Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Reati Informatici: Analisi del Codice Penale Italiano, Appunti di Diritto Penale

Appunti del corso di diritto penale dell'informatica prof Grotto

Tipologia: Appunti

2014/2015

Caricato il 14/09/2015

giorgia40
giorgia40 🇮🇹

4.7

(14)

9 documenti

1 / 49

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Diritto penale dell'informatica
(prof. Grotto)
Il diritto penale dell'informatica ha la caratteristica che nel nostro ordinamento non c'è una legge ad hoc che
disciplina i reati informativi. Dobbiamo andarli a cercare dove essi si trovano! La prima caratteristica del diritto
penale dell'informatica è che esso comprende diverse tematiche, alcune disciplinate nel codice penale mentre
molte altre sono fuori dal codice penale. Nel codice penale, troviamo una serie di reati identificati come cyber
crimes (frode informatica, accesso abusivo, danneggiamento informatico). Questi fenomeni trovano una
disciplina sanzionatoria nel codice penali. Troviamo poi nel codice penale la disciplina di tutela dei minori.
Pensiamo alla pedopornografia online.
Nel codice penale troviamo poi alcune norme utili per affrontare un altro grande tema che è quello della
responsabilità del service provider (the pirate bay ecc). Questo tema non ha ad oggi una disciplina completa.
Dovremo usare le norme classiche: concorso di persone e 40.2 (clausola di equivalenza che afferma che il non
impedire un evento che si ha l'obbligo giuridico di impedire equivale a cagionarlo, reato omissivo improprio).
Il service provider può essere tenuto a impedire il reato commesso da terzi?
Fuori dal codice penale troviamo altri due temi oggetto di analisi del corso che sono:
Tutela penale del diritto d'autore che si trova in una legge ad hoc sul diritto d'autore;
Tutela dei dati personali: reati ad essi legati che sono molto più facilmente commissibili attraverso
internet.
Il diritto penale dell'informatica nasce su spinta, si iniziativa comunitaria: molta parte della normativa
nazionale è di origine comunitaria. Il primo strumento normativo di carattere comunitario è la
Raccomandazione del 1989 del consiglio d'Europa. È un atto del Consiglio d'Europa e si tratta di una
raccomandazione e quindi è uno strumento paranormativo che non è tecnicamente vincolante. Questo primo
dato comunitario sollecita gli stati che fanno parte del consiglio d'Europa ad occuparsi di problemi legati al
mondo dell'informatica ma in chiave sanzionatoria penale. Già nel 1989 l'invito è quello di dire che se c'è il
problema della criminalità informatica, i singoli stati se ne devono occupare adeguando le legislazioni
interne. Si parla di lista minima perché la raccomandazione conteneva una lista minima destinata a tutti il cui
scopo è dire che c'è un problema e bisogna confrontarsi con queste cose (frode informatica, falsi documenti
ecc.). Poi c'è una lista facoltativa per i più virtuosi. La prima questione che emerge dalla lista minima è quella
della frode informatica mentre l'ultima questione è l'acceso non autorizzato. La frode informatica è quindi la
base. Sono questi i reati a cui si pensa perché siamo al primo ingresso del computer, dell'elaboratore.
L'accesso non autorizzato e alla fine della lista perché nel 1989 internet non esiste ancora.
Nel successivo atto di natura sovranazionale, Convenzione cyber crime del 2001 abbiamo al primo articolo
l'accesso illegale e all'ultimo la frode informatica! Abbiamo quindi un'inversione. Tale convenzione si colloca
nell'ambito del consiglio d'Europa. Questa volta non è più una raccomandazione ma una
convenzione
! Essa
ricopre un'importanza fondamentale nel diritto penale dell'informatica. È una convenzione che ha bisogno di
qualche modifica perché risalente nel tempo. È importante il fatto che sia obbligatoria perché lo stato si deve
adeguare ad essa. Inoltre, essa non è stata solo sottoscritta dai membri del consiglio d'Europa ma anche da
altri paesi che non sono membri del consiglio d'Europa come ad esempio il Giappone, il Sudafrica, gli USA. si
sono obbligati alla ratifica dello strumento internazionale e cioè ad introdurre quantomeno questo tipo di
fattispecie penale. Il cambio nel 2001 è importante perché è vincolante e perché è aperta alla sottoscrizione
anche di soggetti terzi. L'aspetto dello studio del reato va calato nella relata pratica. Ci sono casi in cui è
difficile capire la giurisdizione prevalente nel caso di utilizzo di un computer all'estero per commettere un
reato in un altro paese. E poi: come posso raccogliere la prova di accesso abusivo ad accesso informatico?
Arriviamo poi a strumenti comunitari più comuni. Decisione quadro del 2005 sugli attacchi informatici. È uno
strumento di terzo pilastro, di carattere comunitario. È un contesto che non è più internazionale. Questo
percorso arriva al Trattato di Lisbona in cui all'articolo 83 si dice che ci possono essere direttive che
prevedono un elenco di reati e di sanzioni! Questo è un dato assodato perché fissato nella normativa
comunitaria ma per molto tempo ci si è chiesti se il potere normativo comunitario potesse attraverso lo
strumento della direttiva prevedere dei reati. Tuttavia, non solo parlamento e consiglio europeo possono
decidere cosa è penalmente rilevante e cosa no, ma posso anche dirti, stato membro, quale sanzione devi
applicare. Questo strumento la comunità non ce l'ha per tutte le materie ma per terrorismo, riciclaggio
contraffazione di mezzi di pagamento, criminalità informatica. La criminalità informatica è uno degli ambiti
che rientra nella competenza comunitaria. L'unione europea quindi può adottare direttive che prevedano
reati e sanzioni in materia di criminalità informatica.
La decisione quadro del 2005 è stata aggiornata nel 2013 e l'aggiornamento ha assunto la forma di direttiva
40/2013. Abbiamo una direttiva comunitaria che ci da un elenco di fattispecie di reato, ci dice che quelle
condotte devono essere previste come reato e ci dice anche le sanzioni! Ci dice che devono essere dissuasive,
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31

Anteprima parziale del testo

Scarica Reati Informatici: Analisi del Codice Penale Italiano e più Appunti in PDF di Diritto Penale solo su Docsity!

Diritto penale dell'informatica

(prof. Grotto)

Il diritto penale dell'informatica ha la caratteristica che nel nostro ordinamento non c'è una legge ad hoc che disciplina i reati informativi. Dobbiamo andarli a cercare dove essi si trovano! La prima caratteristica del diritto penale dell'informatica è che esso comprende diverse tematiche, alcune disciplinate nel codice penale mentre molte altre sono fuori dal codice penale. Nel codice penale, troviamo una serie di reati identificati come cyber crimes (frode informatica, accesso abusivo, danneggiamento informatico). Questi fenomeni trovano una disciplina sanzionatoria nel codice penali. Troviamo poi nel codice penale la disciplina di tutela dei minori. Pensiamo alla pedopornografia online. Nel codice penale troviamo poi alcune norme utili per affrontare un altro grande tema che è quello della responsabilità del service provider (the pirate bay ecc). Questo tema non ha ad oggi una disciplina completa. Dovremo usare le norme classiche: concorso di persone e 40.2 (clausola di equivalenza che afferma che il non impedire un evento che si ha l'obbligo giuridico di impedire equivale a cagionarlo, reato omissivo improprio). Il service provider può essere tenuto a impedire il reato commesso da terzi? Fuori dal codice penale troviamo altri due temi oggetto di analisi del corso che sono:

  • Tutela penale del diritto d'autore che si trova in una legge ad hoc sul diritto d'autore;
  • Tutela dei dati personali: reati ad essi legati che sono molto più facilmente commissibili attraverso internet. Il diritto penale dell'informatica nasce su spinta, si iniziativa comunitaria: molta parte della normativa nazionale è di origine comunitaria. Il primo strumento normativo di carattere comunitario è la Raccomandazione del 1989 del consiglio d'Europa. È un atto del Consiglio d'Europa e si tratta di una raccomandazione e quindi è uno strumento paranormativo che non è tecnicamente vincolante. Questo primo dato comunitario sollecita gli stati che fanno parte del consiglio d'Europa ad occuparsi di problemi legati al mondo dell'informatica ma in chiave sanzionatoria penale. Già nel 1989 l'invito è quello di dire che se c'è il problema della criminalità informatica, i singoli stati se ne devono occupare adeguando le legislazioni interne. Si parla di lista minima perché la raccomandazione conteneva una lista minima destinata a tutti il cui scopo è dire che c'è un problema e bisogna confrontarsi con queste cose (frode informatica, falsi documenti ecc.). Poi c'è una lista facoltativa per i più virtuosi. La prima questione che emerge dalla lista minima è quella della frode informatica mentre l'ultima questione è l'acceso non autorizzato. La frode informatica è quindi la base. Sono questi i reati a cui si pensa perché siamo al primo ingresso del computer, dell'elaboratore. L'accesso non autorizzato e alla fine della lista perché nel 1989 internet non esiste ancora. Nel successivo atto di natura sovranazionale, Convenzione cyber crime del 2001 abbiamo al primo articolo l'accesso illegale e all'ultimo la frode informatica! Abbiamo quindi un'inversione. Tale convenzione si colloca nell'ambito del consiglio d'Europa. Questa volta non è più una raccomandazione ma una convenzione! Essa ricopre un'importanza fondamentale nel diritto penale dell'informatica. È una convenzione che ha bisogno di qualche modifica perché risalente nel tempo. È importante il fatto che sia obbligatoria perché lo stato si deve adeguare ad essa. Inoltre, essa non è stata solo sottoscritta dai membri del consiglio d'Europa ma anche da altri paesi che non sono membri del consiglio d'Europa come ad esempio il Giappone, il Sudafrica, gli USA. si sono obbligati alla ratifica dello strumento internazionale e cioè ad introdurre quantomeno questo tipo di fattispecie penale. Il cambio nel 2001 è importante perché è vincolante e perché è aperta alla sottoscrizione anche di soggetti terzi. L'aspetto dello studio del reato va calato nella relata pratica. Ci sono casi in cui è difficile capire la giurisdizione prevalente nel caso di utilizzo di un computer all'estero per commettere un reato in un altro paese. E poi: come posso raccogliere la prova di accesso abusivo ad accesso informatico? Arriviamo poi a strumenti comunitari più comuni. Decisione quadro del 2005 sugli attacchi informatici. È uno strumento di terzo pilastro, di carattere comunitario. È un contesto che non è più internazionale. Questo percorso arriva al Trattato di Lisbona in cui all'articolo 83 si dice che ci possono essere direttive che prevedono un elenco di reati e di sanzioni! Questo è un dato assodato perché fissato nella normativa comunitaria ma per molto tempo ci si è chiesti se il potere normativo comunitario potesse attraverso lo strumento della direttiva prevedere dei reati. Tuttavia, non solo parlamento e consiglio europeo possono decidere cosa è penalmente rilevante e cosa no, ma posso anche dirti, stato membro, quale sanzione devi applicare. Questo strumento la comunità non ce l'ha per tutte le materie ma per terrorismo, riciclaggio contraffazione di mezzi di pagamento, criminalità informatica. La criminalità informatica è uno degli ambiti che rientra nella competenza comunitaria. L'unione europea quindi può adottare direttive che prevedano reati e sanzioni in materia di criminalità informatica. La decisione quadro del 2005 è stata aggiornata nel 2013 e l'aggiornamento ha assunto la forma di direttiva 40/2013. Abbiamo una direttiva comunitaria che ci da un elenco di fattispecie di reato, ci dice che quelle condotte devono essere previste come reato e ci dice anche le sanzioni! Ci dice che devono essere dissuasive,

