se un soggetto viene condannato a due anni di reclusione in virtù dell’esistenza di una fattispecie di danneggiamento che prevede che sia punito chiunque danneggia un bene materiale. Mentre il soggetto è in carcere il legislatore modifica la norma incriminatrice prevedendo che è punito chiunque danneggia con violenza o minaccia un bene mobile altrui. In questo caso il soggetto è in carcere per aver commesso un danneggiamento senza violenza o minaccia: è stato punito perché quando ha commesso il fatto era vigente la disciplina che prevedeva che fosse punito chiunque danneggiava un bene materiale. Dal momento in cui entra in vigore la modifica il caso rientra in un’ipotesi di abolitio criminis ex art. 2, co. 2 c.p. : la modifica agisce retroattivamente indipendentemente dal fatto che ci sia o meno una sentenza passata in giudicato perché non si può lasciare in carcere una persona che ha commesso un fatto che non è più sentito dalla società come penalmente rilevante. Il principio di retroattività della legge penale favorevole è derogabile perché discende dal principio di uguaglianza (e ragionevolezza) , sancito dall’ art. 3 Cost., secondo cui ci possono essere delle situazioni che possono essere trattate in maniera diversa. Se due situazioni sono diverse e quella differenza è tutelata in maniera diversa dal legislatore, il legislatore dovrà introdurre un trattamento differenziato purché ci sia ragionevolezza nel differenziare quelle due situazioni. La deroga deve essere motivata e basata su ragionevolezza.
Il reato si articola, secondo la teoria tripartita , in: