di
Cesare Parodi
Procura Circondariale di Torino
(Relazione presentata al Convegno Nazionale su ‘Informatica e riservatezza’ del CNUCE – Pisa 26/27 settembre 1998)
1 – Premessa
I sistemi informatici e telematici non rappresentano soltanto una componente significativa della realtà economica ed amministrativa: la stessa organizzazione sociale lo sviluppo e la crescita delle relazioni interpersonali, delle manifestazione e della comunicazione del pensiero, delle strutture politiche e commerciali sono destinati con sempre maggiore intensità ad identificarsi con tali sistemi.
Inoltre, se mai potevano ancora sussistere dubbi sulla rilevanza – qualitativa ed in prospettiva quantitativa – del fenomeno “criminalità informatica”, recenti provvedimenti dell’autorità giudiziaria hanno dimostrato come comportamenti penalmente rilevanti possano frequentemente presentarsi anche nell’ambito di attività imprenditoriali e professionali nei termini descritti dalle fattispecie informatiche, vista la globalizzazione dello strumento informatico come modalità di espressione dell’attività economica.
Nell’ambito quindi delle fattispecie introdotte nel codice penale con la legge 547/93, é indispensabile individuare quelle che rappresentano uno strumento di tutela primaria, immediata ed effettiva dei sistemi informatici e telematici, nonché soprattutto degli interessi di qualsivoglia natura che attraverso tali sistemi vengono perseguiti. La presente relazione certamente non consente che una rapida disamina del fenomeno; occorre tuttavia sottolineare che due norme, l’art. 615 ter “Accesso abusivo ad un sistema informatico o telematico” – e l’art. 640 ter- “Frode informatica” – costituiscono i capisaldi della tutela ipotizzata dal legislatore, laddove le altre fattispecie in qualche modo si limitano ad integrare e completare tale quadro. La centralità di tali fattispecie, nell’ambito di un’impostazione codicistica ancora largamente condizionata dalle ragioni patrimoniali, deriva proprio dal fatto che al delitto di frode informatica possono essere ricondotti la maggior parte degli “attacchi” patrimoniali portati utilizzando strumenti informatici ad altrui attività economiche; d’altro canto il reato di accesso abusivo, se da un lato può configurare un momento prodromico di una attività illecita diretta contro l’altrui patrimonio, allo stesso modo può costituire un “attacco” ad interessi di natura extrapatrimoniale – culturali, scientifici o legati comunque alle più intimi manifestazioni della vita privata ed interiore – di fondamentale rilievo, specie con riguardo ai valori riconosciuti e tutelati dalla carta costituzionale.
Il quadro, seppur sommario, deve poi essere completato da brevi osservazioni quantomeno anche sui delitti di cui all’art 392 c IV cp (“Esercizio arbitrario delle proprie ragioni” con impedimento o turbamento di un sistema informatico o telematico) e 615 quater cp ( “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”)
2 – Le nozioni di “sistema” e di “accesso”
Il legislatore non ha previsto un’espressa definizione del concetto di “sistema informatico o telematico”, cosi che il termine può risultare di non univoca lettura. Secondo un’interpretazione più rigorosa potrebbe intendersi come sistema esclusivamente un complesso articolato di attrezzature o macchinari in grado di interagire tra loro; in questo senso risulterebbe escluso da ogni forma di tutela il singolo personal computer, destinato ad operare senza collegamenti, continui o occasionali, con altri elaboratori. Tale opzione limiterebbe la tutela da un lato all’oggetto “intrinseco” dell’attività – ossia dati, informazioni e programmi – e dall’altro alle pluralità funzionali di elaboratori, con un evidente ed ingiustificabile salto logico. Il problema pare certamente superabile con riguardo ad un computer collegato tramite modem alla rete telefonica, come tale quanto meno “parte” di un sistema-telematico. Anche il singolo elaboratore può tuttavia essere ragionevolmente ricondotto al concetto di sistema informatico, ove si intenda come tale un sistema di risorse, composto da dispositivi di elaborazione elettronica digitale, programmi memorizzati e gruppi di dati che, sotto il controllo dei programmi memorizzati, immette, tratta ed emette automaticamente dei dati che può memorizzare e recuperare (cfr P Galdieri Teoria e pratica nell’interpretazione del reato informatico. Milano 1997.40), di modo da rendere anche a quest’ultimo – inteso nella sua globalità funzionale – applicabile la tutela codicistica.
Allo stesso modo occorre in via preliminare chiarire come debba intendersi il termine accesso (rectius “introduzione”, come precisato dal testo della norma”) ad un sistema se l’accesso corrisponda quindi al semplice collegamento fisico (id est la “chiamata” telefonica tramite modem o l’accensione della schermo) o a quello logico (ossia il “superamento” della barriera – quale essa sia – di protezione al sistema, così che risulti possibile un “dialogo” con il medesimo). La seconda soluzione pare essere maggiormente convincente, in quanto identifica l’accesso con il momento in cui l’agente si trova nella condizione, avendo superato qualsiasi barriera prevista per il sistema, di conoscere direttamente dati, informazioni o programmi in esso contenuti; ciò non esclude ovviamente, stante la natura di delitto del reato di cui all’art 615 ter cp – la configurabilità dell’ipotesi del tentativo, realizzato anche semplicemente con il contatto tra “l’intruso” ed il sistema stesso (a prescindere dall’esito di tale contatto) ferma restando la difficoltà di provare, anche sotto il profilo della condotta materiale, tale comportamento.
3 – Il delitto di accesso abusivo.
Ripercorrendo il testo dell’art. 615 ter c.p., certamente significativa appare l’indicazione della tipologia di sistemi oggetto della tutela ivi prevista; ai fini dell’individuazione di un “sistema protetto da misure di sicurezza” deve ritenersi sufficiente che al medesimo sia applicato un qualsiasi tipo di protezione anche se facilmente aggirabile da persona mediamente esperta – e quindi anche una semplice password apposta dalla casa fornitrice del programma – che abbia comunque la caratteristica di rendere palese una volontà dell’avente diritto contraria a qualsiasi forma di accesso non autorizzato.
In dottrina non sono mancate indicazioni critiche sulla scelta del legislatore di operare una distinzione nell’ambito dei sistemi informatici, prevedendo una tutela penale a fronte del semplice accesso solo per quelli protetti; ciò in quanto – valutando l’art 615 ter cp quale corrispettivo logico dell’art 614 cp, diretto a tutelare indistintamente i luoghi di privata dimora – non vi sarebbe ragione di distinguere tra i vari “domicilii informatici”, trattandosi comunque di sfere di riservato dominio ove il soggetto avrebbe diritto di esercitare in piena autonomia le proprie facoltà, senza interferenze esterne. Si tratta in realtà di un falso problema: l’indicazione di un criterio minimale di distinzione tra i sistemi informatici – onde selezionare quelli “riservati” – è stata ribadita recentemente dalla giurisprudenza di merito (Trib Torino, IV sez, 7/2/98, Z. + altri, ) mancando per i medesimi, nel comune sentire, quella immediata percezione di illiceità connessa all’attività di intrusione che il legislatore, con la fattispecie di cui all’art 614 cp, con riguardo alle private abitazioni, descrive – prima ancora di individuare – partendo da un dato sociologico. L’accesso al sistema diviene conseguentemente fatto penalmente rilevante solo in presenza di un quid pluris che allerti sulla presenza di una volontà contraria all’accesso da parte del “titolare” del sistema; in questo senso certamente una qualsiasi forma di “sbarramento” deve ritenersi sufficiente a manifestare in modo inequivoco uno “ius escludendi ” da parte di quest’ultimo soggetto. In concreto non si può tuttavia non sottolineare come l’assoluta maggioranza dei sistemi preveda almeno un livello di protezione, di modo che l’applicabilità della norma in oggetto deve comunque stimarsi come particolarmente ampia.
Con riguardo all’analisi della condotta prevista della fattispecie di cui all’art 615 ter comma I cp, l’articolo prevede la semplice introduzione o – in alternativa – il trattenimento contro la volontà espressa o tacita del titolare del diritto di esclusione. Nulla più – e nulla meno quindi – del mero superamento della barriera del sistema a prescindere da qualsivoglia ulteriore attività sul sistema. utilizzando il sistema o “contro” il sistema; a riprova di ciò comportamenti tali da cagionare distruzioni o danneggiamenti del sistema stesso, di dati, informazioni o programmi sono previsti e sanzionati autonomamente nell’ipotesi aggravata prevista dall’art 615 ter , comma II n 3 cp. In questo senso l’ipotesi del primo comma integra un caso di reato di “mera condotta”- e non, come il comma II n 3, di “evento “- che deve ritenersi perfezionato anche solo a seguito di “accesso” seguito da semplice lettura dei dati; l’impiego – o la rivelazione- a seguito di duplicazione di documenti informatici “segreti” venuti abusivamente a cognizione di un soggetto (e certamente un accesso abusivo integra implicitamente “l’abusività” di una presa di conoscenza di dati) potrebbe essere ricondotto alla fattispecie di cui all’art 621 c.p.(Rivelazione del contenuto di documenti segreti).
Infine, e soprattutto, si può ritenere che un comportamento di presa di conoscenza/copiatura/duplicazione avvenuto al fine di procurarsi un profitto possa identificarsi con quell'”intervento senza diritto” – si sottolinea “con qualsiasi modalità”- su dati, informazione o programmi contenuti in un sistema informatico o telematico” previsto dal delitto di cui all’art 640 ter cp. Occorre rimarcare la rilevanza dell’affermazione contenuta in quest’ultima fattispecie: “con qualsiasi modalità”; la seconda ipotesi di frode informatica prevista dall’art 640 ter c I cp prescinde completamente da un intervento di “alterazione” di sistema, da un comportamento quindi di approccio patologico al sistema o al suo contenuto; prescinde completamente dalla descrizione di attività “fraudatorie” particolari : si limita ad indicare – e crediamo non a caso – come l’intervento “con qualsiasi modalità” – anche quindi eventualmente con la semplice duplicazione possa essere tale da configurare la componente negativa stigmatizzata dal legislatore.
Il delitto di accesso abusivo diviene quindi reato “mezzo” per porre in essere differenti ed ulteriori reati “fine”, a sfondo prettamente patrimoniale. Questa considerazione trova indiretta quanto inequivoca conferma nel fatto che è perfettamente configurabile un’ipotesi di accesso abusivo “puro“, diretto quindi alla semplice presa di visione del contenuto di sistemi altrui, che, proprio per tale motivo, è caratterizzato da un momento sanzionatorio di minore afflittività. Sul punto è sufficiente citare i casi – ormai non del tutto episodici – di studenti -o comunque soggetti esperti di informatica – i quali senza alcuna finalità di trarre un profitto o di cagionare danni – alle volte per il solo desiderio di affrontare e superare una sfida intellettuale – sono riusciti a violare sistemi telematici e informatici di notevole rilievo, “custoditi” da raffinati strumenti di protezione.
Centrale poi – nell’ambito della fattispecie – l’indicazione di “abusività” correlata all’attività dell’agente; abusivo deve ritenersi quindi qualsiasi comportamento svolto in contrasto con la normale fruizione dei diritti o con l’esercizio di facoltà da parte dell’agente; ciò rileva sopratutto in relazione all’accertamento dell’elemento “soggettivo del reato”: l’agente non sarà in effetti punibile ogni qual volta si sia rappresentata – per errore – una situazione che lo legittima ad “accedere ” nel sistema o a permanere ed a fruire dello stesso con particolari modalità.1
Di un certo interesse si presenta altresì sia il problema della identificazione delle luogo ove il reato di accesso abusivo deve ritenersi consumato: ciò in quanto nella maggior parte dei casi il soggetto che pone in essere l’accesso opera a distanza – alle volte anche notevole – rispetto al sistema violato. In questo senso occorre distinguere tra l’accesso “fisico” e quello propriamente “informatico”: in effetti l’articolo 615 ter c II n 2 c.p. – laddove prevede che il fatto possa essere realizzato anche con violenza sulle cose o alle persone, ovvero da un soggetto palesemente armato – implicitamente considera la possibilità che il reato possa essere integrato anche mediante un contatto diretto con il sistema ed eventualmente realizzato con una forzatura materiale del medesimo o costringendo soggetti abilitati a operare sullo stesso a metterlo “a disposizione” dell’agente. La peculiarità della norma è tuttavia costituita dal vero e proprio accesso informatico, ottenuto – ove l’agente operi “a distanza” – con un collegamento per mezzo di un modem; in sintonia con la definizione di accesso sopra fornita, il reato deve ritenersi perfezionato nel luogo ove ha fisicamente sede il sistema nel quale l”intruso” è in grado di intervenire – con la presa di conoscenza di dati o informazioni o con la possibilità di modificazione o di danneggiamento dei medesimi – e non quindi nel luogo ove l’agente fisicamente viene a trovarsi nel momento in cui tali attività vengono poste in essere.
