La criminalità informatica tra impresa, nuove tecnologie e cultura digitalica alla luce della L. 18 marzo 2008, n. 48 (*)


Danilo Riponti


Danilo RIPONTI


Avvocato in Conegliano (TV), Membro della Commissione Giustizia della Lega Italiana per i Diritti dell’Uomo, nonché dell’Accademia Medico-giuridica delle Venezie. Cultore di Antropologia Criminale presso l’Università di Trieste.







1. Premessa

L’imponente diffusione dei computers e il loro utilizzo ormai capillare praticamente in tutti i settori della vita moderna, dai più complessi ai più banali, sta rapidamente modificando il volto della società contemporanea.
L’avvento poi della telematica e di internet hanno creato una trasformazione culturale di rilevanza radicale, quasi una mutazione antropologica, che ha determinato l’avvento di una cultura “digitalica” assolutamente nuova e per taluni aspetti sorprendente. I “nativi digitalici” infatti confessano in modo immediato in internet, che diviene una sorta di memoria collettiva, circostanze che mai avrebbero rivelato neppure ai più intimi amici o parenti, con una trasformazione completa dei protocolli di comunicazione.
Questa generazione, che negli USA viene definita generazione Y o tecnosensual, sopprime le relazioni umane in favore di una pseudo-relazione in una dark-room virtuale, che assicura la spersonalizzazione e l’anonimato: in tale ambito si può essere a piacere maschio o femmina, giovane o vecchio, ricco o povero, ci si nasconde cioè non solo agli altri ma anche a se stessi.
Questa generazione trasferisce in internet la propria vita attiva, e i fenomeni del tipo You Tube o quello ancor più sconcertante di Second Life, cioè di totale trasferimento di ogni vissuto su un mondo virtuale apparentemente del tutto esaustivo, ma in realtà del tutto svuotato di valori in favore di un onnipotenza della tecnica, sono a dir poco inquietanti: la vita reale, per i milioni di giovani che adottano tali “filosofie”, si riduce solo ad una pausa per dormire e recuperare forze, al fine di riprendere una realtà virtuale considerata di centrale ed esclusiva importanza, quasi che la persona umana diventasse una specie di propaggine di questa grande coscienza collettiva, e internet divenisse una protesi esistenziale di vitale centralità.
è questa la cultura (o sottocultura) del superamento di ogni limite, della trasgressione che diviene regola e come tale deve essere sistematicamente superata in eccessi crescenti, assecondati dall’illusoria onnipotenza della tecnica.
I valori condivisi sono quelli diffusi e propugnati da internet (pensiamo alla spaventosa diffusione della Dea anoressia, mitizzata in molteplici blog giovanili), con totale devalorizzazione di quelli propri della società civile reale, al punto che si riscontrano con continuità, negli studi psicologici, situazioni e casistiche di soggetti portatori di gravi disturbi psicopatologici, che in internet sono considerati veri e propri eroi.
Non v’è da stupirsi che questi giovani presentino gravi disturbi mentali che vanno dai disturbi del comportamento (condotte devianti antisociali e criminali, iperattività, disobbedienza ostinata, aggressività, autolesionismo e predisposizione agli incidenti, difficoltà di concentrazione e costanti insuccessi scolastici, tossicofilie e tossicomanie, specie con riferimento alle droghe di tendenza o droghe furbe, le smart drugs(1)), a gravi fenomeni di noia grave e invasiva, e instabilità emotiva; da seri disturbi psicosomatici e ipocondria, con sentimenti devastanti di autosvalutazione e vergogna, a pericolose anomalie del comportamento alimentare (bulimia, anoressia, iperalimentazione con obesità patologiche) e del sonno.
L’incidenza dei suicidi giovanili è in spaventosa crescita.
è davvero il caso di dire che internet, la sua extraterritorialità e la globalizzazione che ne consegue, hanno scoperchiato un vaso di Pandora dalle proporzioni sino a pochi anni fa inimmaginabili.
Tutto è sorto dall’avvento del computer, o meglio dalla straordinaria diffusione che tale macchina, specie dopo la realizzazione del pc (personal computer), ha assunto nella società civile, o meglio ancora da un suo uso abnorme che si è progressivamente diffuso nelle classi giovanili.
Questa macchina, nella sua operatività, si presenta come intrinsecamente nuova rispetto a qualsiasi apparato tecnico prodotto nel passato, poiché si compone non soltanto di un elemento materiale bensì anche di un programma, che fornisce alla struttura fisica della macchina tutte le istruzioni, in via completa ed anticipata, idonee ad assicurare il funzionamento che l’utilizzatore intende perseguire; proprio per il poter funzionare in termini ipotetici (cioè potendo accertare esso stesso variabili legate a fatti futuri e non preventivati e tenerne conto nel suo funzionamento) e potenziali (a seconda della molteplicità di possibili variabili), il computer è in grado di riprodurre (pur entro limiti ben precisi) talune funzioni proprie dell’intelligenza umana, ed è divenuto insieme simbolo e strumento del mutamento epocale in atto nel mondo, mutamento la cui drammaticità spesso sfugge all’uomo della strada.
Tutto ciò è stato reso possibile soprattutto dalle innovazioni introdotte dalla microelettronica che ha consentito, a partire dagli anni ’70, di produrre e diffondere enormemente elaboratori multifunzionali di grande potenza, piccole dimensioni e basso costo, i cosiddetti personal computers: nelle numerosissime versioni esistenti, in rapido aumento e costante evoluzione, essi appaiono i veri protagonisti della odierna informatica distribuita e generano una progressiva situazione di vera e propria computer-dipendenza.
Senza dubbio, in effetti, l’avvento del computer e soprattutto la diffusione della cultura digitalica che ne è derivata e la sua diffusione nell’attuale società civile costituiscono una delle peculiarità culturali dell’inizio del Terzo Millennio.
Si tratta di un processo in atto ormai da molti anni che caratterizza lo sviluppo della nostra società ed ha creato modelli di elaborazione e di gestione delle informazioni e dei dati completamente innovativi rispetto alla tradizione del passato.
Tali modelli hanno assunto un ruolo decisivo, in prima fase particolarmente nelle realtà economiche e scientifiche, potendone scaturire una accentuata automazione nelle gestioni contabili e nei processi produttivi industriali e aziendali in genere, nonché nei procedimenti di ricerca scientifica, di estrema rilevanza per la agilità procedimentale, la semplicità e flessibilità gestionale, per i costi e le risorse assai contenuti che implica.
Determinati settori economici, di eccezionale importanza nella società civile contemporanea, fondano la propria organizzazione sui sistemi informatici e telematici.
Il settore bancario e finanziario, per esempio, fa larghissimo uso di tali tecnologie, indispensabili in ragione della globalizzazione dei mercati finanziari e dell’esigenza di disporre di informazioni in tempo reale; la diffusione, poi, di strumenti di pagamento e di credito elettronici o a microprocessore ha ancorato tali attività all’operatività di programmi telematici, dai quali sono “dipendenti” in modo assoluto, con i vantaggi ma anche i rischi che ciò implica: non a caso, è proprio tale settore ad essere il più esposto a gravi disfunzioni e ad aggressioni criminali specifiche.
Anche il settore assicurativo fa larghissimo uso, non solo per la normale operatività amministrativa e contabile ma anche per la gestione contrattuale delle polizze che per la gestione informatica dei sinistri (o comunque degli eventi assicurati), di evoluti sistemi informatici che consentono di determinare in tempo reale ogni problematica specifica, dalla valutazione del rischio, al calcolo del premio, alla determinazione del danno risarcibile.
L’attività industriale ha sfruttato le nuove tecnologie informatiche non solo per le problematiche amministrative e contabili, ma anche per la riorganizzazione e automazione delle specifiche operatività produttive.
In effetti, la principale finalità per cui internet è stato inizialmente progettato e sviluppato è, oltre agli scopi strategici di difesa e controllo militare, quello di costituire un motore indispensabile per il processo decisionale delle grandi organizzazioni, basato sui flussi informatici e sulla velocità nell’orientare le scelte direttive con una ristrutturazione dei processi interni. Rischia quindi di apparire limitata una concezione di internet quale mezzo capace solo di permettere la comunicazione digitale.
In tale prospettiva, lo strumento informatico acquista un valore altamente strategico che va ben oltre l’utilizzo che l’utente privato può intravedere, da cui deriva conseguentemente un forte interesse di tutte le organizzazioni alla tutela delle proprie informazioni, per esempio nel settore aziendale, da parte delle imprese e un contrapposto altrettanto forte interesse della pirateria informatica all’impossessamento di tali informazioni.
Ove si tenga presente che, in realtà, la strategia è l’arte di conservare la libertà delle proprie decisioni, l’importanza strategica di internet è straordinaria.
Nel settore aziendale, questa impostazione diviene particolarmente ricca di riflessi operativi.
Un problema particolarmente avvertito dalle aziende moderne è quello legato alla perdita economica, di competitività industriale e di posizione di mercato causata dalla perdita di informazioni aziendali.
I tre elementi fondamentali per la sicurezza e la protezione delle informazioni sono costituiti da:
a) politiche aziendali;
b) soluzioni tecnologiche;
c) comportamenti individuali.
Il valore delle informazioni varia nel tempo e può mutare in funzione del contesto in cui l’informazione viene ad esistenza; questa può essere fortemente appetibile, e quindi a rischio di impossessamento da parte di estranei, in un determinato momento storico e poi diventare, anche in breve tempo, priva di qualsiasi interesse nel momento in cui diviene di dominio pubblico (es.: notizia di cronaca).
Chi lavora in un’azienda o in un ente si rende conto del valore intrinseco e dell’importanza delle informazioni, condivise con tempestività con le persone autorizzate a riceverle, nel momento in cui gli accade di perdere il controllo sulla stessa; un po’ come quando si percepisce il valore della salute nel momento in cui si contrae una patologia. In entrambi i casi c’è il rischio di accostarsi al problema in maniera emotiva trascurando i possibili comportamenti tesi a prevenire o curare il problema.
Si sente dire molto spesso che la gran parte delle aggressioni alle informazioni aziendali provengono dall’interno delle stesse aziende; in realtà questo è un dato difficilmente dimostrabile. Si può invece senz’altro affermare che la validità delle misure di sicurezza per la tutela delle informazioni aziendali può essere fortemente condizionata dai comportamenti di coloro che le utilizzano e che quindi comportamenti non corretti possono trasformarsi in vantaggi per coloro che intendano volontariamente mettere in atto attacchi ai sistemi informativi.
Emblematico in tal senso è il termine inglese need-to-know che mette in evidenza la opportunità di comunicare informazioni solamente a coloro i quali ne necessitano a fini lavorativi, astenendosi dal diffondere informazioni a chi non possa trarne vantaggio.
Tutto ciò ci porta a considerare l’esistenza di un intrinseco legame esistente fra le politiche aziendali, le dotazioni tecnologiche e i comportamenti individuali; questi tre elementi debbono essere circondati da un ambiente coerente con le aspettative che li muovono, come coerenti dovrebbero essere le strategie aziendali finalizzate all’individuazione delle devianze e alla correzione dei movimenti. E per questo è necessario che all’interno dell’azienda sia prevista una figura di responsabile per la individuazione di programmi capaci di tutelare le informazioni, influenzando anche i comportamenti individuali.
Nel caso in cui i tre elementi suindicati siano perfettamente applicati e che un soggetto esterno all’azienda intenda ottenere fraudolentemente informazioni riservate e protette, si deve subito rilevare come le caratteristiche dei soggetti aggressori corrispondono alla tipologia del criminale tipico. Il loro profilo trova analogia a quello del soggetto familiare con l’ambiente aziendale; molto spesso si tratta di persone “importanti”, con spiccata attitudine ad impressionare le vittime individuate, con tutti i connotati individuati da Sutherland per i White Collar Crimes: si tratta spesso di illeciti posti in essere da persone rispettabili, di levata condizione sociale, nell’ambito delle loro attività professionali e con abuso di fiducia. Questo particolare comportamento fraudolento può essere facilitato dall’ “ambiente globale” in cui l’utilizzo di lingue straniere, i differenti fusi orari e/o giornate festive nazionali, la diffusione capillare delle operazioni possono rendere più facile il compito dell’aggressore che voglia proporsi come un elemento di spicco nel settore di competenza dell’azienda, il quale può, a seconda dei casi, distribuire lusinghe, promettere particolari benefici o minacciare la promozione di provvedimenti disciplinari al fine di ottenere un temporaneo ma determinante abbassamento della guardia della malcapitata vittima.
Questo ci fa comprendere come sia particolarmente difficoltoso perseguire giuridicamente reati commessi utilizzando tali tecniche; ancor più difficile è, in alcuni casi, scoprire che ci siano state delle iniziative finalizzate alla sottrazione di informazioni aziendali in quanto non sempre si rinvengono le tracce della loro alienazione. In tale ottica, si può dire che i reati informatici condividono molti caratteristiche con quelli dei “colletti bianchi”.
Le soluzioni tecnologiche di sicurezza informatica costituiscono indubbiamente un valido aiuto, specialmente per quanto riguarda la registrazione degli accessi non autorizzati.
Un’ulteriore iniziativa che le aziende possono attuare per difendersi in caso di inefficacia degli strumenti di protezione è quella di attività di analisi a posteriori allo scopo di individuare i responsabili (investigazione aziendale di counter intelligence).
Tale attività si prefigge lo scopo di avviare azioni legali a protezione dell’immagine e di tipo risarcitorio (qualora possibili), rilevare i punti deboli del processo aziendale utilizzato per la gestione delle informazioni e compiere un’opera di dissuasione nei confronti dei dipendenti e dei collaboratori esterni a reiterare aggressioni alle informazioni aziendali con tecniche già sperimentate.
La competizione economica fra aziende ha da sempre determinato un forte interesse alla acquisizione di idee e know-how di altri operatori del settore, costituendo fra l’altro uno dei modi per riuscire a contenere i costi di R&S in cui le imprese devono investire per superare la concorrenza. La protezione del know-how aziendale comporta inoltre rilevanti costi in termini di brevetti, licenze e copyright.
Ma spesso tutto questo non basta. La complessità tecnologica dell’era informatica può rappresentare, sotto l’aspetto della protezione delle informazioni, un miglioramento per le aziende a patto che queste siano disposte a trasformare i loro processi di difesa. Altrimenti si corre il rischio di divenire oggetto di attenzione di “professionisti” in grado di offrire preziosi servizi a chi intenda utilizzarli, i c.d. information broker, la cui abilità consiste nel saper mettere assieme piccoli tasselli di informazione che quotidianamente riescono ad acquisire con mezzi diversi (persuasione occulta, sottrazione fraudolenta, furti di documenti e di PC).
L’avvento delle tecnologie informatiche ha pertanto generato un fenomeno di computer-dipendenza che si è venuta a creare nella società civile contemporanea praticamente in ogni settore della vita economica, culturale e sociale, che ha reso l’offensività degli illeciti informatici particolarmente perniciosa, rendendo necessaria l’adozione di strumenti di protezione sicuri ed efficienti(2).
La diffusione poi della cultura digitalica sta creando vere e proprie nuove forme di devianza (per es. il Cyberbullismo), che impongono ai criminologi grande attenzione, perché costruiscono espressione della grande trasformazione culturale epocale, che abbiamo definita digitalica.


