









































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Appunti del corso di diritto penale dell'informatica prof Grotto
Tipologia: Appunti
1 / 49
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!










































Il diritto penale dell'informatica ha la caratteristica che nel nostro ordinamento non c'è una legge ad hoc che disciplina i reati informativi. Dobbiamo andarli a cercare dove essi si trovano! La prima caratteristica del diritto penale dell'informatica è che esso comprende diverse tematiche, alcune disciplinate nel codice penale mentre molte altre sono fuori dal codice penale. Nel codice penale, troviamo una serie di reati identificati come cyber crimes (frode informatica, accesso abusivo, danneggiamento informatico). Questi fenomeni trovano una disciplina sanzionatoria nel codice penali. Troviamo poi nel codice penale la disciplina di tutela dei minori. Pensiamo alla pedopornografia online. Nel codice penale troviamo poi alcune norme utili per affrontare un altro grande tema che è quello della responsabilità del service provider (the pirate bay ecc). Questo tema non ha ad oggi una disciplina completa. Dovremo usare le norme classiche: concorso di persone e 40.2 (clausola di equivalenza che afferma che il non impedire un evento che si ha l'obbligo giuridico di impedire equivale a cagionarlo, reato omissivo improprio). Il service provider può essere tenuto a impedire il reato commesso da terzi? Fuori dal codice penale troviamo altri due temi oggetto di analisi del corso che sono:
proporzionate e anche la durata minima della pena. Lo strumento comunitario specifica anche quali sono i soggetti che possono rispondere di questo tipo di reati. Dal 2001 possono rispondere di reato anche gli enti, anche le persone giuridiche. La direttiva generalmente non è molto tecnica ma in questo tema accade spesso che vi siano delle connotazioni specifiche. Già a livello comunitario, i principi di tassatività, determinatezza sono propri dell'unione europea. C'è una risoluzione del parlamento europeo del 2012 in cui troviamo elencati alcuni principi fondamentali: offensività, sussidiarietà, colpevolezza, certezza del diritto, non retroattività, presunzione di innocenza. La scrittura della singola fattispecie sulla base della direttiva spetta al singolo stato, ma le indicazioni a livello comunitario hanno molto spesso elementi di fattispecie. Ci sono due principi a livello comunitario:
Evoluzione della normativa italiana Sono due le tappe evolutive fondamentali:
✔ Delitti introdotti nel codice penale dalle leggi 547/1993 e 48/2008: il legislatore ha come riferimento la raccomandazione dell' ✔ Reati presupposti dal "codice" della privacy t.u. 196/2003: ha come riferimento la convenzione del
Una opzione possibile era: faccio una legge ad hoc "reati in materia informatica" ma non viene fatta perché il legislatore è intervenuto innanzitutto nel codice penale perché a livello di politica criminale da spesso si parla di riserva di codice o depenalizzazione. Si vuole intendere che il codice penale dovrebbe avere tutte le fattispecie penali più rilevanti. Ma come li inserisco nel codice penale? Posso inserirli in un titolo ad hoc, reati informatici. Invece il legislatore decide di mettere i reati informatici in modo da collocarli in diversi titoli del codice penale. Es. art 392 co 3, 420 co 2 e 3, 616 ecc.
Bene giuridico tutelato il bene giuridico ha l'importante funzione di aiutare l'interpretazione. Io lo individuo guardando il fatto tipico ma anche in base alla collocazione della fattispecie. Se sono nei reati contro il patrimonio, so che il bene giuridico tutelato è il patrimonio. Le fattispecie di diritto penale dell'informatica vengono tendenzialmente raggruppate a seconda che tutelino beni tradizionali o analoghi allo stesso (la frode informatica tutela il patrimonio come la frode classica). Queste fattispecie però tutelano a volte beni giuridici nuovi che prima non erano conosciuti dall'ordinamento come ad esempio la riservatezza informatica, la disponibilità di dati e sistemi. Se io prendo il reato di danneggiamento informatico, lo trovo collocato nei reati a tutela del patrimonio perché il danneggiamento tradizionale è a tutela del patrimonio. Tuttavia, se cancello il contenuto di un computer, il danno non si può definire patrimoniale in senso stretto. È molto più pregnante l'interesse al dato informatico. Voglio decidere io se cancellare il dato o no, a chi renderlo disponibile. Per alcuni reati si individuano quindi beni giuridici nuovi perhce con il dato informatico il bene giuridico diventa nuovo come ad esempio sicurezza informatica o riservatezza informatica.
Il legislatore italiano è intervento anche con altre modalità:
FRODE INFORMATICA (640 ter CP) È un reato informatico che secondo una ripartizione convenzionale è un reato informatico in senso stretto perché in dottrina si distingue tra:
in errore o di atto di disposizione da parte del soggetto passivo ma parla di alterazione. Il legislatore non dice cosa intende per sistema informatico o telematico ma a livello di convenzione cyber crime del 2001 una definizione di sistema informatico c'è. La convenzione lo definisce come un device o un gruppo di devices che eseguono un processo automatizzato di trattamento dei dati. È un sistema in grado di processare automaticamente dei dati.
