riservatezza informatica

I delitti contro la riservatezza informatica e telematica

Una bravata telematica può costare molto, molto caro

Ecco quali norme disciplinano le comunicazioni fra elaboratori e la riservatezza dei dati archiviati.

><><><><><><><><><><

 

Il nostro Codice Penale, tra i delitti contro la persona, annovera i delitti contro l’inviolabilità del domicilio. Questi comprendono due distinte categorie di reati, ossia i delitti contro la libertà domiciliare (tra cui spicca la nota violazione di domicilio ex art. 614 c. p.) e i delitti contro la riservatezza domiciliare, costituiti da figure di reato innovative, volte a far fronte alle aggressioni rese possibili dal progresso tecnologico.

Per diritto alla riservatezza domiciliare si intende il diritto alla esclusività di conoscenza di ciò che attiene alla sfera privata domiciliare: nessuno, pertanto, può conoscere e rivelare ciò che avviene nella sfera privata di un soggetto, se quest’ultimo non vuole che sia da altri conosciuto.

Quindi, in via analogica, si può far rientrare nella generica nozione di riservatezza domiciliare la più specifica accezione di riservatezza informatica e telematica, violando la quale si ricade nell’ambito dei c. d. reati di indiscrezione.

Tali reati, lesivi del bene della riservatezza informatica e telematica, sebbene siano oggettivamente collocati tra i delitti contro l’inviolabilità del domicilio, devono tuttavia essere considerati come una categoria autonoma, distinta dai reati domiciliari, poiché risulta indifferente la collocazione materiale dei sistemi informatici o telematici nella sfera spaziale domiciliare o, come spesso avviene, nella sfera extradomiciliare.

Questo errore di collocamento è stato preso in considerazione dal Progetto di Riforma per un nuovo Codice Penale, che dovrebbe collocare i crimini in esame nella categoria ad hoc dei reati contro la riservatezza delle comunicazioni.

I delitti contro la riservatezza informatica e telematica sono:

  • l’accesso abusivo ad un sistema informatico o telematico (art. 615 ter);
  • la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater);
  • la diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615 quinquies).

Tali figure di reato sono state introdotte dalla legge n. 547 del 1993 sulla criminalità informatica, che ha cercato di colmare le lacune di un Codice Penale non più al passo con i tempi.

1. L’accesso abusivo ad un sistema informatico o telematico

L’accesso abusivo ad un sistema informatico o telematico è disciplinato dall’art. 615 ter e consiste nel fatto di “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero ivi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

Già si è detto della non corretta collocazione della fattispecie tra i delitti contro l’inviolabilità del domicilio: i sistemi oggetto del presente reato, infatti, possono trovarsi materialmente in ambiti spaziali che stanno al di fuori del domicilio; inoltre, l’accesso abusivo non configura modalità di violazione né della privata dimora in sé considerata, né della riservatezza della vita intima e personale. Tuttavia, il legislatore ha giustificato tale provvisoria collocazione (si attende da anni un nuovo Codice Penale…) ampliando il concetto di riservatezza domiciliare, fino a ricomprendervi la riservatezza informatica e telematica.

Per accesso si è soliti considerare la presa di cognizione, ossia la sottrazione dei dati contenuti nella memoria dell’elaboratore elettronico o trasmessi dal sistema telematico. Tuttavia, sarebbe limitativo e fuorviante incentrare l’azione delittuosa su una mera presa di cognizione. Appare invece più corretto riferirsi ad una condotta consistente nell’introduzione in un sistema informatico o telematico, ossia una condotta tale da comprendere tutte le possibili ipotesi di introduzione: introduzione – indiscrezione, introduzione – danneggiamento di dati o programmi, introduzione – frode patrimoniale, introduzione – falsificazione di documenti, introduzione – intercettazione di comunicazioni…

Se si attribuisce alla condotta dell’accesso un significato così ampio da comprendere ogni tipo di introduzione, la norma in esame non si limiterà a svolgere una mera funzione incriminatrice dell’indiscrezione informatica o telematica, ma potrà attuare anche una funzione incriminatrice sussidiaria dell’introduzione intesa come furto di servizi informatici o telematici. Si viene così a punire l’uso non autorizzato dell’altrui sistema, che altrimenti non sarebbe sanzionato, in quanto non riconducibile al reato di furto e di appropriazione indebita.