proporzionate e anche la durata minima della pena. Lo strumento comunitario specifica anche quali sono i soggetti che possono rispondere di questo tipo di reati. Dal 2001 possono rispondere di reato anche gli enti, anche le persone giuridiche. La direttiva generalmente non è molto tecnica ma in questo tema accade spesso che vi siano delle connotazioni specifiche. Già a livello comunitario, i principi di tassatività, determinatezza sono propri dell'unione europea. C'è una risoluzione del parlamento europeo del 2012 in cui troviamo elencati alcuni principi fondamentali: offensività, sussidiarietà, colpevolezza, certezza del diritto, non retroattività, presunzione di innocenza. La scrittura della singola fattispecie sulla base della direttiva spetta al singolo stato, ma le indicazioni a livello comunitario hanno molto spesso elementi di fattispecie. Ci sono due principi a livello comunitario:

  • È penale tutto ciò che ha pene di carattere afflittivo
  • L'interpretazione del dato giuridico deve essere prevedibile e se non lo è valgono i principi in materia di dritto penale

Evoluzione della normativa italiana Sono due le tappe evolutive fondamentali:

✔ Delitti introdotti nel codice penale dalle leggi 547/1993 e 48/2008: il legislatore ha come riferimento la raccomandazione dell' ✔ Reati presupposti dal "codice" della privacy t.u. 196/2003: ha come riferimento la convenzione del

Una opzione possibile era: faccio una legge ad hoc "reati in materia informatica" ma non viene fatta perché il legislatore è intervenuto innanzitutto nel codice penale perché a livello di politica criminale da spesso si parla di riserva di codice o depenalizzazione. Si vuole intendere che il codice penale dovrebbe avere tutte le fattispecie penali più rilevanti. Ma come li inserisco nel codice penale? Posso inserirli in un titolo ad hoc, reati informatici. Invece il legislatore decide di mettere i reati informatici in modo da collocarli in diversi titoli del codice penale. Es. art 392 co 3, 420 co 2 e 3, 616 ecc.

Bene giuridico tutelato il bene giuridico ha l'importante funzione di aiutare l'interpretazione. Io lo individuo guardando il fatto tipico ma anche in base alla collocazione della fattispecie. Se sono nei reati contro il patrimonio, so che il bene giuridico tutelato è il patrimonio. Le fattispecie di diritto penale dell'informatica vengono tendenzialmente raggruppate a seconda che tutelino beni tradizionali o analoghi allo stesso (la frode informatica tutela il patrimonio come la frode classica). Queste fattispecie però tutelano a volte beni giuridici nuovi che prima non erano conosciuti dall'ordinamento come ad esempio la riservatezza informatica, la disponibilità di dati e sistemi. Se io prendo il reato di danneggiamento informatico, lo trovo collocato nei reati a tutela del patrimonio perché il danneggiamento tradizionale è a tutela del patrimonio. Tuttavia, se cancello il contenuto di un computer, il danno non si può definire patrimoniale in senso stretto. È molto più pregnante l'interesse al dato informatico. Voglio decidere io se cancellare il dato o no, a chi renderlo disponibile. Per alcuni reati si individuano quindi beni giuridici nuovi perhce con il dato informatico il bene giuridico diventa nuovo come ad esempio sicurezza informatica o riservatezza informatica.

Il legislatore italiano è intervento anche con altre modalità:

  1. Nuove fattispecie incriminatrici: frode informatica (640 ter) danneggiamento informatico 635 bis ter quater
  2. Norme di carattere definitorio: norme che non sono incriminatrici, non prevedono nuovi reati! Riguardano la definizione dell'oggetto materiale della condotta. Ciò avviene nell'ambito del documento informatico (491 bis c.p). Tutte le norme poste a tutela del documento cartaceo vengono ribaltate sul documento informatico. Intervengo sulla definizione dell'oggetto materiale della condotta. Anche nel documento informatico segreto (621.2 c.p)
  3. Estensioni di nozioni comuni: corrispondenza (616.4 c.p) e violenza sulle cose (392.3 c.p-> è una fattispecie modificata quando il legislatore ha scritto i primi reati informatici e si è occupato del caso della possibilità di continuare a fruire dei sistemi informatici una volta risolto il carattere civilistico. Es. società di software che da quello per la contabilità, non mi pagano, non do più il software. È un esercizio arbitrario delle proprie ragioni! Per questo il legislatore pensa a questa fattispecie) sono concetti che fino al 93 il legislatore utilizzava senza definirli.

FRODE INFORMATICA (640 ter CP) È un reato informatico che secondo una ripartizione convenzionale è un reato informatico in senso stretto perché in dottrina si distingue tra:

in errore o di atto di disposizione da parte del soggetto passivo ma parla di alterazione. Il legislatore non dice cosa intende per sistema informatico o telematico ma a livello di convenzione cyber crime del 2001 una definizione di sistema informatico c'è. La convenzione lo definisce come un device o un gruppo di devices che eseguono un processo automatizzato di trattamento dei dati. È un sistema in grado di processare automaticamente dei dati.

  • Si parla di alterazione in qualsiasi modo: si dice che il legislatore abbia fatto una apertura verso qualsiasi modalità di condotta che può riguardare l'input, l'output è il meccanismo di funzionamento del sistema informatico. Posso avere una alterazione del dato in fase di inserimento, ma anche una alterazione nella fase di processo, di elaborazione di quel dato. La norma parla poi di sistema telematico e il legislatore è stato lungimirante. La norma viene scritta nel 1993 ma già in quel momento pensa ad un sistema composto da più macchine tra loro interconnesse. Ecco perché la norma non ha subito modifiche nel tempo. Ecco perché tale norma può essere classificata come computer crime ma anche come cyber crime.
  • "Intervenendo senza diritto.....o ad esso pertinenti": questa seconda condotta ha subito una evoluzione interpretativa perché all'inizio si era detto che, pensandoci, questo inter vendendo senza diritto è una modalità alternativa di commettere il reato che è una species del più ampio genus di intervento di alterazione del funzionamento del sistema. È una precisazione che non ha una propria autonomia. Questa quesitone si è superata quando si è passati da sistema informatico a telematico. Si dice che la seconda parte della norma non va sottovalutata perché si presta a a sanzionare le condotte criminose nelle quali è necessario che il sistema informatico funzioni perfettamente (es. se qualcuno sottrae le credenziali di accesso ad un sistema informatico, e poi accede al mio sistema informatico, ha necessità che il sistema funzioni perfettamente e si attivi così come esso è stato programmato!). In queste situazioni, la seconda parte del 640 ter si presta a prevedere una tutela sanzionatoria perché è un intervento su dati, informazioni o programmi ma è esercitato senza diritto e cioè con quella modalità di illiceità speciale da parte di chi non è titolare ed è un intervento che riguarda dati informazioni o programmi ivi contenuti. Il dato è di carattere unitario (numero, password) mentre l'informazione è un dato aggregato (username e password). Se intervento senza diritto è uguale manipolazione la conseguenza è che il soggetto non risponde di frode informatica ma di furto e quindi non più 640 ma 624 se si impossessa di somme di denaro depositate sui conti correnti. Il bancario può operare sui conti correnti. Se leggo il 640 ter come fattispecie ridondante rispetto alla prima dico che non c'è frode informatica perché non c'è alterazione del funzionamento del sistema informatico poiché esso funziona come deve funzionare. Se invece leggo la seconda condotta come autonoma dico: c'è intervento senza diritto? Si c'è, allora il reato è consumato. Tra truffa e frode informatica l'elemento che rimane comune è il doppio evento di danno con altrui profitto. C'è poi un problema di individuazione della competenza. Se sono a Trento e pago una filiale a Verona? Se penso che il reato si consumi nel momento in crisi contrae l'obbligazione, sarà competente Trento. Se invece si verifica quando pago, allora competente è Verona.