La fattispecie di frode informatica è stata introdotta nel 1993 e non ha subito modifiche. Nel 2008 l'intervento non ha riguardato la frode informatica. Un adeguamento c'è stato con la 119 del 2013 che da una circostanza aggravante ad effetto speciale se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti. È la prima disposizione in cui il legislatore si confronta con il furto di identità. Il furto di identità consiste nel far credere di essere una certa persona quando in realtà non lo si è. Al 494 si parla di sostituzione di persona ma il furto di identità è un fenomeno più complesso. Il primo problema è il fatto che il legislatore parla di identità digitale ma non definisce che cosa si debba intendere. Per questo si è cercato di agganciare l'elemento dell'identità digitale a altre disposizioni normative non penali che però contengano una definizione analoga.
Il 640 ter ha un aggravante che punisce più gravemente se chi commette il fatto è operatore di sistema. Il codice c penale non mi dice chi è operatore di sistema ma me lo dice un dato che ha a che fare con il trattamento dei dati personali. La risposta data è che il concetto del codice penale è più ampio e si presta a ricomprendere tutti i soggetti che con il sistema informatico abbiano un rapporto privilegiato. La ragione della sanzioni più grave si giustifica dal fatto che il reato è commesso proprio da chi ha un vincolo fiduciario con il soggetto danneggiato. Questa disposizione va combinata con quella dell'articolo 240 che disciplina la confisca. Per molti reati informatici, è prevista come sanzione accessoria la confisca. Oggi si parla di sanzione perché nel codice penale le misure di sicurezza dicono che vanno applicate quelle in vigore nel momento in cui sono applicate. Vale il principio tempus regit actum. Ovvero: se io nel 2013 applico una misura di sicurezza io prendo la disciplina in vigore nel 2013. Se commetto il fatto nel 2013 è la misura di sicurezza me la applicano nel 2015
ma nel frattempo la Disciplina delle misure di sicurezza è cambiata, la norma del codice penale mi dice che nel 2015 il legislatore deve applicare la disciplina vigente in quel momento, indipendentemente dal fatto che sia più o meno favorevole. Si applica quella vigente nel momento in cui viene applicata la misura di sicurezza. Tale affermazione è contraria all'applicazione della norma penale: all'articolo 2 abbiamo il principio di irretroattività, il principio di applicazione della legge più favorevole al reo ecc. tutta una serie di meccanismi a tutela del reo che le misure di sicurezza non contemplano. Nel caso della confisca c'è stata una interpretazione giurisprudenziale che ha portato a dire che la confisca, essendo afflittiva, è pena! È sanzione, pena, accessoria che consegue automaticamente al fatto di reato. La sanzione principale è 640 ter, la sanzione accessoria è il 240 ed è automatica ma è afflittiva e quindi è pena e soggiace ai principi previsti per i fatti costituenti reato. Questo è stato detto a livello comunitario dalla Corte europea dei diritti e dell'uomo e dalla corte di giustizia, a livello nazionale dalla corte costituzionale che si è espressa sulla confisca del veicolo in seguito a guida in stato di ebrezza. Confisca del veicolo: se da oggi a domani introduco la confisca e oggi mi fermano e trovano che il mio tasso alcolemico non è regolare, scatta il procedimento penale ma domani il legislatore introduce la sanzione accessoria che è quella tale per cui sopra un certo livello di ebrezza alcolica, non hai solo la sanzione principale ma anche la confisca del veicolo. Il problema è che: se io dico misura di sicurezza, io oggi commetto il fatto e la confisca non c'è ma mi giudicano domani e la confisca c'è, mi confiscano il veicolo. Se è pena invece no perché il fatto l'ho commesso oggi e nel momento in cui ho commesso il fatto la norma non era in vigore e quindi non posso essere destinatario di una sanzione che abbia efficacia retroattiva. L'aspetto più interessante è che il 240 prevede la confisca dei beni utilizzati in tutto in parte per la Commisione dei reati. Questa modifica normativa è un caso di lobbing del potere giudiziario sul potere legislativo perché la previsione della confisca dello strumento informatico è una sanzione fortemente voluta dal pool che si occupa di reati informatici previsto in procura della Repubblica. Perché non possono aspettare che il ministero compri strumenti all'avanguardia e quindi usano quelli degli hacker. Di solito infatti si confisca il prezzo del reato... Non il mezzo!
È una fattispecie posta a tutela di beni giuridici già conosciuti dal codice penale. Questa fattispecie, è stata dapprima introdotta nel 93, ma poi è stata modificata nel 2008. Sono questi i due momenti in cui il legislatore è interventista in materia di criminalità informatica. Per capire le ragioni della modifica del 2008 partiamo dal testo originario. La norma del '93 prevede una formula articolata per dire che tutte le fattispecie che noi troviamo agli artt 476 e seguenti, sono sanzionare sia che abbiano ad oggetto documenti tradizionali, sia che abbiano ad oggetto documenti di carattere informatico. Dal punto di vista del bene giuridico, la collocazione e la struttura del 491 bis non lascia spazio a dubbi: quando parlo di falso tradizionale o informatico, il bene giuridico tutelato è sempre la fede pubblica. Possiamo definirla fede pubblica documentale che consiste nel fatto che la collettività fa affidamento sulla genuinità, veridicità, di documenti. Quando presentiamo il libretto universitario, tutti i voti precedenti fanno fede nei confronti della comunità. C'è un aspetto peculiare dei reati di falso. C'è una giurisprudenza consolidata che esclude la rilevanza penale di fatti che pur essendo astrattamente tipici, in realtà non sono offensivi, falsità documentali che, vuoi perché grossolane o non idonee a indurre in errore nessuno, vengono ritenute non penalmente rilevanti. È uno dei pochi settori in cui la teoria secondo la quale il fatte assume rilevanza penale quando è tipico ma anche offensivo, questa impostazione ha una ricaduta pratica. In generale si ritiene che il principio di offensività si indirizza al legislatore. Nei reati di falso succede che il giudice, verificato che il fatto è tipico, può assolvere quando ritiene che il falso sia inoffensivo. Il 491 bis è una norma sintetica che pone problemi interpretativi. Dice; “ tutti i reati che riguardano le falsità documentali, possono essere applicati anche al documento informatico”. Le falsità documentali si distinguono in:
Andiamo alla riforma del 2008. Il 491 bis aveva, nella formulazione originaria, aveva un problema nel fatto di agganciare la definizione di cogenti informatico al supporto. Nel frattempo, negli anni successivi, sono intervenute altre definizioni di documento informatico in disciplina extra penale. Esse hanno sempre fatto riferimento alla rappresentazione informatica e non al supporto informatico proprio perché non c'è la stabile incorporazione del documento cartaceo. A questo si è aggiunta la necessità di rispettare la convenzione cyber crime che si occupa di documento informatico all'articolo 7. Il legislatore del 2008 ha cancellato la precedente definizione mantenendo solo l'efficacia probatoria.
491-bis. Documenti informatici.
Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private (1).
La nuova formulazione è stata accolta benevolmente dalla dottrina perché non era opportuno che si introducesse una norma con una definizione rilevante ai soli fini penali. Il fatto che il legislatore non richiami la definizione è dovuta al fatto che si vuole dire che il diritto penale è debitore degli altri rami dell'ordinamento perché essi già contengono la definizione e quindi non ha senso ribadirla. Rimane il
richiamo all'efficacia probatoria perché:
Il diritto alla riservatezza in senso tecnico nasce solo affine degli 800 negli Stati Uniti in un articolo della Harvard review in cui il problema era che la vita privata di una famosa persona era online. Nel nostro paese se ne parla negli anni 50 in cui la cassazione diceva che non esiste un diritto alla riservatezza. Le cose cominciano a cambiare negli anni 70 e nel 1975 la cassazione per la prima volte dice che in Italia esiste un diritto alla riservatezza. 40 anni fa diritto alla riservatezza significava diritto ad essere lasciati soli e quindi si dice che c'è un nucleo che riguarda ciascuno di noi in cui nessuno può entrare. Dal 70 in poi comincia la rivoluzione informatica e cambia il contenuto del diritto alla riservatezza. Esso non è più solo il diritto ad essere lasciati soli ma il diritto al controllo sui dati che ci riguardano. La presa di coscienza era che se prima la minaccia alla privacy riguardava solo i mass media, adesso è molto più invasiva. In Italia viene emanato il 196/2003 e l'articolo 1 dice che chiunque ha diritto alla protezione dei dati personali che lo riguardano, viene data una nozione di dato personale molto ampia. La legge contiene una serie di elementi sulle modalità di trattamento: come devono essere raccolti i dati, come vanno trattati. Vengono riconosciuti una serie di diritti agli interessati (diritto all'oblio, diritto di conoscenza). Esiste una disciplina particolare per i dati sensibili che sono quelli relativi al l'appartenenza alla razza, le opinioni politiche, lo stato di salute e la vita sessuale. La legge pone un enfasi particolare sulla sicurezza dei dati perché l'utilizzo dei dati sensibili è attività pericolosa. Da quel momento in poi, negli anni 90 nasce internet, il web. La possibilità di monitorare tutto ciò che facciamo in rete è enormemente accresciuta. Il concetto fondamentale è il concetto di profilatoio e. La maggior parte di soggetti che raccoglie dati su internet, non lo fa per discriminare ma per conoscere i nostri gusti e servirci meglio. Diventa quindi importante guardare le abitudini. La tecnologia può diventare una minaccia ma ci sono strumenti per proteggersi, per garantire la navigazione anonima. Gli stessi soggetti che raccolgono i dati ci fanno credere di voler tutelare la nostra privacy. Il problema non è tanto quello di evitare discriminazioni, ma quello di favorire il decollo di questi strumenti che servono per il commercio elettronico. I nostri dati personali hanno un valore. Ma che diritto vige su internet? Quello italiano? Quello europeo? Ma qual è l'enforcment? Ha senso di parlare di tutela della privacy perché la mole di informazioni che ci riguarda, disegna il modo di essere di una società che non discrimina più sulla base della ratio, del sesso e delle opinioni politiche. Ma è una società orientata a costruire dei docili consumatori. I social network hanno poi un importante profilo probatorio. Dal punto di vista delle reazioni sanzionatorie, il discorso va basato sui soggetti, chi può rispondere di questa condotta non rispettosa del trattamento dei dati personali? Esiste l'articolo 23 del testo unico privacy che dice che i dati personali vanno trattati con il consenso del l'interessato. E se non c'è? Possono scattare delle sanzioni che hanno innanzitutto come destinatari gli utenti dei social network. La cassazione nella vicenda google video dice che il responsabile del trattamento in questo caso è l'utente che carica il dato e quindi se ci poniamo nell'ottica sanzionatoria, la prima persona che può utilizzare quel dato è il titolare del trattamento. Chi carica la fotografia, chi clicca mi piace. Il ragionamento della giurisprudenza di legittimità è che il primo soggetto responsabile è l'utente, è chi posta quei dati perché il soggetto che decide le modalità della raccolta del dato, le finalità, è il soggetto che
rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile aquereladellapersona offesa; negli altri casi si procede d'ufficio.
Il primo aspetto è la collocazione. Siamo poco dopo la violazione di domicilio. Inoltre, la stessa struttura del fatto tipico richiama quella della violazione di domicilio! Il problema è individuare il bene giuridico tutelato. Ci si è chiesti quale sia il bene giuridico tutelato da questa norma. Le opzioni proposte sono almeno 4:
serve a lasciare fuori terzi dal sistema. La locuzione misure di sicurezza, la incontreremo parlando di tutela dei dati personali, privacy. Nell'ambito della disciplina sul trattamento dei dati personali, si parla espressamente di misure di sicurezza e anzi esse sono previste da un alLegato tecnico alla normativa sul trattamento dei dati personali. Però, quel concetto viene ritenuto diverso rispetto al concetto di misure di sicurezza del 615 ter perché nel trattamento di dati personali è il legislatore che mi dice l'elenco delle misure di sicurezza; dall'altra nel 615 ter si estende la portata del concetto di misura di sicurezza fino a comprendere tutte le modalità tese a filtrare accessi esterni. Si pone però un ulteriore problema: ipotizziamo che ci sia un sistema informatico protetto da user e psw e che però il soggetto legittimamente titolare di user e psw acceda al sistema con finalità diverse da quelle per le quali le credenziali sono state concesse. Pensiamo all'impiegato bancario che vada a vedere il conto corrente del vicino. Se travalicò questo limite, io violo le misure di sicurezza o mi posso barricare dietro il fatto di avere le credenziali di accesso? Prendiamo il caso di carabinieri. I carabinieri hanno delle banche dati. Un carabiniere in servizio, cerca di dare una mano a un amico e gli dice di non preoccuparsi per la separazione dalla moglie, sarebbe andato lui a controllare se il soggetto ha precedenti di polizia. Se sono a prostitute ad esempio, ci può essere un addebito di separazione perché si viola l'obbligo di fedeltà. Caso del cancelliere in servizio presso il tribunale il quale avendo accesso aveva stretto un sodalizio con alcuni avvocati che si occupavano di reati che portavano all'applicazione di misure cautelari in carcere, diceva le misure che aveva preso il PM. Si voleva capire se questa condotta era rilevante per il 615 ter. Sul punto la giurisprudenza era abbastanza divisa. In parte diceva che il cancelliere rispondeva solo di corruzione. Finché le sezioni unite si sono pronunciate nel 2012. Il soggetto che ha le credenziali ma le utilizza per finalità diverse da quelle per le quali sono state concesse, rileva ai fini del 615 ter perché si ha violazioni delle misure di sicurezza sia quando si violano i limiti, sia quando ci sono operazioni di natura ontologicamente diversa da quelle cui il soggetto è tenuto. Il ragionamento della cassazione è che il titolare del sistema ammette un utente a determinate condizioni, se le condizioni vengono travalicate, ho una rilevanza penale della condotta. Quando il soggetto che accede a Sistema ha il possesso legittimo delle credenziali perché svolge un certo lavoro, il limite del lecito o dell'illecito lo vado a ricavare dalla disciplina regolamentare (regolamento interno) che disciplina l'uso di quel tipo di credenziali. La norma è sanzionatoria è "abusivamente" va letto come rimando al regolamento interno del luogo in cui il soggetto lavora. È pregevole che le Sezioni unite abbiano detto che questo comportamento è penalmente rilevante. D'altra parte ci si è interrogati sulle ricadute pratiche di questa soluzione: si è detto: è opportuno che sia un privato a decidere con un regolamento interno la rilevanza penale di un certo comportamento? È il regolamento interno che tracci ti confini della tipicità! E se il regolamento interno non c'è??? Il secondo punto affrontato dalla cassazione è se il comma 2 numero 1 sia una forma autonoma di reato oppure se sia una aggravante del 615 ter. Le sezioni unite dicono che è una circostanza aggravante. Se è aggravante entra nel bilanciamento e l'aggravio di pena può essere cancellato.
Art 615 quater
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.
615-quater. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.
Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164.
La pena è della reclusione da uno a due anni e della multa da euro 5.164 a euro 10.329 se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater (1) (2).
È una fattispecie prodromica rispetto al reato di acceso abusivo. Ho strumenti di accesso a sistemi informatici o telematici, ho per esempio un'attività di phishing. Il legislatore dice che hai il fatto di essersi procurato parole chiave purché quel sistema sia protetto da misure di sicurezza costituisce un reato ad hoc di cui al 615 quater. Il rapporto tra reato base 615 ter e fattispecie prodromica del quater gioca un ruolo nella ricostruzione dei relativi beni giuridici.
Il reato di acceso abusivo a sistema informatico è quello che ha più applicazione giurisprudenziale in ambito di reati informatici. Questo perché è un reato che viene spesso contestato in aggiunta ad altri reati in quanto la modalità con cui molti reati vengono commessi passa attraverso l'accesso abusivo a sistema informatico. Il 615 ter è norma che si ritene concorda con quasi tutti gli altri reati tranne il 615 quater, ovviamente. Concorre con il falso informatico, il danneggiamento informatico, la frode informatica ecc. c'è un concorso di reati
penale e resto dell’ordinamento. La questione più attuale nella giurisprudenza degli ultimi anni riguarda vari casi tra loro analoghi. Caso 1: datore di lavoro scopre che il lavoratore è infedele perché viola l’obbligo di fedeltà fornendo mail all’esterno e rivelando cose coperte dal segreto industriale oppure usa lo strumento informatico messo a disposizione dell’azienda per svolgere altri compiti extralavorativi. La legge 300/70 statuto dei lavoratori all’art. 7 stabilisce che il datore di lavoro, se il lavoratore non si giustifica, può emettere un provvedimento disciplinare che può portare anche al licenziamento del lavoratore. I lavoratori licenziati hanno cominciato a dire che il datore ha avuto la prova dell’infedeltà leggendo e violando la corrispondenza degli stessi. Anche il datore del lavoro ha commesso un reato ex 616 c.p. Allora nel momento in cui la prova dell’infedeltà è acquisita illecitamente non può più essere usata in sede giudiziale. In questa situazione giurisprudenziale si affacciano altre problematiche legate a due norme:
Un'altra soluzione viene individuata a livello comunitario nell’adozione di disciplinari interni. Si dice che si ha un problema perché si ha da un lato l’esigenza del datore di lavoro di controllare e dall’altra l’esigenza del lavoratore di mandare mail personali. Si adotta un disciplinare interno all’azienda che dice cosa si può fare con la mail. Il suo contenuto è stato codificato a livello nazionale dal garante per il trattamento dei dati personali nel 2007; esso dice che per evitare problemi legati a queste corrispondenze il datore di lavoro dice ai lavoratori:
mail al controllo dell’attività fatta attraverso sistemi informatici o telematici. Se io, per es., memorizzo i file di log di un computer è come se memorizzassi il contenuto del log perché si può individuare il sito internet. Il garante interviene in questo settore perché possono essere trattati dei dati sensibili (orientamento sessuale per es.). Si tratta di un’opera di delegificazione. La liceità o meno del comportamento non corrisponde più ad una fonte di diritto pubblico, ma da una fonte di diritto privato.
Gli artt. 617 quater, quinquies e sexies c.p. sono norme quasi disapplicate dalla giurisprudenza. “Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe , è punito con la reclusione da sei mesi a quattro anni. CO.2: Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma”. Caso 1. Il soggetto che abbandona il posto di lavoro e installi un fower automatico sulla mail indirizzate all’ex datore di lavoro. Siamo già nell’ambito di fraudolenta intercettazione. Caso 2. Lavoratore decide lui se far proseguire la comunicazione verso il datore di lavoro o se bloccarlo. Si tratta di impedire o interrompere la comunicazione. Il secondo comma ha avuto applicazione in un caso di Striscia la notizia che aveva pubblicato un servizio RAI di fuori onda. Il responsabile del programma è chiamato a rispondere di aver rivelato di contenuti e comunicazioni fraudolentemente intercettati. Questa sentenza dice che il comma due è un reato a se stante del comma due. Afferma che le comunicazioni devono essere intercettate e non è necessaria per aversi rilevanza penale della pubblicazione della comunicazione la intercettazione fraudolenta.
“Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. Viene applicato al fenomeno dell’applicazione degli skimmer sui bancomat. Ci sono due cassazioni che ritengono applicabile questa norma nelle ipotesi in cui si installano congegni per intercettare dati sulle carte bancomat.
“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. Norma quasi mai applicata se non per un fenomeno che si sta recentemente affacciando, quello del phishing. Esso è una tecnica di ingegneria sociale, modalità con la quale un soggetto si mette a studiare e controllare altre persone. Il neologismo deriva da p come password e fishing pescare perché ha il fine di recuperare credenziali di accesso. E possibile individuare una scansione temporale di phishing attack.
E' il furto di identità, significa pesca di psw. È una forma di social engenieering quindi una tipologia di comportamento sociale finalizzata a carpire informazioni personali. Questo attacco fishing funziona attraverso l'invio di mail per indurre l'utente a connettersi a una pagina web in cui ci sarà un formato che ci
cui si dice che questa seconda condotta è autonoma rispetto alla prima (l'intervento senza diritto non deve portare a un'alterazione del funzionamento ma può anche collocarsi nella situazione dove il sistema funziona correttamente) possiamo ritenere che la frode informatica si presti a sanzionare queste condotte
Il tribunale di Catania applica il furto, Milano dice che è frode informatica. C'è un altro reato che sta sullo sfondo che è quello di riciclaggio. È un reato importante dal punto di vista sanzionatorio: da 4 a 12 anni. È un reato che si trova applicato in queste situazioni, perché la condotta del fisher può sostanziarsi anche con quella in cui il fisher dopo aver disposto un pagamento in proprio favore dal mio conto, ne vuole entrare in possesso. Lo fa o attraverso contanti, oppure attraverso attività fatte su banca che sono di ostacolo rispetto all'individuazione del flusso di denaro. Il riciclaggio ha una clausola di concorrenza che esclude il concorso nel reato presupposto. Se io finisco la commissione del reato, e a valle un altro soggetto senza concorrere con me trasferisce le somme provenienti dal delitto presupposto, scatta il riciclaggio. Molto spesso il processo si attiva nei confronti di chi trasferisce i fondi! Questo fenomeno è estremamente rilevante. Le risposte sono tendenzialmente non sanzionatorie e o provengono dai privati o da istituti pubblici-privati. I primi ad intervenire sono stati gli uffici di banca Italia. A un certo punto gli istituti bancari hanno sentito l'esigenza di tutelarsi perché qualcuno ha cominciato a fargli causa per la negligenza, la colpa nella gestione del conto corrente perché tu banca sai le mie abitudini di pensionato e dovresti attivarti. Per questo chiedo il risarcimento, per la tua negligenza. Banca italia ha cominciato a cercare i sintomi di queste frodi elencando le situazioni che devono far scattare l'allarme da parte dell'istituto di credito. È a metà tra il privato e il pubblico perché gli indici sintomatici gli individua l'istituto privato banca italia ma l'individuazione delle operazioni come sospette era contenuta nella normativa 231/07 che si affianca al reato di riciclaggio e si compone di una serie di controlli che dovrebbero individuare le operazioni sospette che vanno segnalate all'ufficio del ministero dell'economia che poi andrà inoltrata eventualmente alla procura. Qui si inseriscono normative a livello comunitario e poi a livello nazionale. A livello nazionale ci sono state iniziative per fronteggiare il furto di identità: si è proposto di rimodulare il 494 occupandosi espressamente di furto di identità. Queste sono proposte ma quello che sta diventando realtà sulla lotta al furto di identità è una cooperazione pubblico-privato che funziona così: si mettono insieme una serie di banche dati affinché si verifichi in tempo reale se il soggetto che ho davanti è chi dice di essere. Si vuole creare una rete tra banche dati pubbliche e private che contengano i dati delle persone fisiche e consentano un controllo in tempo reale. Il soggetto che per vendermi il televisore mi eroga il finanziamento, può interrogare le banche dati per capire se il soggetto ha quella identità e risiede in quell'indirizzo. Il sistema, soprattutto, si collega con un meccanismo interbancario che serve per segnalare operazioni sospette. L'ultimo tassello di questo sistema è che in ogni caso il soggetto a cui è stato fatto il finanziamento, riceverà a casa una comunicazione in cui si dice: da Trony hai fatto un finanziamento per acquistare quel televisore. È un sistema rilevante se c'è stato il furto di identità. È un sistema in fase di implementazione ma è un sistema di avanguardia. Non è sanzionatorio.
pensiamo all'art 167 d.lgs 196/2003 che riguarda l'illecito trattamento di danni personali il fatto che il fisher si impossessi dei miei dati, è un trattamento di dati personali che in alcuni requisiti può essere penalmente sanzionato. L'illecito trattamento di dati personali si apre con una clausola di sussidiarietà espressa: “salvo che il fatto costituisca più grave reato”. Non è un reato informatico in senso stretto, ma che viene facilitato dall'utilizzo dell'informatica. La clausola di sussidiarietà è il motivo per il quale tale articolo non ha grandissima diffusione applicativa perché molte volte ci sono reati più gravi che ne assorbono il disvalore. La norma dice: “chiunque”. È reato proprio o comune? Il fatto che il legislatore dica chiunque, non significa sempre che sia un reato comune. Anche su questo aspetto, c'è un dibattito a livello giurisprudenziale e dottrinale. Alcuni valorizzano il fatto che questo reato si applichi a tutti i soggetti, indipendentemente dalle qualifiche soggettivi, che svolgano una attività di trattamento di dati e quindi costruisce la fattispecie come reato comune. La giurisprudenza più recente tende a qualificare tale reato come reato proprio perché può
essere commesso solo da chi ha una qualifica soggettiva specifica e in particolare che sia il responsabile o titolare del trattamento dei dati personali. Il titolare del trattamento è chi decide: quali dati raccogliere, come raccoglierli, cosa farne. È chi ha il dominio su quei dati. Il fatto che ci sia un titolare del trattamento non significa che il dato sia materialmente trattato da quel soggetto. Se io sposo la prima interpretazione, anche una persona che si occupa dell'aspetto informatico e tratta il dato come incaricato può commettere tale reato. Se invece sposo la seconda impostazione, il reato può essere commesso solo dal soggetto che sta al vertice, titolare del trattamento e non da quelli che sono incaricati da lui a trattare i dati. Gli altri al massimo potranno rispondere per concorso!