Per la configurazione del reato è richiesta, in alternativa all’introduzione abusiva, la condotta consistente nel mantenersi nel sistema altrui, contro la volontà, espressa o tacita, di chi ha il diritto di esclusione. Il mantenersi nel sistema consiste nel persistere nell’introduzione già avvenuta, continuando così ad accedere alla conoscenza dei dati altrui. Sebbene l’iniziale introduzione sia stata autorizzata, se il soggetto agente continua ad accedere ai dati contro un intervenuto divieto da parte del proprietario, egli commette il reato di cui all’art. 615 ter. Il divieto può essere tanto espresso (verbale o scritto), quanto tacito (manifestato attraverso gesti concludenti).

L’entità materiale su cui ricadono gli effetti del reato è l’altrui sistema informatico o telematico, protetto da misure di sicurezza. Il riferimento alle misure di sicurezza sta a significare che il legislatore ha inteso salvaguardare solo i dati protetti, e non qualsiasi dato memorizzato.

Il fatto in esame è aggravato:

1) “se commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso delle qualità di operatore del sistema”;

2) “se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato”;

3) “se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”;

4) se i fatti di cui sopra riguardano “sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o, comunque, di interesse pubblico”.

Il reato è punito a querela di parte con la reclusione fino a tre anni.

Nelle ipotesi aggravate di cui ai numeri 1, 2 e 3, il fatto è punito d’ufficio, con la reclusione da 1 a 5 anni.

Tuttavia, se tali ipotesi aggravate concorrono con l’aggravante di cui al numero 4 (es: pubblico ufficiale che accede abusivamente in un sistema di interesse militare), il reato è punito d’ufficio con la reclusione da 3 a 8 anni, dal momento che in questo caso i danni non sono soltanto economici, ma sono diretti ad interessi pubblici primari.

Le pene previste sono piuttosto severe: ciò in ragione del fatto che questo reato è un delitto contro la persona, e quindi lesivo dei diritti della personalità, tra cui, in primis, il diritto alla riservatezza, intesa come esclusività della conoscenza di ciò che avviene nel proprio spazio domestico e, in questo caso particolare, nel proprio sistema informatico o telematico.

Inoltre, in molti casi, si assiste a comportamenti lesivi, allo stesso tempo, sia della riservatezza, sia del patrimonio: è il caso dell’introduzione – furto di servizi o dell’introduzione – frode patrimoniale. L’aggressione alla persona si combina con l’aggressione al patrimonio, e ciò giustifica un trattamento sanzionatorio rigoroso.

2. La detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

La detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici è uno dei tre principali delitti contro la riservatezza informatica e telematica, ed è disciplinato dall’art. 615 quater del Codice Penale.

Esso consiste nel fatto di “chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo”.

Si tratta di una fattispecie molto peculiare e dettagliata.

Per prima cosa, è necessario soffermarsi sull’analisi della condotta richiesta per il perfezionamento del reato. Tale condotta può consistere, alternativamente:

1) nel procurarsi, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altri mezzi, idonei all’accesso ad un sistema informatico o telematico protetto;

2) oppure, nel fornire indicazioni o istruzioni idonee all’accesso.

La condotta sub 2) comprende tutte le ipotesi residuali, non rientranti nell’elenco sub 1), e può estendersi anche alla condotta consistente nel fornire le istruzioni per il funzionamento di uno specifico sistema informatico o telematico protetto.