2. Il problema definitorio

Un corretto approccio a tali problematiche postula tutta una serie di precisazioni terminologiche e lessicali afferenti le tematiche in esame, che pur apparendo per taluni quasi primitive, consentono di creare un quadro di riferimenti elementari certo e solido.
Con il termine computer si indica un complesso apparato che deve presentare almeno quattro caratteristiche fisse:
-  deve essere elettronico;
-  deve utilizzare nel suo funzionamento un programma;
-  i segnali oggetto di elaborazione devono essere digitali e non analogici;
-  l’elaborazione deve avvenire secondo gli schemi della logica di Boole (and, or, not)(3).
Per informatica (espressione che risulta composta dalla fusione del sostantivo informazione con l’aggettivo automatica(4)) si deve intendere la “scienza e la tecnica dei fenomeni relativi al trattamento e alla trasmissione dell’informazione, e degli strumenti di cui si serve”(5); tuttavia, a questa definizione di ampia portata, appare preferibile una nozione più specifica di “scienza dell’uso del computer”, non risultando giustificato far rientrare nella stessa ogni problematica relativa alla gestione dell’informazione ed anche perchè l’uso del computer consente non solo la gestione di informazioni bensì anche l’elaborazione di dati.
La telematica, invece, è sostanzialmente quel settore dell’informatica che si riferisce alle tecniche di diffusione dell’informazione, studia e definisce i supporti e gli strumenti per la trasmissione di suoni, immagini, informazioni ecc.: si tratta in sostanza dell’applicazione alla telecomunicazione dell’uso del computer.
Unità di misura del computer è il bit, cioè l’impulso digitale in cui si articola il dato, che da un lato è una forma di scrittura e dall’altro può essere considerato, in ottica penalistica, un bene materiale mobile distinto dal supporto che lo contiene, essendo per sua natura trasferibile da un supporto ad un altro. Materialità, seppure intesa in senso lato, e trasmissibilità sono caratteristiche pregnanti del bit, che come vedremo consentiranno di risolvere numerose problematiche penalistiche.
Tanto l’informatica che la telematica si articolano in sistemi: i primi possono essere costituiti da semplici sistemi di scrittura, gestione ed automazione a complessi sistemi di elaborazione dati, aventi portata di calcolo di miliardi e miliardi di dati, operatività estesa a milioni di utenti e ambiti territoriali non solo internazionali ma talora anche planetari; i secondi invece si sostanziano in reti di telecomunicazioni pubbliche e private, locali, nazionali e internazionali.
Il computer nella sua materialità è composto da un hard-ware (letteralmente “merce dura”), costituito dalla apparecchiatura, necessariamente elettronica, e dai suoi componenti fondamentali, microprocessori, memorie fisse e operative (rispettivamente denominate hard-disk e r.a.m.), ecc.
Il soft-ware invece (letteralmente “merce morbida”) è la parte complementare e caratteristica del computer, costituita dal programma utilizzato dalla macchina, che costituisce l’aspetto più originale e significativo dell’apparato, essendo oltretutto elemento distintivo del computer da qualsiasi altra macchina. Il soft-ware si articola in tre diversi livelli:
-  di base, comprendente i sistemi operativi fondamentali ed elementari, necessari per qualsiasi minimo funzionamento del computer nella sua fisicità e costituenti l’interfaccia tra l’hard-ware e i livelli superiori di soft-ware;
-  di utilità, comprendente programmi destinati allo svolgimento di funzioni utili per ogni elaboratore, gestione, copia, cancellazione ecc. dei files, stampa, impostazioni grafiche, caratteri, ecc.;
-  applicativo, di contenuto altamente specialistico, destinato a svolgere le funzioni particolari e specifiche dell’utente, che sovente lo perfeziona in base alle sue specifiche esigenze.
Il computer può inoltre essere usato per classificare ed offrire informazioni (cd. uso informativo del computer, per esempio la consultazione di una banca-dati), ovvero per fargli generare effetti incidenti sul mondo reale senza alcun ulteriore intervento umano (cd. uso cibernetico del computer, per esempio l’uso di una carta di credito).
Lo sviluppo di sistemi complessi, basati sull’integrazione delle scienze e tecnologie informatiche ai processi produttivi, ha favorito lo sviluppo di un particolare tipo di criminalità che, per taluni aspetti, può essere considerata, come abbiamo visto, una sorta di sottospecie della criminalità dal colletto bianco, i cd. white collar crimes delineati da Sutherland, coi quali condivide numerose e significative peculiarità (ma dai quali ha anche qualche significativa differenza).
Alcuni studiosi (Parker, Tiedemann), consci dell’eccezionale difficoltà di offrire una definizione onnicomprensiva del reato informatico anche per la fluidità della materia in costante e frenetica evoluzione, ne hanno propugnato accezioni assai vaste, qualificando lo stesso come “quel comportamento antigiuridico, o comunque socialmente dannoso, che viene posto in essere utilizzando un elaboratore elettronico di dati(6).
Nel 1983 un gruppo di esperti dell’OEDC (Organization for Economic Cooperation and Development) ha definito quali computer crimes ogni comportamento illegale, immorale o non autorizzato comportante elaborazione automatica di dati e o trasmissione di dati(7), comprendendo pertanto nell’ambito di tale nozione anche le violazioni della privacy.
Tuttavia si è ben presto constatato (Lenckner) che una definizione di reato informatico in senso proprio poteva aversi solo in presenza di “interventi abusivi sul processo di elaborazione”(8), venendosi così a creare la distinzione tra gli atti criminosi perpetrati contro il computer e la gestione informatica dei dati, ovvero quelli posti in essere con l’ausilio tecnologico dei computers, fattispecie che tutte rientrano nella categoria dei computer crimes, nel primo caso in senso stretto, giacché il computer è un protagonista necessario dell’evento criminoso, nel secondo caso in senso lato, essendo il computer solo una delle molte potenziali modalità di perpetrazione del fatto. Appare in tal senso opportuna la bipartizione fondamentale, tra i reati cosiddetti commessi per mezzo del computer e i reati che sfruttano l’uso di un computer(9).
I primi sono commessi immettendo un’istruzione o una serie di istruzioni fraudolente nella memoria del computer o modificando i dati in esso già presenti, ovvero aggiungendo dati alla memoria dello stesso tramite una linea esterna di natura telematica. I crimini che sfruttano l’uso di un computer, invece, inseriscono transazioni telematiche non autorizzate, ed in questo caso il computer in sé non realizza nulla di irregolare, agisce per contro secondo i suoi fisiologici standard operativi, tuttavia per il suo tramite vengono preparati illeciti di penale rilevanza.
Come si diceva in precedenza i computer crimes possono essere considerati una sorta di white collar crimes, pur con peculiarità assolutamente originali.
Più esattamente sono stati tradizionalmente fatti rientrare nella categoria degli occupational crimes(10), in quanto solitamente vengono perpetrati da impiegati o funzionari nell’espletamento di mansioni d’ufficio. Per altri aspetti i computer crimes sono stati considerati, ormai da molti decenni, degli special opportunity crimes(11) per il fatto che il soggetto agente si avvale nella perpetrazione dell’illecito delle particolari opportunità create da un lato dalle proprie conoscenze tecnologiche e dall’altro lato dalle potenzialità virtuali dell’elaboratore.
Di assoluto rilievo è anche la distinzione fondata sul ruolo che il computer assume nella perpetrazione del reato, potendo esserne oggetto, mezzo o simbolo.
Nel primo caso, il computer (hardware o software) viene manomesso nella sua fisicità (si rammenti l’attentato posto in essere dalle Brigate Rosse al C.E.D. della Motorizzazione Civile di Roma nel 1981, ovvero la manomissione dei computers di gestione della rete ferroviaria di Tokio ed Osaka, realizzata da terroristi giapponesi nel 1985); ovvero, la condotta criminosa può incidere nella funzionalità del computer, ovverosia sulle operazioni logiche immateriali, sulle memorie informative, etc.
Nel secondo caso, il computer può costituire strumento di un reato ove consenta di organizzare ed elaborare dati relativi a traffici illeciti, quali i traffici di stupefacenti, l’usura, le scommesse clandestine.
Nel terzo caso, il computer può rivestire fraudolentemente il ruolo di elemento di circonvenzione della vittima, in ragione dell’immagine di straordinaria efficienza tecnologica che esprime (come avviene nelle truffe realizzate a diverso titolo, utilizzando l’impatto psicologico favorevole indotto dalle tecnologie informatiche proprio su chi meno le conosce).
Notevole interesse ha rivestito in materia, per una corretta individuazione degli interessi da proteggere con appropriati strumenti legislativi, l’attività di ricerca e studio resa dal Consiglio d’Europa, che con la Raccomandazione n. R(89)9, ha elaborato, oltre a tutta una serie di fattispecie facoltative, una lista “minima” di fattispecie inerenti la criminalità informatica, da introdurre necessariamente negli ordinamenti nazionali per fronteggiare il problema, articolata sulla seguente tipologia di condotte:
-  frode informatica: intesa quale ingresso, alterazione, cancellazione o soppressione di dati o di programmi informatici, o qualsiasi altra ingerenza in un trattamento informatico che ne influenzi il risultato e che determini un pregiudizio economico o materiale ad altra persona, effettuati con l’intento di ottenere un vantaggio economico illegittimo per se stesso o per altri;
-  falso informatico: ingresso, alterazione, cancellazione o soppressione di dati o di programmi informatici, o qualsiasi altra ingerenza nel trattamento informatico, effettuati con modalità o condizioni tali da costituire, secondo il diritto nazionale, un reato di falso qualora i fatti stessi fossero commessi nei riguardi di uno degli oggetti tradizionali di questo tipo di infrazione;
-  danneggiamento riguardante dati o programmi informatici: cancellazione, danneggiamento, deterioramento o soppressione senza diritto di dati o programmi informatici;
-  sabotaggio informatico: ingresso, alterazione cancellazione o soppressione di dati o programmi informatici o vero ingerenza nei sistemi informatici, con l’intenzione di ostacolare il funzionamento di un sistema informatico o di un sistema di telecomunicazioni;
-  accesso non autorizzato: accesso senza diritto ad un sistema o ad una rete informatica mediante violazione delle regole di sicurezza;
-  intercettazione non autorizzata: intercettazione, senza diritto e mediante mezzi tecnici, di comunicazioni inviate, provenienti o esistenti nell’interno di un sistema o di una rete informatica;
-  riproduzione non autorizzata di un programma informatico protetto: riproduzione, diffusione o comunicazione al pubblico, senza diritto, di un programma informatico protetto dalla legge;
- riproduzione non autorizzata di una topografia: riproduzione, senza diritto, della topografia, protetta dalla legge, di un prodotto a semiconduttore o sfruttamento commerciale ovvero importazione a questo scopo, senza diritto, di una topografia o di un prodotto semiconduttore fabbricato con l’aiuto di tale topografia.
Del pari meritevoli di interesse, ai fini della repressione della criminalità informatica, appaiono le ipotesi elencate nella c.d. lista facoltativa:
-  alterazione dei dati o dei programmi informatici: alterazione senza diritto di dati o programmi informatici;
-  spionaggio informatico: ottenimento mediante mezzi illegittimi, divulgazione non autorizzata, trasferimento o utilizzazione senza diritto né altra giustificazione legale, di un segreto commerciale o industriale, con l’intenzione di causare un pregiudizio economico all’avvento diritto al segreto, o di ottenere per sè o per gli altri un vantaggio economico illecito;
-  utilizzazione non autorizzata di un elaboratore: utilizzazione senza diritto di un sistema o di una rete informatica effettuata accettando il rischio di causare un pregiudizio a colui che ha diritto di utilizzare il sistema o di arrecare pregiudizio al sistema o al suo funzionamento, ovvero, con l’intenzione di creare un pregiudizio alla persona che ha diritto di utilizzare il sistema, ovvero, causando in tal modo un pregiudizio alla persona che ha diritto di utilizzare il sistema o arrecando un pregiudizio al sistema o al suo funzionamento;
-  utilizzazione non autorizzata di un programma informatico protetto: utilizzazione, senza diritto, di un programma protetto dalla legge e riprodotto senza diritto, con l’intenzione di ottenere un vantaggio economico illecito per se stesso o per gli altri, o di causare un pregiudizio al detentore di tale diritto.