La fattispecie non è meramente sanzionatoria ma ha una forte connotazione di sanzione del dato extra penalistico. Essa sanziona condotte di trattamento dei dati personali in violazione di una serie di disposizioni del codice di trattamento dei dati personali. Nel decreto si dice che dato personale è qualsiasi informazione relativa a persona fisica. Fino al 2001 era anche persona giuridica. L'intento era di ammorbidire questo fardello per le persone giuridiche perché magari le persone giuridiche hanno meno interesse alla circolazione dei dati personali. Tra gli artt citati c'è l'art 23 che prevede che il trattamento di dati personali debba avvenire con il consenso dell'interessato. La regola generale dell'art 23 è che se tratto un dato personale devo avere il consenso dell'interessato che è la persona fisica titolare del dato il trattamento può avvenire senza consenso quando si tratti di elenchi pubblici come ad esempio elenco del telefono. Non tutto ci; che sta su internet è dato pubblico. La norma che contiene il principio del consenso, ha norme che riguardano il trattamento dei dati da parte di enti pubblici.
Il bene giuridico tutelato dalla norma, potrebbe sembrare la riservatezza del soggetto. Riservatezza oggi significa, non diritto ad essere lasciati soli, ma diritto a controllare la circolazione dei propri dati. Sicuramente la riservatezza sta sullo sfondo ma è uno degli interessi. Il 167 non è posto a tutela della riservatezza tout court ma è una norma posta a tutela di un interesse strumentale perché si vuole tutelare il corretto trattamento del dato. Che cosa è il nocumento? la giurisprudenza dice che il nocumento è una condizione obiettiva di punibilità. Il reato è un reato di condotta, ma il legislatore ha ritenuto che non ogni violazione di quegli articoli meriti sanzione penale, ma solo la violazione che produca nocumento, un danno. La giurisprudenza ricava questa conseguenza dicendo che è evidente che sia condizione obiettiva di punibilità e non un evento, perché è un profilo di dolo specifico e quindi se dico che il dolo specifico ha una finalità che non deve essere raggiunta ma animarlo, non ha senso che il legislatore dica che ci vuole il dolo specifico e poi che è necessario. Il nocumento è condizione obiettiva di punibilità. La dottrina maggioritaria non è d'accordo perché dice che il disvalore della fattispecie sta nella verificazione del documento. L'illecito trattamento dei dati personali va sanzionato quando ci sia danno. Sul piano civilistico c'è risarcimento quando ci sia danno. Il nocumento non può essere condizione obiettiva di punibilità perché le condizioni obiettive di punibilità non sono legate con nesso di causa con la condotta mentre qui sembra esserci, e poi non devono essere coperte da dolo. Non fanno parte del fatto tipico, e quindi se noi diciamo che oggetto del dolo devono essere il fatto tipico, se la condizione obiettiva di punibilità sta fuori dal fatto tipico, non deve essere oggetto di dolo. Il che però si pone in contrasto con la lettura costituzionalmente orientata delle fattispecie di reato che risulta dall'art 27 cost così come sviluppato dalla sentenza 364/88 che dice “gli elementi fondamentali della fattispecie devono essere coperti da un profilo di elemento soggettivo, ci vuole almeno la colpa. Gli elementi fondamentali della fattispecie non possono star fuori dal fatto tipico e quindi a prescindere da una copertura soggettiva ma devono stare dentro il fatto tipico e quindi guadagnare copertura anche sul piano dell'elemento soggettivo. Questo ragionamento porta alcuna dottrina a dire: il nocumento non è condizione obiettiva di punibilità ma è elemento, certo questo svuota il dolo specifico, però su una scala di bilanciamento (salvo un elemento di fattispecie ma vado contro un dettato costituzionale o viceversa), la dottrina propende per la lettura costituzionalmente orientata della norma anche se sono costretto a far conto con un dato testuale , “arrecare danno” che apparentemente sembra non coerente. Ultio aspetto: “consiste nella comunicazione o diffusione del dato” anche qui si è detto, la comunicazione o diffusione che qualificazione giuridica ha? C'è chi ha detto che il fatto della comunicazione o diffusione è un ulteriore condizione obiettiva di punibilità. Cioè il fatto è sempre quello, vado a vedere. Se deriva nocumento, condizione obiettiva di punibilità base ho una pena base. Se abbiamo comunicazione o diffusione, condizione obiettiva di punibilità numero 2, ho una pena più alta. La soluzione corretta però, è dire comunicazione e diffusione solo delle modalità di condotta. Non sono condizioni obiettive di punibilità! Sono condotta perché se noi prendiamo la definizione di trattamento, ci troviamo dentro anche la comunicazione o diffusione. È il testo unico privacy che ci dice che rientra nel concetto di trattamento non solo la raccolta, manipolazione ma anche la comunicazione o diffusione e quindi sono sostanzialmente una specificazione della condotta base.
Questa norma punisce la pedopornografia con una fattispecie a cascata. Il primo comma punisce la produzione, il secondo la commercializzazione, il terzo comma la distribuzione ad incertam personam, il quarto punisce lo scambio ad certam persoam di materiale pedopornografico. Il cuore della condotta di cui al co. 1, n.1 è produrre materiale pornografico utilizzando minori. La spinta all’introduzione di questa fattispecie è stata la rete, internet nel 1998. “salvo che il fatto…” si tratta di clausola risolutiva espressa. Sono ipotesi quella previste dal 600 ter che vanno dalla più grave alla meno grave.