La fattispecie di frode informatica è stata introdotta nel 1993 e non ha subito modifiche. Nel 2008 l'intervento non ha riguardato la frode informatica. Un adeguamento c'è stato con la 119 del 2013 che da una circostanza aggravante ad effetto speciale se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti. È la prima disposizione in cui il legislatore si confronta con il furto di identità. Il furto di identità consiste nel far credere di essere una certa persona quando in realtà non lo si è. Al 494 si parla di sostituzione di persona ma il furto di identità è un fenomeno più complesso. Il primo problema è il fatto che il legislatore parla di identità digitale ma non definisce che cosa si debba intendere. Per questo si è cercato di agganciare l'elemento dell'identità digitale a altre disposizioni normative non penali che però contengano una definizione analoga.

Il 640 ter ha un aggravante che punisce più gravemente se chi commette il fatto è operatore di sistema. Il codice c penale non mi dice chi è operatore di sistema ma me lo dice un dato che ha a che fare con il trattamento dei dati personali. La risposta data è che il concetto del codice penale è più ampio e si presta a ricomprendere tutti i soggetti che con il sistema informatico abbiano un rapporto privilegiato. La ragione della sanzioni più grave si giustifica dal fatto che il reato è commesso proprio da chi ha un vincolo fiduciario con il soggetto danneggiato. Questa disposizione va combinata con quella dell'articolo 240 che disciplina la confisca. Per molti reati informatici, è prevista come sanzione accessoria la confisca. Oggi si parla di sanzione perché nel codice penale le misure di sicurezza dicono che vanno applicate quelle in vigore nel momento in cui sono applicate. Vale il principio tempus regit actum. Ovvero: se io nel 2013 applico una misura di sicurezza io prendo la disciplina in vigore nel 2013. Se commetto il fatto nel 2013 è la misura di sicurezza me la applicano nel 2015

ma nel frattempo la Disciplina delle misure di sicurezza è cambiata, la norma del codice penale mi dice che nel 2015 il legislatore deve applicare la disciplina vigente in quel momento, indipendentemente dal fatto che sia più o meno favorevole. Si applica quella vigente nel momento in cui viene applicata la misura di sicurezza. Tale affermazione è contraria all'applicazione della norma penale: all'articolo 2 abbiamo il principio di irretroattività, il principio di applicazione della legge più favorevole al reo ecc. tutta una serie di meccanismi a tutela del reo che le misure di sicurezza non contemplano. Nel caso della confisca c'è stata una interpretazione giurisprudenziale che ha portato a dire che la confisca, essendo afflittiva, è pena! È sanzione, pena, accessoria che consegue automaticamente al fatto di reato. La sanzione principale è 640 ter, la sanzione accessoria è il 240 ed è automatica ma è afflittiva e quindi è pena e soggiace ai principi previsti per i fatti costituenti reato. Questo è stato detto a livello comunitario dalla Corte europea dei diritti e dell'uomo e dalla corte di giustizia, a livello nazionale dalla corte costituzionale che si è espressa sulla confisca del veicolo in seguito a guida in stato di ebrezza. Confisca del veicolo: se da oggi a domani introduco la confisca e oggi mi fermano e trovano che il mio tasso alcolemico non è regolare, scatta il procedimento penale ma domani il legislatore introduce la sanzione accessoria che è quella tale per cui sopra un certo livello di ebrezza alcolica, non hai solo la sanzione principale ma anche la confisca del veicolo. Il problema è che: se io dico misura di sicurezza, io oggi commetto il fatto e la confisca non c'è ma mi giudicano domani e la confisca c'è, mi confiscano il veicolo. Se è pena invece no perché il fatto l'ho commesso oggi e nel momento in cui ho commesso il fatto la norma non era in vigore e quindi non posso essere destinatario di una sanzione che abbia efficacia retroattiva. L'aspetto più interessante è che il 240 prevede la confisca dei beni utilizzati in tutto in parte per la Commisione dei reati. Questa modifica normativa è un caso di lobbing del potere giudiziario sul potere legislativo perché la previsione della confisca dello strumento informatico è una sanzione fortemente voluta dal pool che si occupa di reati informatici previsto in procura della Repubblica. Perché non possono aspettare che il ministero compri strumenti all'avanguardia e quindi usano quelli degli hacker. Di solito infatti si confisca il prezzo del reato... Non il mezzo!

DOCUMENTO INFORMATICO ART 491 BIS C.P

È una fattispecie posta a tutela di beni giuridici già conosciuti dal codice penale. Questa fattispecie, è stata dapprima introdotta nel 93, ma poi è stata modificata nel 2008. Sono questi i due momenti in cui il legislatore è interventista in materia di criminalità informatica. Per capire le ragioni della modifica del 2008 partiamo dal testo originario. La norma del '93 prevede una formula articolata per dire che tutte le fattispecie che noi troviamo agli artt 476 e seguenti, sono sanzionare sia che abbiano ad oggetto documenti tradizionali, sia che abbiano ad oggetto documenti di carattere informatico. Dal punto di vista del bene giuridico, la collocazione e la struttura del 491 bis non lascia spazio a dubbi: quando parlo di falso tradizionale o informatico, il bene giuridico tutelato è sempre la fede pubblica. Possiamo definirla fede pubblica documentale che consiste nel fatto che la collettività fa affidamento sulla genuinità, veridicità, di documenti. Quando presentiamo il libretto universitario, tutti i voti precedenti fanno fede nei confronti della comunità. C'è un aspetto peculiare dei reati di falso. C'è una giurisprudenza consolidata che esclude la rilevanza penale di fatti che pur essendo astrattamente tipici, in realtà non sono offensivi, falsità documentali che, vuoi perché grossolane o non idonee a indurre in errore nessuno, vengono ritenute non penalmente rilevanti. È uno dei pochi settori in cui la teoria secondo la quale il fatte assume rilevanza penale quando è tipico ma anche offensivo, questa impostazione ha una ricaduta pratica. In generale si ritiene che il principio di offensività si indirizza al legislatore. Nei reati di falso succede che il giudice, verificato che il fatto è tipico, può assolvere quando ritiene che il falso sia inoffensivo. Il 491 bis è una norma sintetica che pone problemi interpretativi. Dice; “ tutti i reati che riguardano le falsità documentali, possono essere applicati anche al documento informatico”. Le falsità documentali si distinguono in:

  • Falsità materiale: influisce sulla genuinità dell'atto. Si forma un atto falso o si altera un atto vero.
  • Falsità ideologica: falsità nella quale l'atto inteso come documento, contenitore delle dichiarazioni è vero, mentre sono false le dichiarazioni recepite in quell'atto. Qui il punto è la veridicità dell'atto. Ricade sul contenuto narrativo dell'atto e si sostanzia in una violazione del potere documentale, in una funzione del PU rispetto all'obbligo di attestare in modo esatto quanto avvenuto. Questa distinzione c'è anche nel mondo informatico ma è difficile perché i reati di falso sono una parte difficile. Il 491 bis dice che tutte le norme sulle falsità documentali vanno applicate al documento informatico, solo che quelle norme distinguono a seconda che l'atto sia pubblico o privato. Il problema che si pone è quello di dire: la definizione di documento, di atto pubblico, che i civilisti utilizzano è la stessa che troviamo nel diritto penale? La risposta è no. Nel diritto civile l'atto è pubblico se è formato dal PU. L'atto pubblico fa fede fino a querela di falsopiano cioè fino a che non si instaura un meccanismo processuale che ne porti a perdere di
  1. Stabile incorporazione dell'informazione sul supporto: nel documento cartaceo si dice che è documento la dichiarazione di verità, scienza, volontà, che venga stabilmente incorporata nel supporto. Il fatto di scrivere sulla carta crea un documento. Una volta che ho trasposto la mia volontà sul supporto, questa trasposizione ha il carattere della stabilità tale per cui, se io voglio modificare la dichiarazione di volontà, devo necessariamente intervenire sul supporto stesso. Nel documento informatico invece, l'incorporazione sul supporto informatico non ha carattere di stabilità perché le informazioni possono essere trasferite da un supporto all'altro senza che sia possibile distinguere tra originale e copia. Es. Fotocopia o trasferimento file. Il contenuto dichiarativo prescinde quindi dall'incorporazione nel supporto.
  2. Forma intellegibile: il documento cartaceo, non importa in che lingua sia scritto, basta che sia comprensibile da parte di almeno due soggetti perché il documento ha una tutela penale in tanto in quanto ha efficacia probatoria. Un documento scritto in una lingua incomprensibile, non arriva alla tutela penale perché non è intellegibile. Se trasportiamo questa definizione nel documento informatico, abbiamo una ulteriore riflessione perché il contenuto informatico è intellegibile solo attraverso un programma che mi permetta di leggere il file. I bit non sono comprensibili se non con un programma.
  3. Riconducibilità all'autore: sempre per la finalità probatoria, il documento cartaceo surge a tutela penale quando è riconducibile ad un autore. La paternità dell'autore si acquisisce di solito con la sottoscrizione, diversamente ci possono essere timbri, firma omessa per la previsione normativa. Di fatto però, attraverso la sottoscrizione si assume la paternità del documento. Se trasportiamo questo aspetto nell'ambito del diritto penale dell'informatica, la cosa è significativa perché il documento informatico ha un particolare regime giuridico quando è firmato elettronicamente. Non essendo possibile stabilire di chi sia il documento, si è dovuti ricorrere alla firma elettronica/digitale. Questa consiste in un algoritmo applicato al documento che poi compare firmato digitalmente e orche non compare solo il documento ma anche chi ne è l'autore. Ad un certo punto ci si è resi conto che gli illeciti nella firma digitale, erano sprovvisti di sanzione penale e quindi queste sanzioni sono state introdotte nel 2008 con una coppia di norme;
  4. Efficacia probatoria: è la summa delle caratteristiche precedenti perché tutte le caratteristiche possono essere riassunte nel concetto di efficacia probatoria che ci dice che il documento deve essere qualcosa che ha un significato giuridico nella collettività, se non ha nessuna valenza giuridica nella comunità esso non può ep rappresentare oggetto di tutela penale di quella pubblica fede. Se invece mi muovo nell'ambito del documento informatico, le cose si complicano perché c'è stata la necessità di dettagliare qual è l'efficacia del documento informatico. Agli artt 20 e 21 del CAD che è il codice dell'amministrazione digitale, è disciplinata la valenza probatoria del documento informatico. Ci sono diversi livelli di valenza probatoria: più significativo quello firmato digitalmente, meno quello senza firma. Le conclusioni del ragionamento sono nel senso che, stanti le profonde differenze tra documento informatico e documento cartaceo, siamo di fronte a una norma che ha funzione incriminatrice. È una norma che va a sanzionare qualcosa che prima non era penalmente sanzionabile perché l'oggetto materiale del falso documentale cartaceo è molto diverso da quello del falso documentale informatico.