3. Modalità attuattive dei reati informatici e sistemi di protezione

In tema di metodologie attuative dei computer crimes, occorre innanzitutto distinguere fra aggressione “interna” ed aggressione “esterna” ai sistemi informatici.
Con la prima espressione si indicano quegli illeciti commessi da dipendenti ai danni del proprio datore di lavoro (persona fisica o giuridica), generalmente con finalità di lucro. Si tratta di situazioni in cui l’operatore abusa del proprio strumento professionale: un caso classico è quello dell’impiegato o funzionario di banca che manipola elettronicamente i movimenti di denaro nei conti correnti. Le aggressioni “interne” rientrano nella tipologia ormai “classica” di quella che potremmo definire la “prima generazione” di computer crime.
In questi ultimi anni assistiamo invece all’intensificarsi di una più insidiosa multiforme aggressione “esterna” al computer, determinata fondamentalmente da due fattori. Il primo è costituito dal diffondersi del massiccio dell’“alfabetizzazione informatica”, della conoscenza cioè di quelle nozioni che permettono di servirsi in modo corretto e completo dei nuovi mezzi tecnologici. Il secondo fattore è dato dalle sempre più frequenti inter-connessioni fra le reti di computers, rese possibili dall’applicazione della telematica, cioè dall’unione in un unico sistema della tecnologia dei dati e di quella delle reti di comunicazione (telefoniche, televisive, via satellite, via digitale). Gli scambi di informazioni tra elaboratori avvengono generalmente con collegamenti su linee telefoniche, pubbliche o private, ovvero attraverso reti wireless, cioè senza cavi.
Ciò consente di inserirsi abusivamente in una di tali reti collegandosi ad un altro calcolatore, per mezzo di apparecchiature ormai di bassissimo costo: un personal computer ed un modem(12), e poco altro.
Il “pirata elettronico” a conoscenza del numero identificativo di una delle linee di trasmissione dati del centro interessato può, con abilità, pazienza e un po’ di fortuna, scoprire la parola chiave (password) che dà accesso al circuito, e causare intrusioni e danni anche gravissimi.
Venendo ad una descrizione più dettagliata, per quanto necessariamente sommaria, delle metodologie criminose più comuni, ricordiamo innanzitutto il c.d. data diddling, ossia l’immissione di dati falsi nell’elaboratore. Tale tecnica di alterazione o omissione di introduzione di dati destinati all’input è forse insieme la più semplice, la più difficile da scoprire e la più accessibile ai potenziali autori di reati ai danni di aziende, potendo venir sfruttata da chiunque abbia a che fare con i dati stessi.
Gli Worm e i Trojan sono creati per danneggiare gravemente i sistemi, i network, o entrambi. Un worm è un programma che si riproduce, ma non necessariamente infetta altri programmi. Esempi “classici” di worm, apparsi tra il 1999 e il 2000, sono Melissa e LoveLetter. Entrambi hanno creato danni assai estesi e si riproducevano tramite e-mail, utilizzando la rubrica di Outlook, il più diffuso programma di posta elettronica.
Analogamente al mito greco da cui prende il nome, un “cavallo di Troia” (cd. trojan o trojan horse) contiene una sorpresa nascosta. Esso si nasconde in un frammento di un altro programma all’apparenza innocuo, finché qualche condizione particolare lo risveglia. Si tratta di una tecnica sofisticata che richiede una certa dimestichezza con i sistemi di programmazione e permette di realizzare computer crimes particolarmente spettacolari. Essa consiste nell’introduzione fraudolenta, nei programmi destinati agli elaboratori, di un certo numero di dati clandestini: in tal modo la macchina, pur continuando ad espletare le proprie funzioni normali, compie una ulteriore attività non autorizzata. Il sistema più rapido (talora l’unico) per individuare un “cavallo di Troia” è la comparazione, operata con procedure informatiche, tra una copia sicuramente genuina del programma e la copia sospetta.
Una “classica” applicazione di tale metodo in ambito bancario è la c.d. “tecnica del salame” (salami technique), che consiste nella distrazione di ridottissimi importi da un gran numero di conti correnti, senza alterare sostanzialmente i singoli saldi. L’infima incidenza delle perdite subite da ogni utente rende irrilevabile l’irregolarità garantendo così il successo della frode.
Altra applicazione del “cavallo di Troia” è la logic bomb, eseguita con l’inserimento clandestino nel computer di istruzioni atte a rinviare i controlli oppure a sondare le condizioni di sicurezza criminosa nel momento in cui le condizioni per commetterla saranno più favorevoli.
Può essere inoltre considerata un’ulteriore evoluzione della logic bomb il famoso programma virus o virus dei computer che tanto allarme periodicamente suscita nelle recenti cronache.
I virus informatici sono un frammento di software realizzato per penetrare di nascosto un sistema e “infettarne” gli archivi. Alcuni virus sono “benigni” e non danneggiano in modo permanente il computer, mentre altri hanno effetti devastanti e possono distruggere completamente i dati, giungendo addirittura a danneggiare irrimediabilmente l’hard-disk.
è tipico dei virus replicarsi e cercare di infettare quanti più file e sistemi, utilizzando ogni sistema possibile e soprattutto l’accesso a internet e la posta elettronica, ma anche i diversi supporti informatici; si possono suddividere in quattro categorie a seconda di quale parte del sistema vanno ad infettare.
Esistono virus che infettano il settore di avvio (boot sector), altri che vanno a distruggere i files o programmi, i virus delle macro e ancora virus multiripartiti:
-  i virus del settore di avvio possono essere diffusi in molteplici modi, poichè i moderni bios consentono l’avvio (bootstrap del computer non solo dai floppy  o dagli hard disk, ma da numerosi altri supporti e adirittura via rete ethernet. Il boot sector è una “regione di spazio” (in genere dll’ampiezza di 512 byte) di un supporto magnetico (floppy disk, hard disk), di un supporto ottico (CD, DVD) di un dispositivo USB (pen drive) o di una partizione dell’hard disk. Ogni partizione ha un proprio boot sector, mentre l’hard disk (inteso nella sua totalità) ha un master boot record. Il boot sector (che viene “caricato” durante il processo bootstrap del PC) contiene nel suo interno un piccolo programma che viene eseguito durante il bootstrap e che “carica in memoria” il sistema operativo e traseferisce a quest’ultimo il controllo del computer. Qualora nel boot sector sai presentre un virus, il suo codice viene eseguito ad ogni avvio della macchina, permettendo in tal modo che il programma maligno possa, oltre che arrecare eventuali danni ai files e programmi, replicarsi e diffondersi analogamente a quanto - nel modo biologico - virus, batteri e altri parassiti compiono ad opera del codice genetico posseduto;
-  i virus di programma o di file sono frammenti di codice virale che si attaccano a programmi eseguibili. Quando si avvia il programma, il virus viene trasferito alla memoria di sistema e si può a sua volta riprodurre;
-  i virus delle macro sono, al momento attuale, quelli più comuni. Infettano i file attivati da applicazioni che usano linguaggi macro, come Microsoft Word o Excel. Il virus assomiglia a una macro del file e quando questo viene aperto il virus è in grado di eseguire comandi convenuti con il linguaggio macro delle applicazioni;
-  i virus Multiripartiti hanno caratteristiche comuni sia ai virus del settore di avvio sia ai virus di file. Possono insidiarsi nei settore di avvio e diffondersi in seguito alle applicazioni o viceversa.
Il virus, nelle sue numerose varianti, è quindi sostanzialmente un programma clandestino, in grado di autoriprodursi, che si attiva ad una determinata operazione del sistema ovvero quando l’orologio interno del computer indica una certa data: è stato il caso, ad es., del celebre “venerdì 13” o Columbus Day(13). La finalità del virus è di solito distruttiva, ed è per tale motivo funzionale ad attacchi criminali assai gravi; opera perlopiù cancellando i dati o molteplicandoli sino a saturare la memoria della macchina attaccata, sino a collasso operativo; in tal modo può giungere a sabotare il funzionamento di un sistema, anche molto complesso. A tal fine sono stati da tempo prodotti e posti in commercio numerosi programmi di sicurezza, detti antivirus, soprattutto per la difesa contro le varie forme di virus e altri programmi dannosi.
Un fattore importante da considerare attentamente in relazione a questi programmi è che sono validi nella misura in cui lo è il loro database di virus conosciuti. Dal momento che nuovi virus vengono creati quotidianamente, il database dell’anti-virus deve essere aggiornato di frequente, quanto meno ogni settimana.
Spesso gli anti-virus si estendono anche a contrastare l’odiosa invasività dei numerosissimi messaggi indesiderati che pervengono ad ogni indirizzo mail, fenomeno denominato spamming (cd. programmi anti-spam); l’intasamento che consegue allo spam può essere non solo e innocuamente fastidioso, ma provocare la perdita di messaggi importanti per incapienza della casella mail intasata, e finanche la perdita di operatività per conseguente blocco del sistema e-mailing intasato.
Un altro metodo illecito sofisticato, che richiede una certa competenza e preparazione, è il c.d. “attacco asincrono”. Per la lettura o l’alterazione di dati altrimenti non facilmente accessibili esso sfrutta le pause tra i vari tempi di elaborazione dei dati, presenti in tutti i programmi.
Tra le strategie di attacco utilizzate dai soggetti che operano dall’esterno del sistema informatico vi possono essere l’utilizzazione abusiva di una linea di comunicazione appartenente ad un utente autorizzato, nei momenti in cui egli è inattivo, o anche la intercettazione dei messaggi fra il computer principale ed un terminale ad esso collegato (c.d. piggy back entry) allo scopo di alterarli con aggiunte e/o cancellazioni. Con l’uso di tecnologie molto sofisticate si giunge persino ad intercettare le emissioni radio generate da un elaboratore elettronico.
Infatti, poiché tutti gli apparecchi elettronici emettono segnali radio che si propagano in ogni direzione, è possibile, con lo stesso procedimento mediante il quale dalle onde radio si ricostruiscono le immagini fotografiche, captare tali impulsi e decodificarli, anche a distanza di centinaia di metri, avvalendosi di attrezzature direzionali “a fucile”.
 Queste sottrazioni di dati vengono spesso perpetrate ai fini di spionaggio politico od industriale; per questo motivo i computers delle generazioni più recenti vengono schermati con speciali lastre di metallo, atte ad impedire quanto più possibile la propagazione delle onde elettromagnetiche, e altrettanto vale per i cavi di trasmissione dei dati, mentre gravi problemi di sicurezza persistono per le reti wireless, maggiormente esposte ad intrusioni e attacchi di vario genere.
Per difendere le strutture informatiche dai diversi tipi di attacco esistono sistemi di controllo tecnico atti a creare barriere elettroniche per bloccare o segnalare eventuali tentativi di accesso abusivo alle memorie dei programmi o ai dati. All’operatore viene comunemente richiesta la conoscenza di un codice pin o di una “password d’ordine” alfanumerica segreta, per accedere al sistema elaborativo.
Tuttavia l’efficacia delle password è piuttosto limitata, al punto che la stessa neppure viene considerata un vero e proprio sistema di sicurezza. Le parole d’ordine infatti vengono individuate con relativa facilità, perché appaiono sovente banali, sono cambiate assai di rado (se ne consiglierebbe la sostituzione al massimo ogni sei mesi) e vengono spesso trascritte su agendine o addirittura sul terminale stesso dell’elaboratore.
Sono stati creati altresì programmi assai complessi per la codificazione dei dati, materializzati in piccoli dispositivi, tali da rendere i dati stessi inaccessibili a chi non sia provvisto dell’apposita “chiavetta elettronica”. Ma questo genere di sistemi, inespugnabile coi mezzi normali, può astrattamente essere violato se l’aggressore dispone a sua volta di un computer in grado di trattare un’elevata massa di dati, motivo per cui sono stati associati dispositivi di blocco dopo un certo numero di tentativi infruttuosi di intrusione. In realtà l’allarme crescente e il sentimento di impotenza determinati dalla diffusione del computer crime e le ondate di panico quali quella suscitata dai “virus informatici” hanno alimentato un vero e proprio “mercato della paura” di cui si avvantaggiano coloro che, non sempre onestamente, offrono alle aziende e ai singoli operatori programmi e/o sistemi difensivi estremamente costosi, talvolta di scarsa praticità e talora poco affidabili. è possibile, come da più parti è stato ipotizzato, che certi allarmismi, come quello che nell’ottobre ’89 coinvolse il mondo intero per la temuta minaccia del c.d. “virus venerdi 13”, siano dolosamente alimentati al fine di imporre sul mercato nuovi tipi di programmi “difensivi”.
La realistica consapevolezza che nessun sistema di difesa potrà mai garantire una sicurezza assoluta agli apparati di elaborazione, trattandosi di una continua rincorsa tra chi crea i virus e chi crea gli anti-virus, ha spinto gli addetti ai lavori a garantirsi una protezione efficace mediante una adeguata copertura assicurativa. Già nel 1983 i Lloyd’s di Londra diedero vita alla prima polizza per la copertura dei crimini perpetrati per mezzo del computer, la LECCP (Lloyd’s Electronic and Computer Crime Policy).
Polizze analoghe sono state introdotte nel nostro paese su iniziativa di diverse compagnie assicurative ed, in particolare, nella Polizza Globale Banche, la R.A.S. per prima aveva inserito una garanzia specifica definita “Frode attraverso sistemi di elaborazione” che si articolava in 6 punti, coprendo una vasta gamma di ipotesi di danni causati agli istituti di credito dai crimini informatici; e altri istituti hanno ampliato tale offerta assicurativa.
Per il futuro è dunque prevedibile un intervento sempre più massiccio delle società assicuratrici nella tutela delle aziende contro i “rischi informatici”, ma si tratta di rischi assai pericolosi, che dovranno essere resi oggetto di attente valutazioni sotto il profilo risarcitorio.
Nonostante i casi di criminalità da computer ricorrano ormai con notevole frequenza nelle cronache, non esistono ancora statistiche ufficiali complete relative alla reale portata del fenomeno, in quanto il “numero oscuro” assume certamente una grande rilevanza nell’ambito del computer crime: secondo alcune stime, probabilmente i casi non accertati o non denunciati costituiscono circa l’85% del totale.
Tale situazione dipende sia dalla notevole difficoltà (rispetto, ad esempio, ai vecchi libri contabili cartacei) di controllare accuratamente le procedure molto complesse delle operazioni svolte, sia dal comportamento delle stesse vittime del computer crime. Infatti i dirigenti delle aziende colpite (soprattutto nel caso degli istituti bancari) spesso evitano di denunciare l’illecito sia perché la pubblicità negativa potrebbe incidere sul prestigio e sulla affidabilità (e quindi sul giro d’affari) dell’azienda, sia perché temono le conseguenze incidentali di indagini di polizia condotte all’interno degli istituti. In tal senso, può rilevarsi, per inciso, che si tratta di comportamenti che rientrano nelle caratteristiche generali delle vittime dei reati “del colletto bianco”.

