| |
CRIMINI
INFORMATICI
a
cura di Francesco Iperti
Dispense
tratte dalle lezioni tenute presso il Corso "Diritto
dell'Information Technology" organizzato da Luiss
Management spa
PREMESSA
Molto spesso coloro che vorrebbero fare "affari" mediante
internet sono frenati dagli organi di informazione,
che danno gran risalto agli atti di pirateria informatica,
ma non precisano mai (o a volte addirittura negano)
l'esistenza di una normativa penale che contempla detti
atti come reati e che dovrebbe tutelare chi intende
svolgere attività economiche su internet o far transitare
sulla stessa i propri dati "economici". Il clamore suscitato
dalle azioni degli hacker crea una sorta di incertezza
che induce molti a considerare internet una "porzione
di mare fuori dalle acque territoriali" (la frase è
del dott. Rodotà, Garante della Privacy) ove i pirati
spadroneggiano e dove è opportuno avventurarsi solo
per giocare, per fare sesso virtualmente o per conoscere
le idee di qualche "strampalata" organizzazione animalista
(o peggio, per guardare il "grande fratello"). A ciò
si aggiunga l'intrinseca extraterritorialità di internet
a cui si associa l'idea che sia impossibile perseguire
un cyber criminale, in quanto non si sa quale sia la
legge applicabile ovvero il giudice competente. In realtà
tutto ciò è vero solo in minima parte.
In primo luogo si evidenzia che i reati (che verranno
illustrati in seguito) sono punibili dalla legge italiana
quando l'azione o l'omissione, che li costituiscono,
è avvenuta in tutto o in parte sul territorio italiano
ovvero l'evento che è conseguenza dell'azione od omissione
si è verificato sul territorio italiano (art. 6 c.p.).
Ad esempio, un atto di pirateria che parta da un pc
o un provider posto in territorio indiano e miri ad
un server di un provider italiano ben potrà essere punito
secondo le norme italiane.
In secondo luogo esiste una ampia regolamentazione che
tutela la sicurezza e l'inviolabilità dei sistemi informatici
accessibili attraverso reti aperte.
Il nostro ordinamento giuridico è infatti dotato di
una normativa che permette di salvaguardare gran parte
delle attività on-line che è possibile sviluppare nei
rapporti Business to Business (a volte definiti B2B)
o Business to Consumer (B2C).
Detta normativa si distingue in due macro-settori:
IL CODICE PENALE, che prevede i crimini strettamente
legati alle attività informatiche;
LA LEGISLAZIONE SULLA PRIVACY ed in particolare, il
recente Regolamento (Decreto del Presidente della Repubblica
28 luglio 1999, n. 318), recante norme per l'individuazione
delle misure di sicurezza minime per il trattamento
dei dati personali a norma dell'articolo 15, comma 2,
della legge 31 dicembre 1996, n. 675.
La legislazione sulla privacy verrà affrontata in altra
sede. Di seguito verrà invece trattata la disciplina
dei crimini informatici, così come introdotta dalla
legge 23 dicembre 1993, n. 547, pubblicata in Gazzetta
Ufficiale il 30 dicembre 1993 (G.U. n. 305). Detta disciplina
non deve essere confusa con le altre norme penali afferenti
al mondo informatico (ad es. le sanzioni penali relative
alla tutela del software o delle banche dati); per crimini
informatici, infatti, dottrina e giurisprudenza intendono
esclusivamente le fattispecie previste dal codice penale
modificato dalla suindicata L. 547/93.
Quale utile premessa all'analisi dei singoli reati,
si precisa che la gran parte dei "delitti informatici"
è punibile a querela della persona offesa (art. 336
e seguenti c.p.p.); in altre parole, la sanzione penale
può essere irrogata solo se il danneggiato dal reato
denuncia il fatto all'autorità giudiziaria, chiedendo
di procedere nei confronti dell'autore del crimine.
Ai sensi dell'art. 124 del codice penale, si decade
dal diritto di querela decorsi tre mesi dal giorno della
notizia del fatto che costituisce il reato; il diritto
di querela si estingue con la morte della persona offesa,
peraltro, se la querela è già stata proposta, la morte
della persona offesa non estingue il reato (art. 126
c.p.).
Si ricorda infine che, ex art. 185 c.p., ogni reato
che abbia cagionato un danno patrimoniale o non patrimoniale,
obbliga al risarcimento il colpevole e le persone che,
a norma delle leggi civili, debbono rispondere per il
fatto di lui.
ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO
PROTETTO - (art. 615 - ter cod. pen.)
E' l'ipotesi classica dell'hacker che riesce ad introdursi
illecitamente nei sistemi informatici protetti da misure
di sicurezza (ossia protetti da firewall, password,
ecc.). In tali casi, o qualora si permanga in sistemi
informatici contro la volontà di chi ha il diritto di
escludere l'intruso, si è puniti con la reclusione fino
a tre anni.
La dottrina ha chiarito che la punibilità dell'accesso
abusivo sussiste anche in presenza di dolo generico,
ossia l'accesso abusivo è punibile di per se stesso
senza che sussiste una finalità di lucro, ovvero di
danneggiamento od altro ancora.
Ulteriori pene aggravate (reclusione fino a cinque anni)
sono previste se:
- Il fatto è commesso da pubblico ufficiale o da un
incaricato di pubblico servizio, con abuso di poteri
o con violazione dei doveri inerenti alla funzione o
al servizio, o da chi esercita anche abusivamente la
professione di investigatore privato, o con abuso della
qualità di operatore di sistema;
- dal fatto deriva distruzione o danneggiamento del
sistema o interruzione del suo funzionamento;
- se il colpevole per commettere il fatto usa violenza
sulle cose o alle persone;
Ulteriori pene aggravate sono previste se i fatti previsti
dall'art. 615-ter c.p. riguardano sistemi informatici
o telematici di interesse militare o relativi all'ordine
pubblico o alla sicurezza pubblica o alla sanità o alla
protezione civile o comunque di interesse pubblico.
Nell'ipotesi "semplice" il delitto è punibile a querela
della persona offesa; negli altri casi "aggravati" si
procede d'ufficio.
In merito al delitto in esame si segnala che il Tribunale
di Torino con sent. 4 dicembre 1997 (provvedimento interamente
allegato nella documentazione a Vs. disposizione) giudicò
una vicenda che sembra ripetersi spesso nell'ambito
degli studi commerciali.
La vicenda presa in esame dal tribunale piemontese può
così riassumersi: alcuni collaboratori (fra i quali
un commercialista) di una società di elaborazioni di
dati contabili interruppero i rapporti professionali
con detta società per fondare un proprio autonomo studio
professionale, nel quale confluirono diversi clienti
della società di elaborazione dati. Al fine di evitare
gravose spese di ridigitazione, gli ex collaboratori
della società di elaborazione duplicarono i dati indispensabili
alla continuazione della gestione contabile della clientela.
Detta duplicazione avvenne all'insaputa e contro la
volontà dell'amministratore della società ed a nulla
rilevò (a giudizio del giudice torinese) che detto amministratore
avesse rifiutato l'autorizzazione nella speranza di
riuscire ad arginare la fuga di clienti o perchè spinto
dal risentimento nei confronti dei suoi collaboratori.
Come suindicato il codice penale prevede che l'applicazione
delle sanzioni si applichi qualora il sistema informatico
sia protetto, o qualora via sia una volontà contraria
alla permanenza dell'"aggressore" . In merito, si rileva
che il Tribunale di Torino sanzionò gli autori della
intrusione a scopo di duplicazione anche se il sistema
informatico non era protetto da una password specifica
ma solo da quella genericamente apposta dalla casa fornitrice.
Il Tribunale ritenne infatti che il codice penale "intende
reprimere qualsiasi introduzione in un sistema informatico
che avvenga contro la precisa volontà dell'avente diritto,
e per rendere penalmente apprezzabile una simile contraria
volontà è da ritenersi sufficiente qualsiasi mezzo di
protezione, anche se facilmente aggirabile da persona
mediamente esperta, ma che abbia comunque la caratteristica
di rendere palese tale contraria volontà". Inoltre gli
imputati, pur essendo autorizzati ad accedere al sistema
informatico per ragioni di lavoro, non erano certo "legittimati
a permanervi allo scopo di attuare un comportamento
finalizzato a dirottare altrove il contenuto degli archivi
esistenti".
Il Tribunale di Torino, invece, assolse gli imputati
dal reato di frode informatica (vds in seguito), previsto
per chiunque, alterando in qualsiasi modo il funzionamento
di un sistema informatico o intervenendo senza diritto
con qualsiasi modalità su dati contenuti in un sistema
informatico, procura a se' o ad altri un ingiusto profitto
con altrui danno. Nel comportamento di intrusione e
duplicazione non autorizzata non venne infatti ravvisata
"un'iniziativa tesa ad alterare il funzionamento del
sistema informatico e volta a cagionare dolosamente
al titolare della impresa un danno al funzionamento
od ai risultati dello stesso: ciò che muoveva gli imputati
altro non era che l'interesse a procurarsi un profitto,
lucrando sui vantaggi derivanti dalla pronta disponibilità
dei dati abusivamente ottenuti". In buona sostanza,
venne esclusa la perfezione del reato di frode informatica
in quanto il comportamento in esame non sembrò fraudolento,
nessun raggiro venne posto in essere per alterare il
funzionamento del sistema informatico ed indurlo ad
operare per scopi diversi da quelli per cui esso era
destinato, generando ingiusto profitto.
Il Tribunale di Torino ventilò inoltre l'ipotesi che
le condotte in esame potessero essere sanzionate come
rivelazione del contenuto di documenti segreti, atteso
che la legge 547/93 ha precisato che per documento si
debba intendere "....anche qualunque supporto informatico
contenente dati, informazioni e programmi" (art. 621
c.p.). In proposito il Tribunale sostenne che i dati
contabili non potevano essere considerati segreti in
quanto la duplicazione dei dati contabili presuppone
una semplice lettura e copiatura degli stessi e non
una rivelazione a terzi.
Peraltro, il reato si perfeziona anche quando i documenti
segreti vengono impiegati a proprio vantaggio con nocumento
altrui; poichè i dati contabili presenti in un sistema
informatico protetto da password (sia pure generica)
appaiono definibili come segreti, il comportamento in
esame (che genera nocumento al commercialista -titolare
del sistema informativo- e vantaggi ai commercialisti
che sottraggono i dati) sembrerebbe rientrare nella
fattispecie prevista dal legislatore e, conseguentemente,
potrebbero applicarsi le sanzioni previste ( reclusione
fino a tre anni e multa fino a lire due milioni).
Tuttavia, si precisa che il Tribunale di Torino escluse
la sussistenza del reato anche perchè ritenne che la
tutela penale dei documenti "segreti" debba essere circoscritta
alle "sole informazioni attinenti ai prodotti dell'ingegno
(ad es. il software in quanto tale), o alle invenzioni
industriali protette da brevetti o da marchi di impresa".
DETENZIONE E DIFFUSIONE ABUSIVA DI CODICI DI ACCESSO
A SISTEMI INFORMATICI O TELEMATICI PROTETTI - (art.
615 - quater cod. pen.)
L'intrusione in un sistema informatico avviene quasi
sempre grazie al trafugamento di password o codici di
sicurezza, ecco perché il nostro codice penale prevede
che chiunque, al fine di procurare a se' o ad altri
un profitto o di arrecare ad altri un danno, si procura
abusivamente, riproduce o diffonde codici, parole chiave
o altri mezzi idonei a "forzare" un sistema telematico
è punito con la reclusione sino ad un anno e con la
multa sino a lire dieci milioni.
Ulteriori pene aggravate (reclusione da uno a due anni
e multa da lire dieci milioni a venti milioni) sono
previste se il fatto previsto avviene in danno di un
sistema informatico o telematico utilizzato dallo Stato
o da altro ente pubblico o da impresa esercente servizi
pubblici o di pubblica necessità, ovvero se l'attività
criminosa viene posta in essere da un pubblico ufficiale
o da un incaricato di un pubblico servizio, con abuso
dei poteri o con violazione dei doveri inerenti alla
funzione o al servizio, ovvero con abuso della qualità
di operatore del sistema;
La Cassazione ha stabilito che si incorre nel reato
in esame anche quando si diffondono o si riproducono
abusivamente codici di accesso (pics-card) relativi
a servizi offerti tramite televisione (Cass., sez. V,
2-7-1998).