Andiamo alla riforma del 2008. Il 491 bis aveva, nella formulazione originaria, aveva un problema nel fatto di agganciare la definizione di cogenti informatico al supporto. Nel frattempo, negli anni successivi, sono intervenute altre definizioni di documento informatico in disciplina extra penale. Esse hanno sempre fatto riferimento alla rappresentazione informatica e non al supporto informatico proprio perché non c'è la stabile incorporazione del documento cartaceo. A questo si è aggiunta la necessità di rispettare la convenzione cyber crime che si occupa di documento informatico all'articolo 7. Il legislatore del 2008 ha cancellato la precedente definizione mantenendo solo l'efficacia probatoria.

491-bis. Documenti informatici.

Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private (1).

La nuova formulazione è stata accolta benevolmente dalla dottrina perché non era opportuno che si introducesse una norma con una definizione rilevante ai soli fini penali. Il fatto che il legislatore non richiami la definizione è dovuta al fatto che si vuole dire che il diritto penale è debitore degli altri rami dell'ordinamento perché essi già contengono la definizione e quindi non ha senso ribadirla. Rimane il

richiamo all'efficacia probatoria perché:

  • C'era nella convenzione cyber crime
  • Ha caratteristiche di sintesi anche dal punto di vista del diritto processuale penale ci si è occupati del documento informatico e anche della sua acquisizione. Se devo operare un sequestro di un documento cartaceo, la polizia giudiziale prende il documento e se lo tiene per sé. L'acquisizione del documento cartaceo può essere fatta spossessando il soggetto che ce lo ha impossessandomene e questo perché è stabilmente incorporato nel supporto. Nel documento informatico non è così! Per questo ci sono norme di carattere processuale che disciplinano il sequestro di documento informatico dove c'è la necessità di avere la prova che il documento acquisito è effettivamente quello che si trova nel mio computer. Chi mi dice che il documento acquisito nel mio computer non sia poi modificato da chi compie le indagini? Chi mi dice che l'acquisizione avvenga in maniera tale da non alterarlo? Il primo errore che si può fare nel l'acquisizione è quello di accendere il computer perché questa operazione modifica lo stato delle cose. Le norme processuali quindi, impongono di utilizzare delle tecniche informatiche che soddisfino esigenze di conformità del dato acquisito rispetto all'originale e di non modificabilità del dato acquisito. In dottrina ci si chiede se l'acquisizione del documento informatico è ripetibile (accertamenti che possono essere ripetuti:se sposto il corpo, non posso più sapere come era messa la testa) o no. Secondo buona parte della dottrina non sono ripetibili e quindi se chi fa le indagini lo fa senza attivare le garanzie difensive, quella attività è viziata e non è utilizzabile. Secondo la cassazione è attività ripetibile e quindi no facendo scattare le garanzie difensive, se anche vengono compiute senza dire nulla all'indagato, quell'attività può essere utilizzata a fine di giudizio.

HA SENSO PARLARE DI TUTELA DELLA PRIVACY NELL'ERA DIGITALE?

Il diritto alla riservatezza in senso tecnico nasce solo affine degli 800 negli Stati Uniti in un articolo della Harvard review in cui il problema era che la vita privata di una famosa persona era online. Nel nostro paese se ne parla negli anni 50 in cui la cassazione diceva che non esiste un diritto alla riservatezza. Le cose cominciano a cambiare negli anni 70 e nel 1975 la cassazione per la prima volte dice che in Italia esiste un diritto alla riservatezza. 40 anni fa diritto alla riservatezza significava diritto ad essere lasciati soli e quindi si dice che c'è un nucleo che riguarda ciascuno di noi in cui nessuno può entrare. Dal 70 in poi comincia la rivoluzione informatica e cambia il contenuto del diritto alla riservatezza. Esso non è più solo il diritto ad essere lasciati soli ma il diritto al controllo sui dati che ci riguardano. La presa di coscienza era che se prima la minaccia alla privacy riguardava solo i mass media, adesso è molto più invasiva. In Italia viene emanato il 196/2003 e l'articolo 1 dice che chiunque ha diritto alla protezione dei dati personali che lo riguardano, viene data una nozione di dato personale molto ampia. La legge contiene una serie di elementi sulle modalità di trattamento: come devono essere raccolti i dati, come vanno trattati. Vengono riconosciuti una serie di diritti agli interessati (diritto all'oblio, diritto di conoscenza). Esiste una disciplina particolare per i dati sensibili che sono quelli relativi al l'appartenenza alla razza, le opinioni politiche, lo stato di salute e la vita sessuale. La legge pone un enfasi particolare sulla sicurezza dei dati perché l'utilizzo dei dati sensibili è attività pericolosa. Da quel momento in poi, negli anni 90 nasce internet, il web. La possibilità di monitorare tutto ciò che facciamo in rete è enormemente accresciuta. Il concetto fondamentale è il concetto di profilatoio e. La maggior parte di soggetti che raccoglie dati su internet, non lo fa per discriminare ma per conoscere i nostri gusti e servirci meglio. Diventa quindi importante guardare le abitudini. La tecnologia può diventare una minaccia ma ci sono strumenti per proteggersi, per garantire la navigazione anonima. Gli stessi soggetti che raccolgono i dati ci fanno credere di voler tutelare la nostra privacy. Il problema non è tanto quello di evitare discriminazioni, ma quello di favorire il decollo di questi strumenti che servono per il commercio elettronico. I nostri dati personali hanno un valore. Ma che diritto vige su internet? Quello italiano? Quello europeo? Ma qual è l'enforcment? Ha senso di parlare di tutela della privacy perché la mole di informazioni che ci riguarda, disegna il modo di essere di una società che non discrimina più sulla base della ratio, del sesso e delle opinioni politiche. Ma è una società orientata a costruire dei docili consumatori. I social network hanno poi un importante profilo probatorio. Dal punto di vista delle reazioni sanzionatorie, il discorso va basato sui soggetti, chi può rispondere di questa condotta non rispettosa del trattamento dei dati personali? Esiste l'articolo 23 del testo unico privacy che dice che i dati personali vanno trattati con il consenso del l'interessato. E se non c'è? Possono scattare delle sanzioni che hanno innanzitutto come destinatari gli utenti dei social network. La cassazione nella vicenda google video dice che il responsabile del trattamento in questo caso è l'utente che carica il dato e quindi se ci poniamo nell'ottica sanzionatoria, la prima persona che può utilizzare quel dato è il titolare del trattamento. Chi carica la fotografia, chi clicca mi piace. Il ragionamento della giurisprudenza di legittimità è che il primo soggetto responsabile è l'utente, è chi posta quei dati perché il soggetto che decide le modalità della raccolta del dato, le finalità, è il soggetto che

rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile aquereladellapersona offesa; negli altri casi si procede d'ufficio.