4. Profili psicologici del computer criminal: il fenomeno degli hackers

Le peculiarità dei reati informatici hanno reso possibile l’individuazione di una sorta di identikit del computer criminal, definito quale individuo sveglio impaziente, molto motivato, audace ed avventuroso, disposto ad accettare la sfida tecnologica (Parker).
Tuttavia attualmente pare opportuno introdurre (con tutte le generalizzazioni del caso) una distinzione di massima fra due diversi tipi di computer criminals. Nel primo di essi, riferibile alle forme ormai “classiche” di computer crime, possono venir fatti rientrare tutti coloro i quali, come dipendenti, agiscono nell’ambito e ai danni della impresa o ente di appartenenza: si tratta di soggetti con caratteristiche proprie nell’ambito dei tradizionali autori di white collar crimes e il cui comportamento è assimilabile piuttosto alla categoria degli occupational crimes. Le indagini condotte li descrivono prevalentemente come individui giovani (fra i 24 e i 36 anni), prevalentemente maschi, esperti di informatica, audaci ed ambiziosi, con scarsa tolleranza alle frustrazioni lavorative. Alla base dei loro comportamenti criminosi vi sono in genere intenti di arricchimento personale, talora di rivalsa o vendetta contro il datore di lavoro.
Sono invece decisamente diverse le caratteristiche dei c.d. hackers (intaccatori), di solito adolescenti, di cui tanto spesso si occupano le cronache più recenti.
Col termine hacker, vengono generalmente indicati quei soggetti (quasi sempre studenti), che - valendosi di modeste apparecchiature informatiche e della grande esperienza acquisita - riescono a violare i sistemi di altri computer, inserendo in memoria frasi ironiche, oscene o ingiuriose, sottraendo, alterando o distruggendo dati (in AA.VV., Dizionario di informatica, 171, il termine, introducibile, designa un hobbista appassionato, esperto conoscitore dell’apparecchiatura che usa al punto da poterla modificare e usare in modo proprio). La loro aggressione avviene “dall’esterno”, mediante l’inserimento abusivo in altri sistemi informatici. La personalità dell’hacker appare del tutto peculiare: le sue azioni non hanno di solito di un fine di lucro o di vendetta, ma un insieme di motivazioni più sfumate e complesse, basate fondamentalmente su un’esigenza di autoaffermazione.
Il fatto di penetrare in un sistema informatico, di alterare o distruggere una banca dati, è vissuto dall’hacker come una sfida tecnologica, una dimostrazione di abilità e intelligenza di fronte a se stessi ed anche rispetto agli altri pirati informatici. La personalità dell’hacker appare del tutto peculiare: le sue azioni non hanno di solito un fine di lucro o di vendetta, ma un insieme di motivazioni più sfumate e complesse, basate fondamentalmente su un’esigenza di autoaffermazione, spesso non priva di complesse implicazioni psicologiche.
Il fatto di penetrare in un sistema informatico, di alterare o distruggere una banca dati, è vissuto dall’hacker come un sfida tecnologica, una dimostrazione di abilità e intelligenza di fronte a se stessi ad anche rispetto agli altri pirati informatici. Appare infatti ormai evidente come quella degli hackers sia una vera e propria sottocultura, dai confini ancora evanescenti (shadowy subculture), caratterizzata da un proprio gergo, da un vivace scambio di informazioni e da un forte spirito emulativo fra i suoi componenti. Le informazioni circolano soprattutto tramite l’onnipotente rete che viene vissuta come un fondamentale strumento di democrazia partecipativa ma piuttosto, per la sua assenza di regole e norme, è uno smisurato monumento all’anarchia, e attraverso i c.d. bulletin board, una sorta di “notiziari elettronici” preparati dagli hackers più esperti e diramati, tramite le linee telefoniche di collegamento, ai personal computer di migliaia di altri hackers.
Il mondo chiuso e maniacale dei “virtuosi del computer” è stato descritto con efficacia da uno dei più importanti esperti mondiali di programmazione, J. Weizenbaum, il quale, riferendosi a certe situazioni ricorrenti nei centri di calcolo di tutto il mondo, parla di una “sindrome di tipo nuovo: la coazione a programmare”.
Coloro che ne sono affetti “lavorano fin quasi a crollare, venti-trenta ore per volta. Il cibo, qualora se ne ricordino, se lo fanno portare (..) innanzi al terminale. Se possibile, dormono in brande vicino al computer. Ma soltanto poche ore, poi di nuovo al terminale o alle stampanti (…). Esistono, almeno nei periodi in cui lavorano così, soltanto attraverso e per il computer. Questi sono i pazzi del computer, i programmatori coatti. Sono un fenomeno internazionale”.
Esistono dei meccanismi psicologici comuni che portano a compiere con facilità operazioni illecite, sovente senza neppure averne consapevolezza, oppure perché la loro ingegnosità li fa sentire meritevoli di poter trasgredire le regole; ovvero infine perché è comportamento comune a tutti gli hackers ed è come tale fortemente caratterizzante, dà loro la sicurezza che scaturisce dall’appartenenza ad un gruppo. Talvolta questi soggetti distinguono fra il danno arrecato alle persone, percepito e giudicato immorale ed inaccettabile, e quello causato ad un’azienda o ad un ente, che, in certe situazioni, non giudicano affatto riprovevole. è un atteggiamento psicologo brillantemente descritto da Parker come “sindrome di Robin Hood”.
Questi comportamenti rientrano nei processi generali c.d. di razionalizzazione, autolegittimazione e desensibilizzazione, ben noti ai criminologici che ne hanno studiato l’importanza in relazione al problema del passaggio all’atto (acting out) nei diversi tipi di reato.
Con il termine razionalizzazione s’intende “… un processo di ricerca di qualche scusa logica riguardo alle tendenze di un comportamento discutibile, sia per i pensieri che per gli atti, e per le decisioni ad eseguire un atto”.
Grazie alla nazionalizzazione il delinquente riesce a legittimare il suo atto al punto di non considerarlo più come una violazione dei valori etico-sociali. Questa autolegittimazione rende il soggetto attivo inconsapevole del carattere antisociale dell’atto, aiutandolo a superare l’auto critica ed a allontanare i rimorsi e i sensi di colpa.
Sempre in una prospettiva di autolegittimazione, il criminale potenziale può svilire o denigrare la vittima, oppure negarne la stessa esistenza, riducendola ad un’astrazione o ad un oggetto. Quest’ultimo è senz’altro il caso dei computer criminals, quando la vittima è impersonale o indeterminata. In molti casi infatti la vittima è una astrazione o una finzione legale, come nei delitti generici contro “l’ordine pubblico”, “la salute pubblica”, “il buon costume”, ecc.
Se non vi è una persona reale e determinata a soffrire le conseguenze del reato, le inibizioni e la resistenza morale all’atto saranno fondamentalmente più deboli. Rispetto, ad es., al furto commesso ai danni di una persona fisica, quello compiuto ai danni dello Stato o di una grande impresa commerciale appare addirittura scusabile, in considerazione delle dimensioni, dei mezzi finanziari e dell’impersonalità di queste “vittime”, che, oltretutto, sono spesso alquanto impopolari.
è evidente che, nell’ambito dei crimini informatici, la depersonalizzazione della vittima raggiunge un livello pressoché assoluto. Le stesse caratteristiche dello strumento elettronico portano infatti a moltiplicare, in senso simbolico ma anche reale, le distanze fra il soggetto attivo e la sua vittima, sino ad un grado di astrazione che può essere massimo, ad es., nel caso di colui il quale, dalla propria abitazione, tramite un personal computer, riesce a collegarsi alla rete informatica di un’impresa commerciale o di un ente pubblico, e a superarne le difese, per sottrarne denaro o informazioni.
Infine, oltre ai meccanismi psicologici appena descritti, esiste un ulteriore fatto criminologico assolutamente peculiare al mondo dei computer: il sentimento di onnipotenza che nasce dal rapporto con lo strumento elettronico. Riportiamo ancora le incisive e fondamentali osservazioni di Weizenbaum: “Il programmatore di computer è creatore di universi di cui egli solo è il legislatore. Lo stesso, naturalmente, vale per il progettista di qualunque gioco. Ma universi di complessità virtualmente illimitata possono venir creati sotto forma di programmi per il computer. Inoltre, e questo è un punto cruciale, sistemi formulati ed elaborati in quel modo recitano apertamente i loro copioni programmati. (…) Nessuno sceneggiatore, nessun regista, nessun imperatore per quanto potente ha mai esercitato un’autorità così assoluta da organizzare un palcoscenico o un campo di battaglia e da comandare attori o truppe tanto fedelmente dediti al loro dovere”. “Ci sarebbe di che stupirsi se l’osservazione di Lord Acton secondo cui il potere corrompe non si applicasse in un ambiente in cui è così facile raggiungere l’onnipotenza. E in effetti si applica”(14).