 

Per maggior precisione, è meglio specificare il significato delle azioni richieste dal numero 1):

  • procurarsi = acquistare la disponibilità materiale del codice o della parola chiave; si tratta di un’accezione piuttosto ampia, tale da ricomprendere sia l’acquisto a pagamento, sia la sottrazione furtiva;

  • riprodurre = copiare il codice o la parola chiave in uno o più esemplari;

  • diffondere = divulgare;

  • comunicare = trasmettere, portare a conoscenza;

  • consegnare = fare pervenire il codice o la parola chiave nella materiale disponibilità di qualcuno.

Ciò che accomuna le due condotte alternative è l’avverbio “abusivamente”: il fatto di reato deve essere realizzato ingiustificatamente, al di fuori di una qualsiasi causa di giustificazione che autorizzi o imponga le condotte stesse (ndr: le cause di giustificazione sono situazioni che fanno venire meno la contrarietà del fatto al diritto; sono cause di giustificazione la legittima difesa, lo stato di necessità, il consenso dell’avente diritto ecc…).

Il reato è aggravato quando è commesso:

  • in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

  • da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema.

Per quanto attiene al trattamento sanzionatorio, il reato è punito d’ufficio con la reclusione fino ad 1 anno e la multa fino a€ 5.164. Nelle ipotesi aggravate, la pena è della reclusione da 1 a 2 anni e della multa da€ 5.164 a€ 10.329.

Si tratta di una sanzione piuttosto severa, anche se meno rigorosa di quella prevista per il reato di accesso abusivo al sistema (art. 615 ter), che prevede una reclusione fino a 3 anni e da 1 a 5 anni in caso di aggravanti.

I beni lesi sono, principalmente, la riservatezza e il patrimonio: c’è la coscienza e la volontà, da parte del reo, di procurare a sé o ad altri un profitto o di arrecare ad altri un danno. Da qui la necessità di punire il criminale non solo con una notevole pena pecuniaria, bensì anche con una pena detentiva.

La diffusione di programmi diretti a danneggiare o interrompere un sistema informatico

Il reato consistente nella diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, disciplinato dall’art. 615 quinquies c. p., completa la rosa dei delitti contro la riservatezza informatica e telematica.

Nello specifico, si tratta del fatto di “chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento”.

Gran parte della dottrina ritiene che questa fattispecie sia superflua, in quanto i fatti da essa descritti potrebbero essere ricompresi nel reato di accesso abusivo, previsto dall’art. 651 ter e sopra analizzato: i programmi diretti a danneggiare-interrompere un sistema informatico, infatti, possono agevolmente rientrare nei tanti mezzi idonei all’accesso abusivo, mediante il quale il soggetto agente può realizzare il suo proposito criminoso.

La condotta consiste nel diffondere, comunicare o consegnare un programma informatico; tale programma, oggetto del reato, deve essere redatto dal soggetto agente o da terzi e deve avere per scopo o per effetto, alternativamente:

  • il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti

  • l’interruzione totale o parziale, o l’alterazione del suo funzionamento.

Esemplificando, si possono prendere in considerazione i c.d. programmi virus, che determinano il blocco o la cancellazione dei dati contenuti nei sistemi, e che possono essere la causa di danni incalcolabili, sia sul piano economico, sia sul piano degli interessi pubblici e collettivi.

Con l’accezione “programma“, il legislatore si riferisce sia ai programmi finalizzati esclusivamente, per loro natura, al danneggiamento, sia ai programmi finalizzati ad altri risultati, ma potenzialmente idonei a danneggiare. Quest’ultimo è il caso di quei programmi che hanno come obiettivo principale la frode o lo spionaggio, ma che possono poi determinare, in via collaterale, il danneggiamento.

Non sono previste circostanze aggravanti speciali.

Circa il trattamento sanzionatorio, il reato è punito d’ufficio con la reclusione fino a 2 anni e con la multa fino a€ 10.329. Analogamente a quanto asserito con riferimento ai reati di accesso abusivo e di detenzione e diffusione abusiva di codici di accesso, il rigore della sanzione trova la sua ratio nel fatto che il reato viola sia il patrimonio, sia la riservatezza personale.