Il primo aspetto è la collocazione. Siamo poco dopo la violazione di domicilio. Inoltre, la stessa struttura del fatto tipico richiama quella della violazione di domicilio! Il problema è individuare il bene giuridico tutelato. Ci si è chiesti quale sia il bene giuridico tutelato da questa norma. Le opzioni proposte sono almeno 4:

  • Domicilio informatico (opzione preferita dalla giurisprudenza)
  • Integrità dei dati o del sistema: Si dice che si sanziona il soggetto che accede al sistema informatico perché il fatto che lui acceda al sistema informatico potrebbe comportare il danneggiamento del sistema informatico stesso. È un'opzione plausibile ma ha due problemi: ◦ se ragiono in questi termini sono costretto a dire che il reato del 615 ter è a pericolo astratto perhce la condotta è sanzionata in quanto astrattamente pericolosa per i dati o sistemi. Il giudice non deve accertare il fine del mio accesso, ma c'è una presunzione per cui si dice che l'accesso è finalizzato al danneggiamento con assenza di prova contraria. Questo modo di vedere la fattispecie ha dei problemi! Anticipazione di tutela alla soglia del pericolo astratto è legittima solo per beni di grandissimo valore! Inoltre, questo tipo di anticipazione va utilizzato con estrema parsimonia. Dire che il bene dell'integrità del sistema ha un valore così alto è piuttosto difficile. ◦ una delle aggravanti consiste nel danneggiamento del sistema e allora si ha detto che non ha senso che il legislatore costruisca una fattispecie per cui la condotta base è di pericolo astratto e poi c'è l'aggravante di danno perché manca la progressione! Ci vorrebbe la condotta a pericolo concreto che poi diventa danno. Ma partendo da quella a pericolo astratto ho un salto logico
  • Tutelare la riservatezza dei dati: prendiamo l'esempio in cui accedo solo per avere contezza di ciò che sta dentro al sistema informatico. La fattispecie è strutturata come una fattispecie di perciò concreto più vicina all'offensività perché una volta che accedo il pericolo per il dato è concreto. Anche questa soluzione interpretativa presta il fianco a un'altra critica legata non tanto alla lettura del 615 ter ma alla lettura del 615 quater. Se io ho fattispecie base e poi nel quater la fattispecie prodromica, scivolo indietro sul piano della tutela arrivando a prevedere una sanzione penale per un pericolo del pericolo. Cioè una fattispecie che consiste nel mettere in pericolo la riservatezza dei dati che è protetta attraverso il 615 ter strutturato come fattispecie a pericolo concreto. questi ragionamenti hanno portato a dire che è meglio individuarlo come una fattispecie di danno. Secondo la giurisprudenza è un domicilio informatico mentre secondo la dottrina è Riservatezza informatica: è una fattispecie lesiva di un nuovo bene giuridico che ci porta ad avere una fattispecie di danno. Questo ragionamento lo si articola a partire dalla valorizzazione del fatto che il 615 te ha come oggetto materiale della condotta un sistema informatico o telematico protetto da misure di sicurezza. Si dice che il legislatore qui ha voluto apprestare una tutela penale per un diritto del titolare del sistema informatico o telematico che si esplica nel diritto di escludere soggetti non autorizzati dall'utilizzo di quel sistema informatico o telematico (ius excludendi alios). Se il proprietario del sistema lo rende pubblico, posso entrare, e quindi il sistema delle misure di sicurezza mi permette di capire dove ha senso la tutela penale e dove no. Se io decido di lasciare libero il sistema, il legislatore non mi dà tutela. Se il titolare del sistema ha messo una barriera tra sé è il mondo esterno, scatta la sanzione penale perché il titolare del sistema ha manifestato la volontà di limitare l'accesso Ecco perché la dottrina si è staccata dal concetto di domicilio informatico. Se domicilio si riferisce a luogo di privata residenza e privata dimora, il concetto è stretto nel mondo tecnologico perché ci sono ad esempio posti liberi. La dottrina tende a parlare di riservatezza informatica come tutela del sistema rispetto all'esterno. A partire dal concetto di misure di sicurezza si ricava che il sistema è posto a tutela della riservatezza informatica ma il problema che si è posto è in cosa consistano le misure di sicurezza e se esse debbano essere misure di sicurezza efficaci. Se il mio user e 1234 è la psw non c'è, posso beneficiare della tutela, posso lamentarmi se qualcuno accede oppure è necessario che le misure siano:
  • Efficaci
  • Superate, forzate da chi accede? Sul concetto di efficacia la giurisprudenza dice che non sta scritto da nessuna parte che la misura di sicurezza debba essere efficace. Non fa venir meno la tutela penale nemmeno il fatto che l'accesso al sistema informatico sia è venuto senza forzare la misura di sicurezza in sé per sé ma ad esempio con modalità diverse. Es. Ho antivirus e firewall e rimangono aperte alcune pop. Il ragionamento della cassazione è che non interessa se il firewall è stato superato, ma quello che valorizzo è la presenza della misura di sicurezza. Scatta la tutela penale perché c'è una manifestazione verso l'esterno di esclusione dei terzi. Il concetto di misure di sicurezza poi, in questa fattispecie, è molto ampio. La giursidprudenza valorizza questo concetto fino a comprenderei le misure di sicurezza fisiche, non solo logiche (psw, antivirus) come ad esempio il fatto che il server sia chiuso dentro una stanza. L'orientamento giurisprudenziale è in senso di valorizzare tutto ciò che

serve a lasciare fuori terzi dal sistema. La locuzione misure di sicurezza, la incontreremo parlando di tutela dei dati personali, privacy. Nell'ambito della disciplina sul trattamento dei dati personali, si parla espressamente di misure di sicurezza e anzi esse sono previste da un alLegato tecnico alla normativa sul trattamento dei dati personali. Però, quel concetto viene ritenuto diverso rispetto al concetto di misure di sicurezza del 615 ter perché nel trattamento di dati personali è il legislatore che mi dice l'elenco delle misure di sicurezza; dall'altra nel 615 ter si estende la portata del concetto di misura di sicurezza fino a comprendere tutte le modalità tese a filtrare accessi esterni. Si pone però un ulteriore problema: ipotizziamo che ci sia un sistema informatico protetto da user e psw e che però il soggetto legittimamente titolare di user e psw acceda al sistema con finalità diverse da quelle per le quali le credenziali sono state concesse. Pensiamo all'impiegato bancario che vada a vedere il conto corrente del vicino. Se travalicò questo limite, io violo le misure di sicurezza o mi posso barricare dietro il fatto di avere le credenziali di accesso? Prendiamo il caso di carabinieri. I carabinieri hanno delle banche dati. Un carabiniere in servizio, cerca di dare una mano a un amico e gli dice di non preoccuparsi per la separazione dalla moglie, sarebbe andato lui a controllare se il soggetto ha precedenti di polizia. Se sono a prostitute ad esempio, ci può essere un addebito di separazione perché si viola l'obbligo di fedeltà. Caso del cancelliere in servizio presso il tribunale il quale avendo accesso aveva stretto un sodalizio con alcuni avvocati che si occupavano di reati che portavano all'applicazione di misure cautelari in carcere, diceva le misure che aveva preso il PM. Si voleva capire se questa condotta era rilevante per il 615 ter. Sul punto la giurisprudenza era abbastanza divisa. In parte diceva che il cancelliere rispondeva solo di corruzione. Finché le sezioni unite si sono pronunciate nel 2012. Il soggetto che ha le credenziali ma le utilizza per finalità diverse da quelle per le quali sono state concesse, rileva ai fini del 615 ter perché si ha violazioni delle misure di sicurezza sia quando si violano i limiti, sia quando ci sono operazioni di natura ontologicamente diversa da quelle cui il soggetto è tenuto. Il ragionamento della cassazione è che il titolare del sistema ammette un utente a determinate condizioni, se le condizioni vengono travalicate, ho una rilevanza penale della condotta. Quando il soggetto che accede a Sistema ha il possesso legittimo delle credenziali perché svolge un certo lavoro, il limite del lecito o dell'illecito lo vado a ricavare dalla disciplina regolamentare (regolamento interno) che disciplina l'uso di quel tipo di credenziali. La norma è sanzionatoria è "abusivamente" va letto come rimando al regolamento interno del luogo in cui il soggetto lavora. È pregevole che le Sezioni unite abbiano detto che questo comportamento è penalmente rilevante. D'altra parte ci si è interrogati sulle ricadute pratiche di questa soluzione: si è detto: è opportuno che sia un privato a decidere con un regolamento interno la rilevanza penale di un certo comportamento? È il regolamento interno che tracci ti confini della tipicità! E se il regolamento interno non c'è??? Il secondo punto affrontato dalla cassazione è se il comma 2 numero 1 sia una forma autonoma di reato oppure se sia una aggravante del 615 ter. Le sezioni unite dicono che è una circostanza aggravante. Se è aggravante entra nel bilanciamento e l'aggravio di pena può essere cancellato.

Art 615 quater

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.

615-quater. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164.

La pena è della reclusione da uno a due anni e della multa da euro 5.164 a euro 10.329 se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater (1) (2).

È una fattispecie prodromica rispetto al reato di acceso abusivo. Ho strumenti di accesso a sistemi informatici o telematici, ho per esempio un'attività di phishing. Il legislatore dice che hai il fatto di essersi procurato parole chiave purché quel sistema sia protetto da misure di sicurezza costituisce un reato ad hoc di cui al 615 quater. Il rapporto tra reato base 615 ter e fattispecie prodromica del quater gioca un ruolo nella ricostruzione dei relativi beni giuridici.