5. Cenni sulla legislazione italiana in tema di reati informatici

Non può dubitarsi, in effetti, che la diffusione del computer possa costituire addirittura il terzo momento fondamentale nella storia culturale dell’umanità, dopo la scoperta della scrittura e l’invenzione della stampa.
La creazione dei personal computers, risalente alla fine degli anni ’60, ha provocato una diffusione capillare di questo strumento ad ogni livello della società civile, con le finalità più disparate (dai videogames a scopo ludico, alle gestioni contabili, alla gestione di banche dati e alla elaborazione di complicati processi logici e matematici).
In tutti questi ambiti si è potuto riscontrare che l’avvento dell’utilizzo del computer ha imposto, con riferimento ad illeciti e abusi ad essi riconducibili, una ridelineazione di tutte le fattispecie tradizionali contenute nei codici penali e nelle leggi speciali penali.
In effetti i computer crimes per le loro metodologie operative, per gli interessi offesi, per le loro particolarità degli attentati ai beni protetti, per i particolari connotati delle azioni e delle omissioni delittuose, si rivelano come ben difficilmente sussumibili nelle tradizionali fattispecie indicate dal diritto penale ed imponevano al contrario la elaborazione di tutta una serie di nuove ipotesi criminose.
L’inadeguatezza della legislazione penale italiana degli anni ’80 per comprendere e sanzionare illeciti penali inerenti l’informatica e la telematica hanno reso necessario elaborare un cosiddetto diritto penale dell’informatica, predisponendo e coordinando diritto penale dell’informatica, predisponendo e coordinando figure autonome di reato che potessero trovare, come puntualmente è avvenuto, corretta applicazione nei casi di specie.
La normativa italiana ha incominciato a tener conto in maniera significativa dell’avvento dell’informatica a partire dalla legge 20 maggio 1970, n. 300, cosiddetto Statuto dei Lavoratori, nell’ambito del quale, all’art. 8, è posto il divieto a carico del datore di lavoro, ai fini dell’assunzione come nel corso del rapporto di lavoro, di effettuare indagini anche a mezzo dei terzi sulle opinioni politiche, religiose e sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
Tale norma, diretta in maniera assolutamente apprezzabile a tutelare la privacy del singolo con riferimento all’ambito di esplicazione della sua attività professionale, è stata interpretata dalla giurisprudenza anche con particolare riferimento alle problematiche informatiche.
Infatti è celebre la sentenza del Pretore di Milano 5 dicembre 1984, nella causa tra i rappresentanti della F.L.M. - Federazione Lavoratori Metalmeccanici - e la dirigenza della I.B.M. Italia S.p.A., nell’ambito della quale i primi sostenevano che attraverso l’utilizzo di strumenti personalizzati di accesso al sistema e connessi all’applicazione delle mansioni del lavoratore, i cosiddetti codici individuali, inseriti in un complesso sistema hardware e software, cosiddetto S.L.R. (Service Level Reporter) -, era possibile per il datore di lavoro controllare in termini di quantità e qualità l’attività svolta dal lavoratore, significativamente verificarne l’orario di inizio e fine prestazione, pause, tempi morti, etc., operando una possibile distorsione in ordine a valutazioni di persone e gruppi mediante dati raccolti e memorizzati sul programma stesso.
Ciò implicava che il programma S.I.R. costituiva, o quantomeno poteva costituire, un controllo sui lavoratori di tipo storico, basato su dati memorizzati dal computer utilizzandoli a posteriori, senz’altro più vessatorio di quello effettuato in tempo reale, poiché in quest’ultimo il lavoratore sa di essere controllato, cosa praticamente impossibile nel primo.
La legge 18 maggio 1978 n. 191 ha reintrodotto nel codice penale l’art. 420 c.p. (fattispecie che era stata abrogata dall’art. 6, L. 2 ottobre 67 n. 895), al fine di punire gli attentati ad impianti di pubblica utilità, di ricerca e di elaborazione dati.
La giurisprudenza formatasi su tale fattispecie ne ha dilatato i confini, facendovi rientrare da un lato le aggressioni magnetiche agli archivi di un centro di calcolo universitario, dall’altro le manomissioni realizzate mediante programmi abusivi, incidenti pertanto sulla funzionalità, e non sulla sola materialità del sistema.
La legge 23 dicembre 1978, n. 833, inerente l’Istituzione del servizio sanitario nazionale, ha introdotto la creazione di un libretto sanitario personale fornito gratuitamente a tutti i cittadini dalle UU.SS.LL., libretto che riporta i dati caratteristici sulle qualità biologiche e sulla salute dell’assistito, che comprende anche indicazioni inerenti l’eventuale esposizione a rischi determinati dalle condizioni di vita e di lavoro. L’art. 27 di questa legge prevede l’utilizzazione, a scopo epidemiologico dei dati derivati da queste acquisizioni informative, da parte dell’Istituto Superiore di Sanità facendo comunque salvo il segreto professionale, e il successivo art. 58 affida alle regioni la gestione dei servizi di informatica in tema.
Estremamente importante ai fini che interessano, è stata la legge 1 aprile 1981, n. 121, Nuovo ordinamento dell’amministrazione della Pubblica Sicurezza, nella quale l’art. 6 lettera a) attribuisce al Dipartimento di Pubblica Sicurezza la competenza per la classificazione e l’analisi, la valutazione e la diramazione agli organi operativi delle informazioni dei dati che devono essere forniti anche dalle forze di polizia in materia di tutela della pubblica sicurezza e di prevenzione e repressione della criminalità.
Il successivo art. 7 individua tassativamente le fonti di tali informazioni e dati, che devono inerire documenti conservati dalla Pubblica Amministrazione, sentenze e provvedimenti dell’Autorità Giudiziaria, atti istruttori penali o indagini di polizia, con assoluto divieto di raccogliere dati concernenti unicamente la razza, la religione, le opinioni, l’attività politica e sindacale, etc. dei cittadini.
L’art. 8 istituisce poi un centro di elaborazione dati presso il ministero degli interni relativo ai dati e alle informazioni di cui agli artt. precedenti, il cui accesso è consentito esclusivamente agli organi di polizia nonché all’autorità giudiziaria. Di particolare rilevanza l’art. 10 che prevede una procedura di correzione di dati che possono essere ritenuti erronei, incompleti o illegittimamente raccolti, procedura di competenza del Tribunale e che può essere attivata anche dal cittadino che si ritenga pregiudicato nei suoi diritti fondamentali di privacy informatica.
L’art. 12 della legge in esame ha poi introdotto una specifica previsione di reato informatico per l’ipotesi in cui il pubblico ufficiale comunichi o faccia uso dei dati ed informazioni in violazione delle disposizioni della legge 121 o al di fuori dei fini previsti dalla stessa, illecito sanzionato con la reclusione da uno a tre anni, ovvero, se il fatto è colposo, con la reclusione sino a sei mesi.
La legge 31 dicembre 1996 n. 675 (denominata “tutela della persona e di altri soggetti rispetto al trattamento di dati personali”) ha infatti significativamente modificato, in parte abrogandola, la legge 121/81 ed ha soprattutto introdotto un sistema normativo organico in questa delicatissima materia.
La normativa in materia di privacy e protezione dei dati è stata novellata e riordinata organicamente con il D.Lgs. 30 giugno 2003, n. 196, il Codice per la protezione dei dati personali, un imponente testo normativo di oltre 180 articoli, e numerose altre parti allegate.
Fin dagli anni ’80, tuttavia, era emersa in tutta evidenza l’assoluta inadeguatezza delle fattispecie penali tradizionali di ricomprendere e sanzionare i reati informatici in senso stretto, così diversi dalle fattispecie classiche quanto a modalità di perpetrazione e ai tempi e luoghi degli eventi delittuosi; correttamente, nel corso della Conferenza Europea sulla lotta alla criminalità informatica, tenutasi a Roma nel novembre 1990, si affermò che “fino a questo momento in Italia si è tentato di applicare ai nuovi fenomeni norme antiche, stirandole, con operazioni ingegnose di chirurgia plastico-giuridica”(Sarzana).
La prima legge che operativamente ha cercato di reprimere la fattispecie dei computer crimes nell’ambito dell’ordinamento giuridico italiano, può essere considerato il decreto legislativo 29 dicembre 1992 n. 518, che ha ratificato nell’ambito del nostro ordinamento giuridico la Direttiva CEE 91/250, afferente alla tutela giuridica del software, cioè di programmi per computer.
Tale nuova normativa ha introdotto nell’ambito del nostro ordinamento giuridico, con l’art. 10, l’art. 171 bis della legge 633/1941, legge che tutela nell’ambito del nostro ordinamento il diritto d’autore. Si è ritenuto cioè di riconnettere in maniera diretta la tutela giuridica del software alla tutela del diritto d’autore prevedendo, per l’appunto con l’art. 171 bis, anche una sanzione di tipo penale che si applica allorquando viene abusivamente duplicato ai fini di lucro un programma dell’elaboratore o ai medesimi fini, tale programma viene importato, distribuito, venduto, detenuto a scopo commerciale o concesso in locazione(15).