VIOLAZIONE SOTTRAZIONE E SOPPRESSIONE DI CORRISPONDENZA
TELEMATICA - (art. 616 cod. pen.)
La Costituzione italiana (art. 15 "la libertà e la segretezza
della corrispondenza e di ogni altra forma di comunicazione
sono inviolabili. La loro limitazione può avvenire soltanto
per atto motivato dell'autorità giudiziaria con le garanzie
stabilite dalla legge.")stabilisce che la corrispondenza
è inviolabile. In applicazione di detto principio, il
codice penale prevede una serie di norme tese a garantire
la riservatezza di ogni tipo di comunicazione e a punire
chi violi detta riservatezza. L'art. 616 del codice
penale prevede che chiunque prenda cognizione di messaggi
telematici criptati a lui non diretti o sottrae messaggi
telematici "in chiaro" a lui non diretti, ovvero in
tutto o in parte li distrugge, è punito con la reclusione
fino ad un anno o con la multa fino a lire un milione.
Il delitto è punibile a querela della persona offesa.
Volendo inquadrare il reato in esame nel mondo di internet,
si rileva in primo luogo che i messaggi di posta elettronica
trasmessi attraverso internet (comunemente e-mail) sono
da considerare messaggi "chiusi" ovvero "segreti"; la
lettura degli stessi è infatti consentita solo al destinatario
munito di password, ciò è sufficiente per rendere palese
la volontà di mittente e destinatario di rendere riservata
la corrispondenza telematica. Da ciò consegue che potrebbero
applicarsi le sanzioni penali suindicate, qualora venisse
provatoad es., che il provider prende cognizione della
corrispondenza telematica diretta ad un utente, ovvero
la distrugge o la sottrae per farne prendere conoscenza
ad altri.
In caso di legittima sospensione del servizio di posta
elettronica per qualunque motivo (ad es. risoluzione
del rapporto fra cliente e provider ovvero naturale
scadenza del contratto, ecc.), il provider non può trattenere
(o, peggio, distruggere) la corrispondenza inviata ad
una casella di posta elettronica non più attiva; appare
invece doveroso predisporre un avviso di errore che
raggiunga automaticamente il mittente, ignaro del cambiamento
di casella di posta elettronica da parte del destinatario.
Si sottolinea che l'elemento psicologico del reato è
costituito dalla mera coscienza e volontà di distruggere
una comunicazione diretta ad altri; non ha alcuna rilevanza
il fatto che il provider distrugga la corrispondenza
senza trarre profitto o solo per tener libero il proprio
server.
INTERCETTAZIONE, IMPEDIMENTO O INTERRUZIONE ILLECITA
DI COMUNICAZIONI INFORMATICHE O TELEMATICHE - (art.
617-quater cod.pen.)
L'ipotesi in esame fa sempre riferimento alla tutela
della corrispondenza telematica ma riguarda l'ipotesi
di intercettazione, impedimento o interruzione di comunicazione.
Ad esempio, si impedisce che gli ordini di un investitore
giungano al server dell'intermediario finanziario che
gli fornisce il servizio di trading online. In questi
casi la pena prevista è la reclusione da sei mesi a
quattro anni. La stessa pena si applica a chiunque rivela
al pubblico il contenuto delle comunicazioni suindicate.
I delitti suindicati sono punibili a querela della persona
offesa.
Si procede invece d'ufficio e la pena è della reclusione
da uno a cinque anni se il fatto è commesso:
- in danno di un sistema informatico o telematico utilizzato
dallo Stato o da altro ente pubblico o da impresa esercente
servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un
pubblico servizio, con abuso dei poteri o con violazione
dei doveri inerenti alla funzione o al servizio, ovvero
con abuso della qualità di operatore del sistema;
- da chi esercita anche abusivamente la professione
di investigatore privato.