Il reato di acceso abusivo a sistema informatico è quello che ha più applicazione giurisprudenziale in ambito di reati informatici. Questo perché è un reato che viene spesso contestato in aggiunta ad altri reati in quanto la modalità con cui molti reati vengono commessi passa attraverso l'accesso abusivo a sistema informatico. Il 615 ter è norma che si ritene concorda con quasi tutti gli altri reati tranne il 615 quater, ovviamente. Concorre con il falso informatico, il danneggiamento informatico, la frode informatica ecc. c'è un concorso di reati

penale e resto dell’ordinamento. La questione più attuale nella giurisprudenza degli ultimi anni riguarda vari casi tra loro analoghi. Caso 1: datore di lavoro scopre che il lavoratore è infedele perché viola l’obbligo di fedeltà fornendo mail all’esterno e rivelando cose coperte dal segreto industriale oppure usa lo strumento informatico messo a disposizione dell’azienda per svolgere altri compiti extralavorativi. La legge 300/70 statuto dei lavoratori all’art. 7 stabilisce che il datore di lavoro, se il lavoratore non si giustifica, può emettere un provvedimento disciplinare che può portare anche al licenziamento del lavoratore. I lavoratori licenziati hanno cominciato a dire che il datore ha avuto la prova dell’infedeltà leggendo e violando la corrispondenza degli stessi. Anche il datore del lavoro ha commesso un reato ex 616 c.p. Allora nel momento in cui la prova dell’infedeltà è acquisita illecitamente non può più essere usata in sede giudiziale. In questa situazione giurisprudenziale si affacciano altre problematiche legate a due norme:

  • Art. 4 statuto lavoratori (vedi testo norma). Per attuare questo controllo è necessario attuare un accordo con il rappresentante sindacale. La violazione di tale norma è sanzionata in via contravvenzionale. Ci sono sentenze che dicono che è vero c'è l’art. 616 che dice che la presa di cognizione di corrispondenza chiusa a lui non diretta costituisce reato, però siamo di fronte ad un area di corrispondenza che riguarda un mail che vien data per scopo lavorativo. Il Gip di Milano nel 2002 dice che il carattere personale non significa riservatezza. Il giudice dice che la casella mail data serve come strumento di lavoro e quindi il datore di lavoro siccome può gestire gli strumenti di lavoro ha il controllo su quel tipo di strumento. Il problema in realtà è più complesso. C'è un problema teorico-generale per cui è vero che la casella mail di lavoro è data per attività istituzionali, ma è anche vero che essa viene usata per finalità personali. Al giorno d’oggi è difficile smembrare l’uso privato e l’uso lavorativo (pubblico) dello strumento aziendale in quanto strumento fungibile. Il fatto che la mail sia un indirizzo di carattere aziendale deve essere messo in relazione con il concetto di corrispondenza chiusa e aperta perché se io uso l’indirizzo mail aziendale per scrivere una mail personale, per me si tratta di una corrispondenza chiusa; se diciamo che quella casella mail è del datore di lavoro stiamo dicendo che il destinatario non è solo indirizzata al lavoratore, ma anche al datore di lavoro. Il concetto di corrispondenza chiusa, dice la Cass., va letto come riferito ai soggetti legittimati all’accesso ai sistemi informatici di invio o ricezione dei messaggi. Con l’avvento dell’informatica e con queste problematiche devo confrontarmi con questa difficoltà. È chiusa tutta quella corrispondenza che Tizio invia a Caio, ma devo fare riferimento all’acceso di un soggetto terzo a quel tipo di corrispondenza. Se ho dato la mail al datore di lavoro per lui la corrispondenza non è chiusa e non commette reato. Si tratta di un’interpretazione farraginosa e sofisticata.

Un'altra soluzione viene individuata a livello comunitario nell’adozione di disciplinari interni. Si dice che si ha un problema perché si ha da un lato l’esigenza del datore di lavoro di controllare e dall’altra l’esigenza del lavoratore di mandare mail personali. Si adotta un disciplinare interno all’azienda che dice cosa si può fare con la mail. Il suo contenuto è stato codificato a livello nazionale dal garante per il trattamento dei dati personali nel 2007; esso dice che per evitare problemi legati a queste corrispondenze il datore di lavoro dice ai lavoratori:

  • Di evitare indirizzi mail specifici con connotazioni personali perché la corrispondenza si intende come aperta
  • Se date indirizzi mail nominativi specificate cosa si può fare o no con quel tipo di indirizzo mail Questo inquadramento del garante potrebbe essere ricondotto sotto un’eventuale scriminante. Nell’eventualità in cui si dovesse ragionare su una comunicazione mail attraverso un indirizzo che ha natura lavorativa dal momento che si è adottata una policy interna il lavoratore ha sottoscritto quel regolamento interno e può integrare il consenso dell’avente diritto. L’altra via era quella dell’esercizio del diritto, ma la via risulta impervia perché devo avere un dato normativo che quel tipo di condotta mi legittima. Un accesso agli strumenti informatici del lavoratore è legittimato perché la normativa sui dati personali permette al datore di lavoro di accedere allo strumento del lavoratore e di trattare dei suoi dati, però ha precise connotazioni e requisiti (elenco slide). Tutte queste strettoie applicative le troviamo in un provvedimento del garante dei dati personali. Una possibile soluzione è quella di ricorrere ad un altra scriminanti quella della avente diritto. Se si tratta solo di comunicazioni elettroniche il consenso non ha necessità di passare mediante il precedente art. 4 statuto dei lavoratori. La norma dello statuto dei lavoratori vieta di installare sistemi di videosorveglianza, salvo per esigenze di carattere produttivo o finalità di sicurezza li posso installare ma solo con accordo con le rappresentanze sindacali. Queste policy interne che rappresentano un consenso del lavoratore devono passare attraverso quel filtro (sindacato)? La risposta è negativa perché si dice che l’indirizzò mail to cure non è uno strumento di controllo dell’attività del lavoratore. Monitoro i messaggi archiviati nel server mail inviati/ricevuti dal lavoratore. Controllo qualcosa che sta fuori dall’art. 4. Se invece mi sposto dall’indirizzo

mail al controllo dell’attività fatta attraverso sistemi informatici o telematici. Se io, per es., memorizzo i file di log di un computer è come se memorizzassi il contenuto del log perché si può individuare il sito internet. Il garante interviene in questo settore perché possono essere trattati dei dati sensibili (orientamento sessuale per es.). Si tratta di un’opera di delegificazione. La liceità o meno del comportamento non corrisponde più ad una fonte di diritto pubblico, ma da una fonte di diritto privato.

ART. 617 QUATER- INTERCETTAZIONE, IMPEDIMENTO O INTERRUZIONE ILLECITA DI COMUNICAZIONI

INFORMATICHE O TELEMATICHE

Gli artt. 617 quater, quinquies e sexies c.p. sono norme quasi disapplicate dalla giurisprudenza. “Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe , è punito con la reclusione da sei mesi a quattro anni. CO.2: Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma”. Caso 1. Il soggetto che abbandona il posto di lavoro e installi un fower automatico sulla mail indirizzate all’ex datore di lavoro. Siamo già nell’ambito di fraudolenta intercettazione. Caso 2. Lavoratore decide lui se far proseguire la comunicazione verso il datore di lavoro o se bloccarlo. Si tratta di impedire o interrompere la comunicazione. Il secondo comma ha avuto applicazione in un caso di Striscia la notizia che aveva pubblicato un servizio RAI di fuori onda. Il responsabile del programma è chiamato a rispondere di aver rivelato di contenuti e comunicazioni fraudolentemente intercettati. Questa sentenza dice che il comma due è un reato a se stante del comma due. Afferma che le comunicazioni devono essere intercettate e non è necessaria per aversi rilevanza penale della pubblicazione della comunicazione la intercettazione fraudolenta.

617-QUINQUIES - INSTALLAZIONE DI APPARECCHIATURE ATTE AD INTERCETTARE, IMPEDIRE O

INTERROMPERE COMUNICAZIONI INFORMATICHE O TELEMATICHE.

“Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. Viene applicato al fenomeno dell’applicazione degli skimmer sui bancomat. Ci sono due cassazioni che ritengono applicabile questa norma nelle ipotesi in cui si installano congegni per intercettare dati sulle carte bancomat.

617 SEXIES-FALSIFICAZIONE, ALTERAZIONE O SOPPRESSIONE DEL CONTENUTO DI COMUNICAZIONI

INFORMATICHE O TELEMATICHE.

“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater”. Norma quasi mai applicata se non per un fenomeno che si sta recentemente affacciando, quello del phishing. Esso è una tecnica di ingegneria sociale, modalità con la quale un soggetto si mette a studiare e controllare altre persone. Il neologismo deriva da p come password e fishing pescare perché ha il fine di recuperare credenziali di accesso. E possibile individuare una scansione temporale di phishing attack.

  1. Il phishing invia della mail di carattere generale a molti soggetti. Questo comportamento potrebbe avere un ambito di rilevanza penale perché la mail è un dato personale. Prende il nome di spamming.
  2. Raccoglie credenziali di accesso che induce l’utente a consegnare al fisher le credenziali che servono per fare una qualcosa nell'ambiente informatico.
  3. Utilizzo del dato personale raccolto. Queste fasi sono riconducibili a fattispecie sanzionatorie applicabili come reati di carattere informatico, come l’accesso abusivo al sistema informatico. Quella condotta può avere delle connotazioni laddove le somme carpite vengano trasferito a soggetti diversi i quali potrebbero vedersi aprire a loro carico per un provvedimento che non ha nulla di informatico, che è il reato di riciclaggio.

QUALIFICAZIONE GIURIDICO PENALE DEL FISHING

E' il furto di identità, significa pesca di psw. È una forma di social engenieering quindi una tipologia di comportamento sociale finalizzata a carpire informazioni personali. Questo attacco fishing funziona attraverso l'invio di mail per indurre l'utente a connettersi a una pagina web in cui ci sarà un formato che ci

cui si dice che questa seconda condotta è autonoma rispetto alla prima (l'intervento senza diritto non deve portare a un'alterazione del funzionamento ma può anche collocarsi nella situazione dove il sistema funziona correttamente) possiamo ritenere che la frode informatica si presti a sanzionare queste condotte

  • per la fase 2 di raccolta dei dati, possiamo recuperare il 615 quater. Se io il codice lo devo ancora utilizzare ma lo ho già carpito, non sono ancora nella fase della frode informatica né della truffa, ma già questa condotta è penalmente rilevante perché mi sono procurato il codice di accesso
  • fase 3 (uso dei dati): l'accesso è abusivo a un sistema informatico o telematico. Per questi reati abbiamo un'ampia possibilità di verificazione. L'ultima norma è quella del decreto antiriciclaggio che è l'utilizzo indebito di strumenti di pagamento. Quando parliamo di mezzi di documento, c'è anche questa sanzione che è più grave di quelli che abbiamo incontrato fino a qui perché prevede una sanzione che arriva fino a 5 anni! Tante volte, la sanzione più grave è in questa disposizione.