La scelta di proteggere il software con le norme del diritto d’autore, ispirata alla disciplina statunitense e alle prime normative U.E. in materia(16), non appare del tutto logica sotto il profilo concettuale, giacché l’opera d’autore è naturalmente rivolta verso i terzi, mentre il programma è per sua natura segreto o quantomeno riservato, essendo invece i suoi frutti (outputs) rivolti verso i terzi. Sarebbe stato forse più logico proteggere il software con la normativa di tutela del brevetto, che è protetto di per sé, pur essendone liberi i frutti. Tuttavia si rendeva necessaria l’adozione, nell’ambito del nostro ordinamento giuridico, di un sistema normativo che costituisse uno strumento generale di prevenzione e repressione della criminalità perpetrata con l’uso del computer, sotto ogni sua possibile potenziale accezione, segnatamente sotto il profilo delle falsità, sotto il profilo delle violazioni delle riservatezze e della privacy, sotto il profilo delle possibili frodi.
Tale esigenza era rafforzata da una teorica possibilità di abusi ad altissimo potenziale criminogeno, per mezzo del computer, essendo connaturata, nella criminalità informatica, la possibilità di operare con alti livelli di incognito, una sorta di “invisibilità” della condotta criminosa rispetto all’evento, per quanto si tratti di un’invisibilità più apparente che reale, sussistendo precisi strumenti tecnici che possono ricavare le tracce dell’uso di un computer o di un accesso alla rete anche a dispetto di operazioni di mascheramento e/o di cancellazione di dati (l’hard-disk conserva cioè, fino alla sua distruzione fisica, tracce remote di ogni operazione logica posta in essere dal pc). D’altro canto, il concetto di territorialità dell’azione criminosa entrò in grave crisi con l’avvento delle tecnologie telematiche: con ciò s’intende dire che anche nella buia cantina di un oscuro villaggio di un qualsiasi paese del terzo mondo, purché vi sia la possibilità di fruire della energia elettrica o di una linea telefonica, si possono - con l’uso del computer - realizzare truffe, falsi e accessi abusivi, da cui possono scaturire eventi devastanti dall’altra parte del globo o che possono interessare addirittura interi continenti sotto il profilo degli effetti dell’attentato criminale; inoltre la gestione del dato attraverso strumenti informatici garantisce velocità di trasferimento dei dati altissime e assenze di controlli altrettanto pericolose, giacché di fatto ci si trova di fronte a potenziali pericoli criminali di portata quasi incontrollabile.
Il che viene anche a mettere in crisi i concetti di giurisdizione e competenza a conoscere i fatti criminali, ed è noto come la giurisdizione sia tema tradizionalmente molto delicato nella materia penale, che ogni singolo Stato conserva gelosamente tra le proprie attribuzioni. Si aggiunga infine l’efficacia gravissima dei potenziali attentati a mezzo di illeciti informatici, connaturata al fatto che praticamente tutte le grandi organizzazioni pubbliche e private mondiali hanno basato la propria organizzazione strutturale e burocratica su strumenti informatici e possono essere quindi facilmente aggredibili e violabili attraverso quel tipo di metodologie operative, a dispetto degli sforzi per tutelare la sicurezza informatica. In questo modo vi è la possibilità con abusi informatici di accedere a un patrimonio informativo, amministrativo, contabile e finanziario, di proporzioni impressionanti.
Per rimediare a tutti questi rischi elevatissimi propri della società contemporanea, il legislatore italiano ha ritenuto di elaborare un apposita legge, nei primi anni ’90, che introducesse la nozione di crimini informatici e disciplinasse la legislazione in materia di computer crimes.
All’estero ciò si era fatto in tempi anche più remoti. Negli Stati Uniti fin dai primi anni ’80 nei singoli stati, e poi con la legge federale del 1984 (Counterfeit Access Device and Computer Fraud and Abuse) era stato introdotta una disciplina organica in materia, perfezionata con la Computer Fraud and Abuse Act, del 6 ottobre 1986 (Public Law 99-474).
In Gran Bretagna il 29 giugno del 1990 era stata promulgata la Computer Misuse act, una legge specifica in materia, mentre in Germania, il 5/05/1986, la “seconda legge anti criminalità economica” (2 WIRK) ha previsto tutta una serie di fattispecie di repressione degli abusi sui dati informatici, modificando vari articoli del codice penale (artt. 202, 263, 303, ecc.). In Francia, addirittura, con la legge 5 gennaio 1988, n. 18-19, si è ritenuto di porre rimedio al dilagare dei crimini informatici, intervenendo direttamente sul corpus del codice penale, con l’inserimento di un nuovo titolo, il terzo del terzo libro, comprensivo di otto articoli rubricati quali certains infractions en matière informatique (artt. 462-2/462-9).
La commissione nominata il 4 gennaio 1989 dall’allora Guardasigilli Vassalli, presieduta da Piero Callà, ha optato per una disciplina di tipo evolutivo, mediante modifiche ed integrazioni di norme penali esistenti. Il relativo disegno di legge, presentato al Senato il 26 marzo 1993 divenne la legge 23 dicembre 1993, n. 547, denominata “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”, con la quale si è inteso arginare una vera e propria falla nell’ordinamento giuridico, giacché la giurisprudenza aveva constatato da tempo di non poter reprimere reati informatici con gli strumento propri delle tradizionali fattispecie penali.
Il legislatore, nel disciplinare questa materia, ha utilizzato come abbiamo visto il modello evolutivo, optando per due criteri metodologici fondamentali.
Sotto un primo profilo ha ritenuto di operare adattando alle problematiche informatiche fattispecie già esistenti con mere e semplici integrazioni. Un esempio significativo di questo modus operandi del legislatore era costituito dal reato previsto dall’art. 420 c.p., “Attentato a impianti di pubblica utilità”, sostituito ex novo dall’art. 2 della legge 547/93, con l’aggiunta altresì di due ulteriori comma che recitano: “La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell’impianto o del sistema dei dati e delle informazioni e dei programmi ovvero l’interruzione anche parziale del funzionamento dell’impianto o del sistema la pena è della reclusione da tre a otto anni”. Tale fattispecie, come vedremo, è stata peraltro resa oggetto di un nuovo intervento normativo con la legge 48/2008. Analogamente, nell’ambito della fattispecie di cui all’art. 392 c.p. (esercizio arbitrario delle proprie ragioni), era stato aggiunto un secondo capoverso in base al quale “si ha violenza sulle cose allorquando un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”.
Da un secondo punto di vista, forse più interessante dal punto di vista criminologico, il legislatore ha ritenuto di creare, in materia di criminalità informatica, tutta una serie di fattispecie nuove, pur ridelineate su fattispecie giuridiche già esistenti nell’ambito del Codice Penale Italiano. Sotto questo secondo profilo, sono individuati 5 livelli fondamentali di tutela, corrispondenti a 5 tipi principali di interessi lesi dagli attentati perpetrati medianti illeciti informatici.
Nell’ordine che poi svilupperemo:
-  si è ritenuto di individuare il reato di falsità in atti inerenti documenti informatici con la conseguente elaborazione della nozione di documento informatico, che è stata di recente modificata dalla legge 48/2008;
-  sono individuate tutte le ipotesi di accessi abusivi a sistemi informatici con la introduzione degli articoli 615 ter, quater e quinquies, configurando con felice intuizione la nozione di domicilio informatico;
-  sotto un terzo profilo si è ritenuto di introdurre i reati contro l’inviolabilità dei segreti sotto il profilo informatico con la introduzione degli articoli 617 quater, quinquies e sexies;
-  sotto un quarto profilo si è introdotta la nozione di danneggiamento a sistemi informatici o telematici con la introduzione dell’art. 635 bis del c.p. e più di recente, con la novella del 2008, degli artt. 635 ter, quater e quinquies;
-  sotto il quinto ed ultimo profilo si è introdotta la nozione di frode informatica prevista dall’articolo 640 ter del c.p., successivamente dall’art. 640 quater, e con la recente novella dell’art. 640 quinquies.
Tale impostazione concettuale quindi è stata novellata in termini ampi, rimanendo peraltro confermata la struttura generale, dalla legge 18 marzo 2008, n. 48 con la quale è stata ratificata la Convenzione di Budapest del 2001 sulla criminalità informatica, che ha esteso la responsabilità degli enti per illeciti amministrativi dipendenti da reato, prevista dalla legge n. 231/2001, anche alla materia dei reati informatici e ha modificato (ovvero introdotto) numerosi articoli del codice penale, nei termini che seguono:
- “art. 420 (Attentato a impianti di pubblica utilità). Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità (433), è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni;
- art. 491 bis (Documenti informatici). Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private;
-  art. 495-bis (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri). Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno;
-  art. 615-quinquies (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329;
-  art. 635-bis (Danneggiamento di informazioni, dati e programmi informatici). Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio;
- art. 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata;
-  art. 635-quater (Danneggiamento di sistemi informatici o telematici).  Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata;
-  art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità). Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata;
-  art. 640-quinquies (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica). Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro.

a. Reati di falsità in atti inerenti documenti informatici, art. 491 bis del c.p.