Il reato in esame sembra perfettamente attagliarsi a
quanto accaduto lunedì 7 febbraio 2000, dalle 4 del
pomeriggio e per tutto il giorno successivo, ad alcuni
fra i più importanti siti americani (Yahoo!, Datek,
E-Trade, Buy.com ed altri ancora) che sono rimasti vittime
di un attacco hacker senza precedenti. Gli esperti di
sicurezza informatica hanno spiegato il fenomeno sostenendo
che il blocco dei siti, per alcune ore, era dovuto al
lancio contemporaneo di milioni di messaggi fasulli
che hanno sovraccaricato i sistemi ed hanno mandato
in tilt i server. L'attacco non ha quindi comportato
alcuna intrusione o violazione dei server, ne' vi sono
stati danneggiamenti dei dati presenti nei server. Sembra
si sia trattato solo di "uno scherzo" ben organizzato.
Secondo "Panorama" ed altri quotidiani e periodici italiani,
i pirati avrebbero installato, per via remota, su migliaia
di pc di americani inconsapevoli, un software che si
è attivato ad una data ora e che ha "scaricato" verso
i server "bersaglio" una quantità di dati e richieste
tali da bloccarli: una sorta di megaingorgo delle autostrade
informatiche creato ad hoc.
INSTALLAZIONE DI APPARECCHIATURE ATTE AD INTERCETTARE,
IMPEDIRE O INTERROMPERE COMUNICAZIONI INFORMATICHE O
TELEMATICHE - (art. 617- quinquies cod.pen.)
Anche in questo caso la norma tutela la privacy delle
comunicazioni, punendo con la reclusione da uno a quattro
anni chiunque installi apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni relative ad un
sistema informatico. La gravità del reato è attestata,
oltre che dalla severità della pena, anche dal fatto
che è uno dei pochi crimini informatici punibili d'ufficio.
La pena è aggravata (reclusione da uno a cinque anni)
se il fatto è commesso:
- in danno di un sistema informatico o telematico utilizzato
dallo Stato o da altro ente pubblico o da impresa esercente
servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un
pubblico servizio, con abuso dei poteri o con violazione
dei doveri inerenti alla funzione o al servizio, ovvero
con abuso della qualità di operatore del sistema;
- da chi esercita anche abusivamente la professione
di investigatore privato.
FALSIFICAZIONE, ALTERAZIONE O SOPPRESSIONE DEL CONTENUTO
DI COMUNICAZIONI INFORMATICHE O TELEMATICHE - (art.
617-sexies cod. pen.)
Trattasi di ulteriore ipotesi di reato tesa a garantire
l'inviolabilità delle comunicazioni informatiche o telematiche.
La pena della reclusione da uno a quattro anni è prevista
per chiunque al fine di procurare a se' o ad altri un
vantaggio o di arrecare ad altri un pregiudizio, forma
falsamente ovvero altera o sopprime, in tutto o in parte,
il contenuto di una comunicazione telematica, per poi
farne uso o lasciare che altri ne facciano uso. Come
si può notare, per la configurabilità del reato è necessaria
la presenza del dolo specifico, ossia della volontà
del reo di sopprimere la corrispondenza per procurare
un vantaggio (a se stesso o a terzi) o per arrecare
un pregiudizio.
Anche in questo caso la pena è aggravata (reclusione
da uno a cinque anni) qualora il fatto sia commesso:
- in danno di un sistema informatico o telematico utilizzato
dallo Stato o da altro ente pubblico o da impresa esercente
servizi pubblici o di pubblica necessità;
- da un pubblico ufficiale o da un incaricato di un
pubblico servizio, con abuso dei poteri o con violazione
dei doveri inerenti alla funzione o al servizio, ovvero
con abuso della qualità di operatore del sistema;
- da chi esercita anche abusivamente la professione
di investigatore privato.
DANNEGGIAMENTO DI SISTEMI INFORMATICI O TELEMATICI
- (art. 635 - bis cod.pen.)
La distruzione di sistemi informatici o telematici,
ovvero il deterioramento che li renda anche parzialmente
inservibili è punito (salvo che il fatto non costituisca
reato più grave) con la reclusione da sei mesi a tre
anni.
La pena è della reclusione da uno a quattro anni qualora
il fatto sia commesso:
- con abuso della qualità di operatore del sistema;
- con violenza alle persone o con minaccia;
- da datori di lavoro in occasione di serrate, o da
lavoratori in occasione di sciopero.
Si ricorda che qualora vi sia un danneggiamento di sistema
informatico o telematico protetto, a seguito di abusiva
introduzione, si applica l'art. 615 - ter c.p. esaminato
in precedenza.