Il tribunale di Catania applica il furto, Milano dice che è frode informatica. C'è un altro reato che sta sullo sfondo che è quello di riciclaggio. È un reato importante dal punto di vista sanzionatorio: da 4 a 12 anni. È un reato che si trova applicato in queste situazioni, perché la condotta del fisher può sostanziarsi anche con quella in cui il fisher dopo aver disposto un pagamento in proprio favore dal mio conto, ne vuole entrare in possesso. Lo fa o attraverso contanti, oppure attraverso attività fatte su banca che sono di ostacolo rispetto all'individuazione del flusso di denaro. Il riciclaggio ha una clausola di concorrenza che esclude il concorso nel reato presupposto. Se io finisco la commissione del reato, e a valle un altro soggetto senza concorrere con me trasferisce le somme provenienti dal delitto presupposto, scatta il riciclaggio. Molto spesso il processo si attiva nei confronti di chi trasferisce i fondi! Questo fenomeno è estremamente rilevante. Le risposte sono tendenzialmente non sanzionatorie e o provengono dai privati o da istituti pubblici-privati. I primi ad intervenire sono stati gli uffici di banca Italia. A un certo punto gli istituti bancari hanno sentito l'esigenza di tutelarsi perché qualcuno ha cominciato a fargli causa per la negligenza, la colpa nella gestione del conto corrente perché tu banca sai le mie abitudini di pensionato e dovresti attivarti. Per questo chiedo il risarcimento, per la tua negligenza. Banca italia ha cominciato a cercare i sintomi di queste frodi elencando le situazioni che devono far scattare l'allarme da parte dell'istituto di credito. È a metà tra il privato e il pubblico perché gli indici sintomatici gli individua l'istituto privato banca italia ma l'individuazione delle operazioni come sospette era contenuta nella normativa 231/07 che si affianca al reato di riciclaggio e si compone di una serie di controlli che dovrebbero individuare le operazioni sospette che vanno segnalate all'ufficio del ministero dell'economia che poi andrà inoltrata eventualmente alla procura. Qui si inseriscono normative a livello comunitario e poi a livello nazionale. A livello nazionale ci sono state iniziative per fronteggiare il furto di identità: si è proposto di rimodulare il 494 occupandosi espressamente di furto di identità. Queste sono proposte ma quello che sta diventando realtà sulla lotta al furto di identità è una cooperazione pubblico-privato che funziona così: si mettono insieme una serie di banche dati affinché si verifichi in tempo reale se il soggetto che ho davanti è chi dice di essere. Si vuole creare una rete tra banche dati pubbliche e private che contengano i dati delle persone fisiche e consentano un controllo in tempo reale. Il soggetto che per vendermi il televisore mi eroga il finanziamento, può interrogare le banche dati per capire se il soggetto ha quella identità e risiede in quell'indirizzo. Il sistema, soprattutto, si collega con un meccanismo interbancario che serve per segnalare operazioni sospette. L'ultimo tassello di questo sistema è che in ogni caso il soggetto a cui è stato fatto il finanziamento, riceverà a casa una comunicazione in cui si dice: da Trony hai fatto un finanziamento per acquistare quel televisore. È un sistema rilevante se c'è stato il furto di identità. È un sistema in fase di implementazione ma è un sistema di avanguardia. Non è sanzionatorio.

ART. 167 D.LGS. 196/

pensiamo all'art 167 d.lgs 196/2003 che riguarda l'illecito trattamento di danni personali il fatto che il fisher si impossessi dei miei dati, è un trattamento di dati personali che in alcuni requisiti può essere penalmente sanzionato. L'illecito trattamento di dati personali si apre con una clausola di sussidiarietà espressa: “salvo che il fatto costituisca più grave reato”. Non è un reato informatico in senso stretto, ma che viene facilitato dall'utilizzo dell'informatica. La clausola di sussidiarietà è il motivo per il quale tale articolo non ha grandissima diffusione applicativa perché molte volte ci sono reati più gravi che ne assorbono il disvalore. La norma dice: “chiunque”. È reato proprio o comune? Il fatto che il legislatore dica chiunque, non significa sempre che sia un reato comune. Anche su questo aspetto, c'è un dibattito a livello giurisprudenziale e dottrinale. Alcuni valorizzano il fatto che questo reato si applichi a tutti i soggetti, indipendentemente dalle qualifiche soggettivi, che svolgano una attività di trattamento di dati e quindi costruisce la fattispecie come reato comune. La giurisprudenza più recente tende a qualificare tale reato come reato proprio perché può

essere commesso solo da chi ha una qualifica soggettiva specifica e in particolare che sia il responsabile o titolare del trattamento dei dati personali. Il titolare del trattamento è chi decide: quali dati raccogliere, come raccoglierli, cosa farne. È chi ha il dominio su quei dati. Il fatto che ci sia un titolare del trattamento non significa che il dato sia materialmente trattato da quel soggetto. Se io sposo la prima interpretazione, anche una persona che si occupa dell'aspetto informatico e tratta il dato come incaricato può commettere tale reato. Se invece sposo la seconda impostazione, il reato può essere commesso solo dal soggetto che sta al vertice, titolare del trattamento e non da quelli che sono incaricati da lui a trattare i dati. Gli altri al massimo potranno rispondere per concorso!

La fattispecie non è meramente sanzionatoria ma ha una forte connotazione di sanzione del dato extra penalistico. Essa sanziona condotte di trattamento dei dati personali in violazione di una serie di disposizioni del codice di trattamento dei dati personali. Nel decreto si dice che dato personale è qualsiasi informazione relativa a persona fisica. Fino al 2001 era anche persona giuridica. L'intento era di ammorbidire questo fardello per le persone giuridiche perché magari le persone giuridiche hanno meno interesse alla circolazione dei dati personali. Tra gli artt citati c'è l'art 23 che prevede che il trattamento di dati personali debba avvenire con il consenso dell'interessato. La regola generale dell'art 23 è che se tratto un dato personale devo avere il consenso dell'interessato che è la persona fisica titolare del dato il trattamento può avvenire senza consenso quando si tratti di elenchi pubblici come ad esempio elenco del telefono. Non tutto ci; che sta su internet è dato pubblico. La norma che contiene il principio del consenso, ha norme che riguardano il trattamento dei dati da parte di enti pubblici.

Il bene giuridico tutelato dalla norma, potrebbe sembrare la riservatezza del soggetto. Riservatezza oggi significa, non diritto ad essere lasciati soli, ma diritto a controllare la circolazione dei propri dati. Sicuramente la riservatezza sta sullo sfondo ma è uno degli interessi. Il 167 non è posto a tutela della riservatezza tout court ma è una norma posta a tutela di un interesse strumentale perché si vuole tutelare il corretto trattamento del dato. Che cosa è il nocumento? la giurisprudenza dice che il nocumento è una condizione obiettiva di punibilità. Il reato è un reato di condotta, ma il legislatore ha ritenuto che non ogni violazione di quegli articoli meriti sanzione penale, ma solo la violazione che produca nocumento, un danno. La giurisprudenza ricava questa conseguenza dicendo che è evidente che sia condizione obiettiva di punibilità e non un evento, perché è un profilo di dolo specifico e quindi se dico che il dolo specifico ha una finalità che non deve essere raggiunta ma animarlo, non ha senso che il legislatore dica che ci vuole il dolo specifico e poi che è necessario. Il nocumento è condizione obiettiva di punibilità. La dottrina maggioritaria non è d'accordo perché dice che il disvalore della fattispecie sta nella verificazione del documento. L'illecito trattamento dei dati personali va sanzionato quando ci sia danno. Sul piano civilistico c'è risarcimento quando ci sia danno. Il nocumento non può essere condizione obiettiva di punibilità perché le condizioni obiettive di punibilità non sono legate con nesso di causa con la condotta mentre qui sembra esserci, e poi non devono essere coperte da dolo. Non fanno parte del fatto tipico, e quindi se noi diciamo che oggetto del dolo devono essere il fatto tipico, se la condizione obiettiva di punibilità sta fuori dal fatto tipico, non deve essere oggetto di dolo. Il che però si pone in contrasto con la lettura costituzionalmente orientata delle fattispecie di reato che risulta dall'art 27 cost così come sviluppato dalla sentenza 364/88 che dice “gli elementi fondamentali della fattispecie devono essere coperti da un profilo di elemento soggettivo, ci vuole almeno la colpa. Gli elementi fondamentali della fattispecie non possono star fuori dal fatto tipico e quindi a prescindere da una copertura soggettiva ma devono stare dentro il fatto tipico e quindi guadagnare copertura anche sul piano dell'elemento soggettivo. Questo ragionamento porta alcuna dottrina a dire: il nocumento non è condizione obiettiva di punibilità ma è elemento, certo questo svuota il dolo specifico, però su una scala di bilanciamento (salvo un elemento di fattispecie ma vado contro un dettato costituzionale o viceversa), la dottrina propende per la lettura costituzionalmente orientata della norma anche se sono costretto a far conto con un dato testuale , “arrecare danno” che apparentemente sembra non coerente. Ultio aspetto: “consiste nella comunicazione o diffusione del dato” anche qui si è detto, la comunicazione o diffusione che qualificazione giuridica ha? C'è chi ha detto che il fatto della comunicazione o diffusione è un ulteriore condizione obiettiva di punibilità. Cioè il fatto è sempre quello, vado a vedere. Se deriva nocumento, condizione obiettiva di punibilità base ho una pena base. Se abbiamo comunicazione o diffusione, condizione obiettiva di punibilità numero 2, ho una pena più alta. La soluzione corretta però, è dire comunicazione e diffusione solo delle modalità di condotta. Non sono condizioni obiettive di punibilità! Sono condotta perché se noi prendiamo la definizione di trattamento, ci troviamo dentro anche la comunicazione o diffusione. È il testo unico privacy che ci dice che rientra nel concetto di trattamento non solo la raccolta, manipolazione ma anche la comunicazione o diffusione e quindi sono sostanzialmente una specificazione della condotta base.