Il problema che aveva indotto il legislatore del ’93 a creare questa nuova fattispecie delittuosa è legato alla inutilizzabilità della tradizionale definizione in materia penalistica di documento (consistente nella scrittura, incorporazione in carta e sottoscrizione), all’ipotesi di alterazione di dati informatici, pur idonei a ingannare la fede pubblica(17).
Conseguentemente il legislatore ha dovuto introdurre, nell’art. 491 bis, la nozione di documento informatico, originariamente qualificato come qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati ad elaborarli. La legge 48/2008 ha modificato tale impostazione, sopprimendo ogni riferimento a supporti o programmi destinati ad elaborarli: in tal modo, oltre ad esaltarsi il contenuto di virtualità della nozione di documento informatico, sganciandolo da qualsiasi riferimento di materialità legato al supporto su cui il dato viene trasferito, ha consentito di armonizzare la nozione con quella già contenuta negli art. 1 e 20 del d.l.vo n. 82/2005 (Codice dell’Amministrazione Digitale), con esclusione quindi di pericolosi equivoci interpretativi.
Quindi i due requisiti del documento informatico sono da un lato l’efficienza probatoria e dall’altro lato che il documento informatico per contenuto e/o fini riproduca o si riconduca ad un atto tutelato in sede penale (atti pubblici, certificazioni, attestazioni, copie). Le pene previste per questo tipo di reato di falso informatico sono assolutamente corrispondenti ai reati di falso cartaceo, giacché l’art. 491 c.p., prima parte, dispone che se alcuna delle falsità del presente capo riguardano il documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private.
Il legislatore del 2008 ha introdotto con l’art. 495 bis c.p., una fattispecie ex novo, che punisce con la reclusione fino ad un anno chi dichiara o attesta falsamente l’identità, lo stato o altre qualità della propria e dell’altrui persona al soggetto che presta servizi per la certificazione della firma elettronica.

b. Reati di accesso abusivo

Di straordinario interesse sotto il profilo “culturale” e delle problematiche criminologiche connesse alla criminalità informatica, sono i cosiddetti reati di accessi abusivi a sistemi informatici o telematici, che nell’ambito del nostro ordinamento sono ricollegati strettamente e conformati alla legislazione in materia di violazione di domicilio.
La stessa collocazione topologica di questa fattispecie, dagli articoli 615 ter in poi, si riconnette al reato di violazione di domicilio che immediatamente precede. Attraverso la rielaborazione di questa fattispecie, viene a enunciarsi la nozione di cosiddetto “domicilio informatico”, la cui violazione per l’appunto costituisce l’accesso abusivo, intesa proprio come violazione di domicilio “informatico”.
Il problema del domicilio informatico è un problema tuttora aperto nella dottrina penalistica e criminologica, giacché luogo o domicilio può essere considerata sia l’ubicazione materiale dell’hardware, sia anche il luogo ove l’hardware o il sistema esplica in termini operativi e progettuali la sua realtà ed effettività quale entità immateriale, individuata da un complesso di informazioni che possono operare in tempi e luoghi talvolta anche molto lontani da quella che è la collocazione materiale dello strumento.
La tutela del domicilio informatico si ricollega alla privacy di questo domicilio, che spetta a qualsiasi cittadino e alla libertà informatica, cioè alla libertà di operare lecitamente all’interno del domicilio informatico e di escluderla a terzi soggetti non graditi.
La prima fattispecie che viene delineata nell’ambito di questa categoria è quella, prevista dell’art. 615 ter, che disciplina l’accesso abusivo al sistema informatico o telematico e che è fattispecie tesa a prevenire il fenomeno grave degli hackers, cioè, come abbiamo visto, di quei personaggi che, con motivazioni assolutamente diverse, si introducono abusivamente in sistemi informatici e telematici, talvolta anche di straordinaria importanza. Citiamo per esempio e per tutti il caso del celebre film War games, che, visto molti anni fa come una situazione assolutamente estrema e quasi paradossale, in realtà descriveva situazioni che si possono verificare spesso nella concretezza attuale degli eventi.
Questa fattispecie nell’ambito del nostro ordinamento giuridico può consistere sia nella introduzione abusiva all’interno del sistema sia nel mantenimento contro la volontà espressa o tacita del titolare e comunque questo criterio di tutela è limitato ai cosiddetti “sistemi protetti”, concetto assolutamente fluido, anche nella giurisprudenza che si è formata su questa normativa, giacché non si è dato a capire esattamente se, sotto tale profilo, la protezione al sistema possa consistere soltanto in una mera parola d’accesso (cd. key o password) oppure se sia necessario un vero e proprio programma di protezione, come ad esempio esiste sulla rete informatica Internet con i sistemi firewall (cioè muro di fuoco). Va precisato che la giurisprudenza più recente ritiene l’idoneità di una semplice parola d’accesso, di una parola chiave, a fornire una vera e propria protezione al sistema e cioè affinché vi sia tutela penale, non è necessario che esista un vero e proprio sistema di sicurezza del bene informatico protetto, come si riteneva nella giurisprudenza più datata, ponendosi in tal caso, a carico della vittima, notevoli oneri sotto il profilo dell’autotutela difensiva.
Comunque è assolutamente irrilevante il danno che si venga effettivamente a provocare a seguito dell’accesso abusivo, dal momento che si tratta di un vero e proprio, tipico reato di mero pericolo: quindi se anche all’accesso abusivo non conseguisse alcun tipo di danno a carico della vittima, il reato si integrerebbe ugualmente. Il successivo art. 615 quater prevede la detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici, quindi ancora una volta con diretto riferimento e limitazione della tutela penale ai soli sistemi protetti. Infine l’art. 615 quinquies prevedeva la diffusione abusiva di programmi diretti a danneggiare o a interrompere un sistema informatico.
La fattispecie è stata rimodellata dalla legge 48/2008, con una formulazione molto più ampia della condotta punibile, ed estesa non solo alla diffusione di programmi bensì anche di apparecchiature e dispositivi diretti a danneggiare o interrompere un sistema informatico e telematico. Si tratta di una previsione normativa decisamente più efficace per il contrasto al fenomeno diffusissimo dei cosiddetti virus che consistono, come abbiamo visto, in programmi che, con diverse metodologie operative e diversi livelli di diffusione, sono tesi a danneggiare, interrompere o comunque paralizzare l’operatività di un sistema informatico protetto.
Anche in questo caso, ci troviamo di fronte a un reato di pericolo in cui è assolutamente irrilevante il danno che effettivamente venga a conseguire al sistema protetto e, con riferimento a questa specifica fattispecie, va evidenziata non soltanto la natura di reato di pericolo, ma anche la punibilità anticipata rispetto al danno provocato al programma, giacché la sanzione legata alla diffusione, alla comunicazione o alla consegna del programma informatico infetto, effettuata naturalmente dolosamente, e quindi di fatto anticipata rispetto al danno che effettivamente venga a conseguire al programma infetto.

c.  Reati connessi all’inviolabilità dei segreti e alla tutela della privacy inerente le comunicazioni informatiche o telematiche

Sotto questo profilo, la legge 547 del ’93 ha introdotto gli artt. 617 quater, quinquies e sexies, che prevedono rispettivamente intercettazioni, impedimenti o interruzioni illecite di comunicazioni informatiche o telematiche; le istallazioni di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche; ed infine la falsificazione, la alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche. Ancora una volta abbiamo una tipologia di reati che sono legati anche topograficamente (essendo collocati immediatamente dopo) ai reati connessi alle illecite interferenze nella vita privata dei cittadini, e non sono stati resi oggetto di modifiche ad opera della recente novella.

d. Reati di danneggiamenti a sistemi informatici o telematici

Si tratta della materia in cui più significativamente ha inciso la novella di cui alla legge 48/2008. Subito dopo alla fattispecie di cui all’art. 635 c.p., reato di danneggiamento, la legge 547 aveva introdotto la fattispecie di danneggiamento informatico, consistente nella distruzione oppure nella deteriorazione o comunque nel render inservibile un sistema informatico o telematico altrui ovvero di programmi, informazioni o dati altrui. Si trattava di una classica ipotesi in cui il legislatore riuscendo difficilmente a ricollegare il reato di danneggiamento alla distruzione o al danneggiamento di dati informatici che, in sé e per sé, concepiti come mero dato (a maggior ragione oggi, dopo il venir meno del riferimento al supporto informatico nella nozione di documento informatico), potrebbero essere quasi insuscettibili di una valutazione di tipo patrimoniale (se non ricollegata alla operatività del sistema nel suo complesso), ha ritenuto correttamente di prevedere una ipotesi specifica che consentisse di offrire una risposta precisa ad aggressioni a sistemi informatici altrui, relative ai danneggiamenti.
In precedenza, ma con evidente forzatura ai limiti dell’analogia legis, si era ritenuta configurabile in questi casi anche la fattispecie di esercizio arbitrario delle proprie ragioni - Trib. Torino, 12 dicembre 1983, in Foro M., 11, 352, oltre alla classica ipotesi di danneggiamento, ove le alterazioni dei programmi avessero reso inservibile l’intero sistema (Pret. Torino, 23 ottobre 1989, in Giur. Pen., 1990, 11, 463). Anche in questo caso specifico, assai pregnante era il riferimento alla nozione di sistema protetto, giacché il danneggiamento, per le sue metodologie operative e per il modo in cui viene ad essere perpetrato, di fatto impone la necessità di una protezione di qualsiasi sistema informatico, indipendentemente dal livello di protezione dello stesso.
La legge 48 del 2008 ha modificato significativamente questa specifica normativa, introducendo quattro fattispecie nuove (una nuova versione dell’art. 635 bis, ed inoltre gli artt. 635 ter, quater e quinquies), e modificando anche l’art. 420 del c.p., espungendo dallo stesso ogni riferimento a fatti diretti a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti, essendo tali condotte previste oggi dai nuovi artt. 635 ter e quinquies.
Il legislatore ha voluto scindere due situazioni fondamentali: il danneggiamento di informazioni, dati e programmi, da un lato e il danneggiamento di sistemi dall’altro; nel primo caso, la condotta è punita con l’art. 635 bis, e, se si riferisce a informazioni, programmi o dati utilizzati dallo Stato o altri enti pubblici, dall’art. 635 ter.
Il danneggiamento di sistemi informatici o telematici invece è punito dall’art. 635 quater, ovvero, se i sistemi sono di pubblica utilità, dall’art. 635 quinquies.