FRODE INFORMATICA - (art. 640 - ter cod. pen.)
Il reato in oggetto è inquadrato fra "i delitti contro
il patrimonio mediante frode". L'ipotesi è caratterizzata
dall'attività di alterazione di un sistema informatico
(intervenendo su dati, informazioni o programmi) per
procurare a se' o ad altri un ingiusto profitto, con
altrui danno. La pena stabilita è la reclusione da sei
mesi a tre anni e la multa da lire 100 mila a 2 milioni.
Il delitto è punibile a querela della persona offesa
salvo che ricorra taluna delle circostanze aggravanti
appresso indicate.
La pena suindicata è aggravata (reclusione da uno a
cinque anni e multa da lire seicentomila a tre milioni)
se il fatto è commesso:
- con abuso della qualità di operatore del sistema;
- a danno dello Stato o di altro ente pubblico o col
pretesto di far esonerare taluno dal servizio militare.
In merito al reato in esame si segnala una interessante
ordinanza del Tribunale di Lecce (12.3.99, riportata
integralmente nella Vs. documentazione) che ha dichiarato
la sussistenza del delitto di frode informatica - e
non anche quello di accesso abusivo ad un sistema informatico
o telematico - nella condotta di chi, mediante la digitazione,
su apparecchi telefonici collegati a linee interne di
una filiale Telecom, di una particolare sequenza di
cifre, effettui una serie di chiamate internazionali
in danno della Telecom, tenuta a versare agli enti gestori
della telefonia nei paesi di destinazione l'importo
corrispondente al suddetto traffico telefonico, procurandosi
un ingiusto profitto consistente nel ricevere una parte
di tali somme da detti enti gestori (con i quali i rei
si erano precedentemente accordati).
Il Tribunale di Lecce è giunto a detta conclusione anche
in virtù del fatto che il sistema telefonico gestito
dalla Telecom, in seguito alle recenti innovazioni tecnologiche,
può essere definito un sistema informatico, tanto in
relazione alla trasmissione in rete delle conversazioni
vere e proprie, quanto in relazione al trattamento automatico
delle informazioni afferenti ai dati esterni alle conversazioni
registrati su appositi tabulati.
Si segnala infine che il Tribunale di Torino con sentenza
4 dicembre 1997 (già commentata in precedenza a proposito
del reato di accesso abusivo a sistemi informatici)
ha stabilito che il reato di frode informatica "colpisce
solo gli interventi che consistono nell'adibire l'apparato
informatico a scopi diversi da quelli per cui era destinato
o nel manipolarne arbitrariamente i contenuti".
DIFFUSIONE DI VIRUS - (art. 615-quinquies cod. pen.)
Chi diffonde programmi (da lui stesso e da altri redatti)
aventi per scopo o per effetto il danneggiamento di
un sistema telematico, dei dati o dei programmi in esso
contenuto è punito con la reclusione sino a due anni
e con la multa sino a lire venti milioni.
In relazione alle ipotesi (nella prassi, la stragrande
maggioranza) in cui la diffusione di virus avvenga inconsapevolmente
(ossia senza dolo), giurisprudenza e dottrina hanno
più volte chiarito che le pene suindicate non devono
applicarsi. Dovrebbero invece essere applicate le sanzioni
penali suindicate quando si è in presenza del dolo eventuale,
ossia quando la diffusione del virus non è specificamente
voluta ma, nell'ambito della trasmissione di programmi
per finalità diverse da quelle della distruzione del
sistema informatico, si è consapevoli che detti file
sono "infetti" e che quindi potrebbero dar luogo ad
una distruzione di sistema informatico. Esempio di presenza
di dolo eventuale può ravvisarsi allorquando il responsabile
del sistema informatico di un intermediario finanziario,
trasmette al cliente le mail di conferma dell'esecuzione
degli ordini, pur sapendo che il sistema è infettato
da virus.
Altro esempio di presenza di dolo eventuale si ravvisa
nel comportamento di una software house che distribuisce
i propri programmi, pur sapendo che all'interno dei
medesimi vi è un virus potenzialmente dannoso per i
sistemi informatici dei clienti.
|
|