  1. recluta o induce minori di anni diciotto a partecipare a esibizioni o spettacoli pornografici ovvero dai suddetti spettacoli trae altrimenti profitto. Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo comma. Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645. Chiunque, al di fuori delle ipotesi di cui ai commi primo, secondo e terzo, offre o cede ad altri , anche a titolo gratuito, il materiale pornografico di cui al primo comma, è punito con la reclusione fino a tre anni e con la multa da euro 1.549 a euro 5.164. Nei casi previsti dal terzo e dal quarto comma la pena è aumentata in misura non eccedente i due terzi ove il materiale sia di ingente quantità. Salvo che il fatto costituisca più grave reato, chiunque assiste a esibizioni o spettacoli pornografici in cui siano coinvolti minori di anni diciotto è punito con la reclusione fino a tre anni e con la multa da euro 1.500 a euro 6.000. Ai fini di cui al presente articolo per pornografia minorile si intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali.

Questa norma punisce la pedopornografia con una fattispecie a cascata. Il primo comma punisce la produzione, il secondo la commercializzazione, il terzo comma la distribuzione ad incertam personam, il quarto punisce lo scambio ad certam persoam di materiale pedopornografico. Il cuore della condotta di cui al co. 1, n.1 è produrre materiale pornografico utilizzando minori. La spinta all’introduzione di questa fattispecie è stata la rete, internet nel 1998. “salvo che il fatto…” si tratta di clausola risolutiva espressa. Sono ipotesi quella previste dal 600 ter che vanno dalla più grave alla meno grave.

DETENZIONE DI MATERIALE PORNOGRAFICO.

Art. 600-quater. Chiunque, al di fuori delle ipotesi previste dall'articolo 600-ter, consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto, è punito con la reclusione fino a tre anni e con la multa non inferiore a euro 1.549. La pena è aumentata in misura non eccedente i due terzi ove il materiale detenuto sia di ingente quantità.

Questo articolo punisce la mera detenzione di materiale pedopornografico. Il minimo della pena è di 15 giorni. Occorre il dolo intenzionale. Nel 1 co. 600 ter si parla di materiale pornografico prodotto “utilizzando minori”. La formulazione precedente del codice era “sfruttando minori”. Il rischio era che lo sfruttamento si aveva solo quando si avesse un profitto economico, anche se la giurisprudenza non lo intendeva così, il legislatore attuò ugualmente la riforma. Dobbiamo prima di tutto definire quale sia il materiale pornografico. Es. Se io ritraggo minore nudo a sua insaputa, quindi senza costrizione (esibizione lasciva) si ha pornografia minorile? Secondo alcuni non si avrebbe nessun pregiudizio all’integrità sessuale del minore. Con integrità sessuale si intende l’interesse a che il minore non venga turbato nel suo sviluppo armonico dal compimento di atti sessuali che potrebbero pregiudicare la sua personalità.

Nei protocolli opzionali della Convenzione di New York del 2000 si danno delle definizioni per far si che sia la stessa in tutti i paesi che hanno aderito alla convenzione.

  • Si ha pornografia quando un bambino (fino a 18 anni) dedito all’attività sessuali esplicite concrete o simulate o qualsiasi rappresentazione degli organi sessuali del bambino stesso. Questa è una definizione soggettiva. Nella doccia quindi c'è il concetto di pornografia. Nella Convenzione di Budapest sul CIBER CRIME all'art. 9 da la definizione di pornografia dice che si ha quando un minore coinvolto in un comportamento sessuale esplicito. Quindi non ricomprende l'episodio della doccia di cui sopra. La direttiva quadro GAI 2004/68 ricomprende l'esibizione lasciva dei genitali o dell'area pubica. Occorre che la riproduzione o la rappresentazione dei genitali sia esibizione lasciva. E' un problema dell'interpretazione letterale che escluderebbe i caratteri soggettivi (nel David di Donatello, pur essendoci nudità, non si ha esibizione lasciva). In questa interpretazione si inserisce interpretazione teleologica, che guarda allo scopo della norma. In passato si forzava l'interpretazione letterale per fa emergere lo scopo con l'interpretazione teleologica. Si vuole tutelare integrità del minore anticipano fino a

quel momento la tutela. Si punisce perché quel materiale potrebbe essere sempre messo in circolo. Si ha un'anticipazione della tutela dando una definizione di pornografia più ampia.

Sent. 8285/09. Questa sentenza dice che riprendere a sua insaputa un minore che si sta cambiando nella piscina o nella spogliatoio è pornografia minorile. È un'anticipazione della tutela. Il fine è quello di stroncare qualsiasi rischio, anche presunto, di circolazione del materiale. Si riprende la definizione di pornografia dei protocolli addizionali di New York. Oggi il problema è risolto dalla legge. Tra la definizione soggettiva di NY e la definizione oggettiva di Budapest interviene la Convenzione di Lanzarote che dice che è pornografia quella eseguita con qualsiasi mezzo su un minore degli anni 18 con qualsiasi attività sessuale sia implicita che esplicita o qualunque rappresentazione degli organi sessuali di un minore degli anni 18. oggi il problema è risolto ex lege. Il problema interpretativo sussisteva nella sentenza della doccia quando ancora Lanzarote non era intervenuto. Questa definizione non si applica retroattivamente.

Esistono diversi modelli interpretativi che spesso implicitamente la giurisprudenza di legittimità segue abbiamo anche fatto l’esempio del canone di tipo sistematico per cui prendono tutte le possibili interpretazioni di una norma e si guarda se sono compatibili con il sistema del suo insieme; infatti se fossero in contrasto con un principio dell’ordinamento o con un’altra norma allora quell’interpretazione andrebbe rifiutata e ne andrebbe adottata un’altra più consona. Ci dobbiamo chiedere: il consenso vale per il compimento di atti sessuali, allora ha senso che il consenso valga anche nel caso in cui il minore compia anche degli atti non prettamente sessuali (filmare rapporto sessuale)? Ciò che pregiudica al minore di anni 14 è si il compimento di atti sessuali, non tanto la ripresa e la realizzazione di materiale che riprende l’atto. Quindi se il consenso rileva per una fattispecie più pregiudizievole, come quella degli atti sessuali, che senso ha che non valga per la mera ripresa? Questo problema nasce perché al di fuori dei soggetti ex art. 609 quater il limite oltre il quale il consenso ritenuto valido è 14 anni, mentre la pedopornografia fa riferimento al limite di età di 18 anni.

Art. 609-quater. Atti sessuali con minorenne. Soggiace alla pena stabilita dall'articolo 609-bis chiunque, al di fuori delle ipotesi previste in detto articolo, compie atti sessuali con persona che , al momento del fatto:

  1. non ha compiuto gli anni quattordici;
  2. non ha compiuto gli anni sedici, quando il colpevole sia l'ascendente, il genitore, anche adottivo, o il di lui convivente, il tutore, ovvero altra persona cui, per ragioni di cura, di educazione, di istruzione, di vigilanza o di custodia, il minore è affidato o che abbia, con quest'ultimo, una relazione di convivenza. Fuori dei casi previsti dall'articolo 609-bis, l'ascendente, il genitore, anche adottivo, o il di lui convivente, il tutore, ovvero altra persona cui, per ragioni di cura, di educazione, di istruzione, di vigilanza o di custodia, il minore è affidato, o che abbia con quest'ultimo una relazione di convivenza, che, con l'abuso dei poteri connessi alla sua posizione, compie atti sessuali con persona minore che ha compiuto gli anni sedici, è punito con la reclusione da tre a sei anni. Non è punibile il minorenne che, al di fuori delle ipotesi previste nell'articolo 609-bis, compie atti sessuali con un minorenne che abbia compiuto gli anni tredici, se la differenza di età tra i soggetti non è superiore a tre anni. Nei casi di minore gravità la pena è diminuita in misura non eccedente i due terzi. Si applica la pena di cui all'articolo 609-ter, secondo comma, se la persona offesa non ha compiuto gli anni dieci.

Il 609 quater punisce con le stesse pene del 609 bis, salvo i casi della violenza sessuale, chi compie atti sessuali con persona che ha meno di 14 anni o ha meno di 16 anni e il colpevole abbia un determinato legame con la vittima. La pedopornografia minorile invece prevede che la vittima abbia meno di 18 anni. Questo è appunto il problema di cui prima. Questo problema si pone sia per il 600 ter e per il 600 quater. La situazione in cui due persone compie atti sessuali e una delle due è minore e l’atto sessuale viene ripreso viene chiamata pedopornografia intima. Si ha riproduzione di materiale pedopornografia, ma avviene nella coppia con il consenso di entrambi. Di solito la richiesta di filmare proviene dalla ragazza più giovane. Si risponde del reato anche se questo consenso? Si tratta di un problema rilevante. È una questione che è stata affrontata più di una volta dalla giurisprudenza, che l’ha risolta sempre nella rilevanza di tali condotte. Colui che filma, anche con pieno consenso, il rapporto con una minorenne risponde anche di detenzione e produzione di materiale pedopornografico.