e. Reati di frode informatica

Assolutamente paradigmatica è la possibilità di sussumere nella fattispecie classica di truffa le ipotesi di frode informatica. La fattispecie di cui all’art. 640 c.p. è una delle fattispecie che maggiormente è entrata in crisi con l’avvento della evoluta criminalità economica, giacché la formulazione letterale dell’art. 640, dalla necessità di piena prova degli artifizi e dei raggiri all’artificiosità dolosa del comportamento fraudolento, di fatto ha reso questa fattispecie scarsamente efficace nell’ambito della repressione dei fatti criminali economici. Questa scarsa operatività era divenuta addirittura nulla e inesistente in materia informatica, giacché, soprattutto in questa materia, vi era una esigenza nuova e moderna di repressione di queste forme di criminalità fraudolenta, determinata dalla irriducibilità al reato di truffa di tutti gli illeciti non connotati da inganno alla persona fisica o giuridica e comunque non connotati da tradizionali forme di artifizi o raggiri. Il reato di cui all’art. 640 ter ha posto rimedio a questo vuoto legislativo e stabilito, per quanto riguarda la frode informatica, precise modalità commissive che possono consistere:
-  nella alterazione, in qualsiasi modo, del sistema di funzionamento di un sistema informatico o telematico, o comunque, oppure,
-  nell’intervento abusivo, anche in questo caso perpetrato in qualsiasi modo e con qualsiasi modalità, comunque senza diritto, su dati, informazioni o programmi contenuti in un sistema telematico o informatico o ad esso pertinente.
A queste due modalità commissive deve associarsi invariabilmente l’ingiusto profitto e l’altrui danno, giacché in questa sorta di reato il contenuto patrimoniale deve essere considerato come elemento peculiare ed essenziale.
è prevista la procedibilità a querela, salve le ipotesi aggravate in cui si procede d’ufficio. Con l’introduzione di questa fattispecie si è chiarito definitivamente anche il rapporto tra comportamenti fraudolenti informatici e altre fattispecie presenti nell’ambito del sistema penalistico italiano; si è per esempio stabilito in maniera definitiva che tra l’art. 640 ter c.p. e il delitto previsto dall’art. 12 L. 197/91 (cosiddetta frode informatica con carte di credito o analoghi), sussiste un rapporto di specialità nel senso che l’art. 12 della legge 197/91 evidentemente è speciale rispetto all’art. 640 ter del c.p. e pertanto, qualora si integrino comportamenti delittuosi fraudolenti con carte di credito, è questa specifica fattispecie che deve essere applicata.
Inoltre attraverso l’introduzione dell’art. 640 ter del c.p. si è chiarita definitivamente la disputa dottrinale che vedeva in questi comportamenti l’applicabilità non tanto originaria del reato di truffa, quanto piuttosto del reato di furto con mezzi fraudolenti: si trattava di una questione che in dottrina era estremamente aperta, al punto che si riteneva che il reato di furto con mezzi fraudolenti, di fatto, riflettesse in maniera più propria, rispetto alla genericità dell’ipotesi di truffa, l’ipotesi di frode informatica, ma con l’avvento di questa nuova normativa si può senz’altro affermare che il problema può considerarsi superato.
La recente novella del 2008 ha introdotto un’ulteriore fattispecie, ancora una volta legata (come l’art. 495 bis) alla figura del certificatore della firma elettronica, il quale violi, al fine di trarre profitto o arrecare altrui danno, gli obblighi previsti dalla legge per il rilascio di certificato qualificato: in tali casi, lo stesso è punibile con la reclusione sino a tre anni (e la multa da euro 51 a euro 1.032).
La legge n. 48/2008 ha infine novellato norme procedimentali e processuali di notevole importanza, specie in tema di ispezioni (art. 244 c.p.p.), perquisizioni (artt. 247-248, 353-354 c.p.p.) e sequestri (artt. 254, 254 bis, 256, 2579, 260 c.p.p.), al fine di consentire un appropriato sistema di ricerca e acquisizioni probatorie, affidando le indagini alla competenza dell’ufficio del Pubblico Ministero presso il Tribunale sito nel capoluogo del distretto ove ha sede il giudice competente (art. 51 c. 3 quinquies c.p.p.).
Conclusivamente, nel commentare le modifiche alla legge 547/93 introdotte dalla legge 48/2008, verrebbe da dire che i problemi di ieri sono risolti, ma le soluzioni di oggi sono già superate: può infatti essere considerata una legge di buona qualità, ma non si deve dimenticare che costituisce la ratifica di una Convenzione risalente a circa 7 anni fa, un tempo enorme nella dimensione e nell’evoluzione digitalica; come pure si deve peraltro constatare un limitato contrasto giudiziario a fenomeni illeciti di enorme diffusione, forse anche per la particolare tecnicità e ingegnosità criminale nell’uso delle tecnologie informatiche, nonostante l’impegno operativo della Polizia Postale, che ha incentrato su di sé specifiche professionalità e operatività in questa delicata materia, nonchè dell’Arma dei Carabinieri e della Guardia di Finanza. Quindi è assolutamente necessario che negli organi di Polizia Giudiziaria e negli organi di Magistratura, specie in prima battuta in quelli requirenti, vengano diffuse in maniera estremamente più accurata e peculiare le conoscenze specifiche atte a prevenire una forma così insidiosa di criminalità, che sono conoscenze analitiche di tipo scientifico-informatico, sotto un profilo sia tecnico sia sociologico-culturale.
Nella società civile post moderna del terzo millennio è dato ovvio e ineludibile un generale ricorso alle tecnologie informatiche e telematiche, essendo veramente anacronistico l’utilizzo esclusivo di supporti cartacei; e, nel mentre si rende assolutamente indispensabile il ricorso all’adozione di tecnologie di tipo informatico/telematico, diviene decisiva la problematica non solo della conoscenza accurata nell’uso di tali tecnologie, ma anche e soprattutto la protezione complessiva dei sistemi e dei dati, al fine di poter ipotizzare ed accertare eventuali comportamenti abusivi e illeciti posti in essere, con forme vieppiù evolute e raffinate, mediante questo tipo di metodologie criminali.
La conoscenza e l’applicazione dell’informatica e della telematica può consentire altresì all’amministrazione della giustizia, in enormi difficoltà pratiche ed organizzative, di ritrovare un minimo di efficienza con costi tutto sommato contenuti e può consentire un’importante azione di prevenzione e contrasto di potenziali attentati alla convivenza civile, specie perpetrati con questo tipo di strumenti: costituirebbe errore gravissimo sottovalutare la cultura del computer e le sue potenzialità ampissime, così come costituisce errore madornale sopravvalutare esageratamente, trasformandolo in un “idolo”, questo importante strumento creato dall’intelligenza dell’Uomo, perché il suo stesso abnorme utilizzo può determinare deviazioni e pericoli “culturali” rilevanti, che dovranno essere oggetto di attente riflessioni di antropologi e giuristi.



Approfondimenti

(*) - Ringrazio l’Avv. Alessandro Faldon per le preziose considerazioni in tema d’internet e gestione d’impresa.
(1) - Vengono chiamate smart drugs alcune sostanze, di larghissima diffusione nelle giovani generazioni,non vietate dalla legislazione penale, che presentano effetti eccitanti, euforizzanti e asseritamenteafrodisiaci, sovente caratterizzati dal fatto di avere un’origine naturale (consistono generalmentein semi, foglie, funghi secchi, spore, capsule, liquidi da inalare, ecc.). Oggetto di una squallidaattività di marketing, in cui si confonde volutamente il concetto di naturale (e tradizionale)con quello di innocuo, sono il frutto di una vera e propria speculazione sulle classi giovanili, chesi diffonde soprattutto tramite l’e-commerce su internet, i cd. smart shop, e canali individuali.L’Istituto Superiore di Sanità, nel 2007, ne ha coniata una lista minima, composta da 25 sostanze,tutte pericolose, specie se mescolate tra loro, ovvero ad alcool o a droghe penalmente illecite.
(2) - Sulla vulnerabilità della moderna società informatizzata e sull’individuazione dei settori cd. critici,cfr.: SARZANA di S. IPPOLITO C., Informatica e diritto penale, Giuffrè, Milano, 1994.
(3) - BORRUSO R. e altri, Profili Penali dell’Informatica, Giuffrè, Milano, 1994, pag. 4.
(4) - Cfr.: TRAVERSI A., Il diritto dell’informatica, Ipsoa, 1990.
(5) - Cfr.: DEVOTO G., OLI G.C., Vocabolario della lingua italiana, Le Monnier, Firenze, 1979.
(6) - Cfr.: PARKER D.B., Crime by computer, New York, 1976; TIEDEMANN K., Criminalità da computer,in POLITICA DEL DIRITTO, 1984, 4, 616.
(7) - Cfr.: SIEBER U., The International Handbook on computer crime, WILEY AND SONS, 1986.
(8) - LENCKNER T., ComputerKriminalitat und Vermogensdelikt, Heidelberg, 1981.
(9) - Cfr.: CORRERA M.M. e MARTUCCI P., I reati commessi con l’uso del computer, Cedam, Padova, 1986.
(10) - QUINNEY E. R., The study of White Collar Crime: Toward a Reorientation in Theory andResearch, in JOURN OF CRIMINAL LAW, CRIMINOLOGY AND POLICE SCIENCE, 1964, 55, 208.
(11) - HOROSZWKI P., White Collar Crime: A Special Opportunity Crime, Compte-rendu des travauxde journees d’etudes “Criminalisation et infractions financieres, economiques et sociales”,INSTITUTE DE CRIMINOLOGIE DE LILLE, 1976.
(12) - Il modem (modulatore-demodulatore) consiste in uno strumento, oggi incorporato nel pc,che consente a più computer di comunicare tra loro mediante una linea telefonica.
(13) - Tra il 12 e il 13 ottobre 1989, in effetti, avrebbe dovuto diffondersi repentinamente un virusidoneo a paralizzare i sistemi informatici di tutto il mondo. In realtà, a fronte di un allarmeenorme, si verificarono solo modesti inconvenienti in Svizzera e in Gran Bretagna.
(14) - WEIZENBAUM J., Il potere del computer e la ragione umana, Ed. Gruppo Abele, Torino, 1987.
(15) - Cfr.: amplius TRIBERTI C., CUOMO N., La tutela giuridica del software, in Corr. Giur., 1993, 4, 408 ss.
(16) - Trattasi della Direttiva n. 91/250 del 31 maggio 1991 sulla protezione dei programmi perelaboratore.
(17) - Cfr.: EDIFORUM, Schema di legge per il riconoscimento del documento informatico, in DIR. DELL’INFORMAZIONEE DELL’INFORMATICA, 1993, 11, 331.