Page 85 - Rassegna 2019-4

P. 85

SICUREZZA INFORMATICA E NUOVE FRONTIERE DEL DIRITTO PENALE

In questo caso rileva esclusivamente, ai fini della determinazione della
competenza territoriale, il luogo ove si trova il server violato. Inoltre, anche lad-
dove non sia sempre possibile individuarne l’ubicazione geografica (spesso par-
liamo di località fuori dei confini nazionali) , anche se si volesse ritenere che
(33)
il momento consumativo del reato si sia realizzato all’estero, o comunque in un
luogo indeterminabile, non si potrà negare che parte dell’azione sia comunque
avvenuta in Italia. Di conseguenza, troveranno applicazione le norme di parte
generale di cui all’art. 6 c.p., oltre alle regole suppletive di cui all’art. 9 c.p.p. .
(34)
E veniamo, infine, ad alcune note a margine sul fenomeno criminale del
phishing, di cui non esiste ancora in dottrina una norma incriminatrice unica
bensì una gamma variegata a cui far riferimento per inquadrare giuridicamente
il reato. Ciò in quanto attacchi informatici di questo tipo vengono, tradizional-
mente, articolati in un insieme di fasi successive , a ciascuna delle quali si può
(35)
associare una disciplina differente.
La prassi investigativa dimostra come, nella realtà, l’art. 615-ter c.p. tenda
a polarizzare a sé anche le ipotesi di reato strumentali o conseguenti all’accesso
abusivo, tra cui il reato di sostituzione di persona di cui all’art. 494 c.p., nonché
quello di illecito trattamento di dati personali ex art. 167 D.Lgs. 196/2003,
novellato dal D.Lgs. n. 101 del 10 agosto 2018 (ufficialmente in vigore dal 19
settembre 2018) con cui è stato recepito il Regolamento generale sulla protezio-
ne dei dati (G.D.P.R. n. 2016/679), approvato dall’Unione europea in materia di
trattamento dei dati personali e della privacy .
(36)
(33) I servizi webmail più popolari, messi a disposizione da famosi gruppi multinazionali, fanno
sempre più ricorso a data center che, per ragioni di opportunità economica, geografica, fiscale
e di sicurezza, si trovano in luoghi non ubicati sul territorio italiano.
(34) Sempre in tema di competenza, si sottolinea che il reato di accesso abusivo è attribuito all’uf-
ficio del pubblico ministero presso il Tribunale del capoluogo del distretto nel cui ambito ha
sede il giudice competente, così come disposto dal comma 3-quinquies dell’art. 51 c.p.p.
(35) Si distinguono sei fasi nell’attacco:
- il planning, in cui l’attaccante determina chi andrà a colpire e in che modo;
- il setup, in cui vengono configurati i meccanismi e gli strumenti per procedere all’attacco;
- l’attack, durante il quale cominciano i primi contatti fra l’attaccante e la vittima per indur-
la ad ottenere le proprie credenziali;
- la collection, il momento effettivo in cui l’attaccante ottiene e archivia i dati che cerca;
- la fraud, in cui l’attaccante utilizza per i propri fini le credenziali ottenute;
- il post attack, fase in cui l’attaccante cancella le tracce del proprio operato.
Vedasi in proposito CAJANI F., COSTABILE G., MAZZARACO G., Phishing e furto d’identità digitale.
Indagini informatiche e sicurezza bancaria, Milano, Giuffrè, 2008, pagg. 14.
(36) Con il D.Lgs. n. 101 del 10 agosto 2018 si introduce, all’art. 15, una serie di disposizioni sulle
sanzioni penali che vanno, in parte, a modificare alcune norme già contenute nel precedente
Codice sulla Privacy (tra cui quella sul trattamento illecito dei dati personali ex art. 167), oltre
ad introdurre nuove fattispecie di reato di cui agli artt. 167-bis (Comunicazione e diffusione
illecita di dati personali riferibili a un rilevante numero di persone) e 167-ter (Acquisizione
fraudolenta di dati personali).

80 81 82 83 84 85 86 87 88 89 90