Art. 600-quater. Chiunque, al di fuori delle ipotesi previste dall'articolo 600-ter, consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto, è punito con la reclusione fino a tre anni e con la multa non inferiore a euro 1.549. La pena è aumentata in misura non eccedente i due terzi ove il materiale detenuto sia di ingente quantità.
Questo articolo punisce la mera detenzione di materiale pedopornografico. Il minimo della pena è di 15 giorni. Occorre il dolo intenzionale. Nel 1 co. 600 ter si parla di materiale pornografico prodotto “utilizzando minori”. La formulazione precedente del codice era “sfruttando minori”. Il rischio era che lo sfruttamento si aveva solo quando si avesse un profitto economico, anche se la giurisprudenza non lo intendeva così, il legislatore attuò ugualmente la riforma. Dobbiamo prima di tutto definire quale sia il materiale pornografico. Es. Se io ritraggo minore nudo a sua insaputa, quindi senza costrizione (esibizione lasciva) si ha pornografia minorile? Secondo alcuni non si avrebbe nessun pregiudizio all’integrità sessuale del minore. Con integrità sessuale si intende l’interesse a che il minore non venga turbato nel suo sviluppo armonico dal compimento di atti sessuali che potrebbero pregiudicare la sua personalità.
Nei protocolli opzionali della Convenzione di New York del 2000 si danno delle definizioni per far si che sia la stessa in tutti i paesi che hanno aderito alla convenzione.
quel momento la tutela. Si punisce perché quel materiale potrebbe essere sempre messo in circolo. Si ha un'anticipazione della tutela dando una definizione di pornografia più ampia.
Sent. 8285/09. Questa sentenza dice che riprendere a sua insaputa un minore che si sta cambiando nella piscina o nella spogliatoio è pornografia minorile. È un'anticipazione della tutela. Il fine è quello di stroncare qualsiasi rischio, anche presunto, di circolazione del materiale. Si riprende la definizione di pornografia dei protocolli addizionali di New York. Oggi il problema è risolto dalla legge. Tra la definizione soggettiva di NY e la definizione oggettiva di Budapest interviene la Convenzione di Lanzarote che dice che è pornografia quella eseguita con qualsiasi mezzo su un minore degli anni 18 con qualsiasi attività sessuale sia implicita che esplicita o qualunque rappresentazione degli organi sessuali di un minore degli anni 18. oggi il problema è risolto ex lege. Il problema interpretativo sussisteva nella sentenza della doccia quando ancora Lanzarote non era intervenuto. Questa definizione non si applica retroattivamente.
Esistono diversi modelli interpretativi che spesso implicitamente la giurisprudenza di legittimità segue abbiamo anche fatto l’esempio del canone di tipo sistematico per cui prendono tutte le possibili interpretazioni di una norma e si guarda se sono compatibili con il sistema del suo insieme; infatti se fossero in contrasto con un principio dell’ordinamento o con un’altra norma allora quell’interpretazione andrebbe rifiutata e ne andrebbe adottata un’altra più consona. Ci dobbiamo chiedere: il consenso vale per il compimento di atti sessuali, allora ha senso che il consenso valga anche nel caso in cui il minore compia anche degli atti non prettamente sessuali (filmare rapporto sessuale)? Ciò che pregiudica al minore di anni 14 è si il compimento di atti sessuali, non tanto la ripresa e la realizzazione di materiale che riprende l’atto. Quindi se il consenso rileva per una fattispecie più pregiudizievole, come quella degli atti sessuali, che senso ha che non valga per la mera ripresa? Questo problema nasce perché al di fuori dei soggetti ex art. 609 quater il limite oltre il quale il consenso ritenuto valido è 14 anni, mentre la pedopornografia fa riferimento al limite di età di 18 anni.
Art. 609-quater. Atti sessuali con minorenne. Soggiace alla pena stabilita dall'articolo 609-bis chiunque, al di fuori delle ipotesi previste in detto articolo, compie atti sessuali con persona che , al momento del fatto:
Il 609 quater punisce con le stesse pene del 609 bis, salvo i casi della violenza sessuale, chi compie atti sessuali con persona che ha meno di 14 anni o ha meno di 16 anni e il colpevole abbia un determinato legame con la vittima. La pedopornografia minorile invece prevede che la vittima abbia meno di 18 anni. Questo è appunto il problema di cui prima. Questo problema si pone sia per il 600 ter e per il 600 quater. La situazione in cui due persone compie atti sessuali e una delle due è minore e l’atto sessuale viene ripreso viene chiamata pedopornografia intima. Si ha riproduzione di materiale pedopornografia, ma avviene nella coppia con il consenso di entrambi. Di solito la richiesta di filmare proviene dalla ragazza più giovane. Si risponde del reato anche se questo consenso? Si tratta di un problema rilevante. È una questione che è stata affrontata più di una volta dalla giurisprudenza, che l’ha risolta sempre nella rilevanza di tali condotte. Colui che filma, anche con pieno consenso, il rapporto con una minorenne risponde anche di detenzione e produzione di materiale pedopornografico.