Tale interpretazione lascia ovviamente aperti numerosi problemi: da un lato sussiste la difficoltà pratica di “risalire” in termini probatoriamente significativi all’autore del fatto-atteso che la disponibilità di un “account” non implica necessariamente l’uso in esclusiva dello stesso, specie laddove questo risulti intestato ad un soggetto giuridico; dall’altro può verificarsi la possibilità che la presenza in territorio estero del soggetto così individuato possa rallentare o limitare l’effettivo esercizio dell’attività giurisdizionale.
L’analisi del delitto in oggetto impone infine di tener conto di quanto statuito dal legislatore con l’art 36 della L 675/96: “Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito con la reclusione sino ad un anno Se il fatto di cui al comma I è commesso per colpa si applica la reclusione fino ad un anno.”, che ha in tal modo previsto una singolare equiparazione, a livello di pena, tra un’ipotesi di reato dolosa ed una colposa.
La norma descrive una fattispecie omissiva, indicando nella mancata adozione delle misure da disporre a protezione di un sistema informatico il comportamento penalmente sanzionato: ne risulta configurabile quindi un’ipotesi di responsabilità “colposa” concorrente con un differente illecito doloso, ogni qual volta un accesso abusivo ad un sistema sia stato reso possibile o facilitato dall’omessa o inidonea predisposizione, da parte del responsabile di sistema – delle misure necessarie a garantire la sicurezza dei dati personali; tali misure devono essere individuate da un regolamento, diretto a specificare le protezioni tecniche più adeguate in base all’esperienza comune, ossia “misure minime” – piuttosto che “standards” di elevata sicurezza – da adottare in via preventiva. Una indicazione quindi di tipologie di cautele tecniche di carattere generale in rapporto alle caratteristiche ed alle dimensioni del sistema informativo di volta in volta interessato (es copia di backup dei dati, protezioni logiche contro gli accessi abusivi (passwords o codici di validazione), alla protezione fisica dei terminali o degli uffici, alla identificazione dei responsabili degli accessi con registrazione di ogni accesso ai dati personali.2 Nel caso di specie, alla luce delle specifiche competenza tecniche – e del necessario e tempestivo frequente aggiornamento delle medesime – indispensabile perché la norma costituisca effettivo momento di tutela, non pare violato il principio della riserva di legge previsto dall’art 25 c II Cost. Al contrario l’espressa previsione della “misure minime di sicurezza da adottare in via preventiva” contribuisce a determinare – e quindi a dare concretezza e specificità – al precetto penale.3
4 – La tutela “interna”: l’abuso dell’operatore di sistema
Numerose fattispecie di reati informatici – tra le quali 1’art 615 ter ed il 640 ter cp prevedono come ipotesi aggravate la realizzazione del fatto da parte di soggetti ricoprenti il ruolo di “operatori di sistema.”, con “abuso” di tale qualità. Si tratta di una definizione per la quale allo stato non può ritenersi sedimentata un’interpretazione giurisprudenziale univoca, la cui rilevanza é tuttavia di estremo rilievo, in quanto tale da condizionare il regime di procedibilità del reato: è evidente l’intenzione del legislatore di sottolineare in questo senso il maggior disvalore penale del fatto laddove l’intervento sul sistema o sui dati informatici venga posto in essere da un soggetto che si trova in un rapporto specifico e qualificato con il sistema stesso.
L'”operatore di sistema” non è in effetti soltanto colui che professionalmente – in via continuativa o quantomeno non occasionale – si trova ad operare quale operatore programmatore, sistemista o analista sull’hardware o sul software di un sistema informatico , ma anche il soggetto che di fatto, in relazione alle funzioni svolte nell’ambito dell’ente pubblico o privato nel cui ambito viene utilizzato il sistema si trova nella condizione di poter intervenire – direttamente o per interposta persona, nell’esercizio e/o a causa delle sue funzioni – sui dati o sui programmi. Ciò a prescindere sia dalla natura “intrinsecamente” informatica dell’incarico svolto o del ruolo ricoperto, sia dalla natura del rapporto con l’ente.
Con l’occasione si vuole sottolineare come frequentemente venga sopravalutato il rischio di “attacchi” esterni ai sistemi, laddove ben più insidiosi – a causa della conoscenze del sistema stesso da parte degli agenti – siano essi dipendenti, consulenti, soci – e di difficile prova – per la possibilità di un accesso “fisico” diretto ai terminali – possano risultare comportamenti posti in essere dai soggetti sopra indicati, in qualche modo “interni” rispetto all’ente “titolare” del sistema.
Un caso significativo è costituito dalla decisione del Tribunale di Torino sopra ricordata, ove due soggetti, già rispettivamente direttore commerciale e socio di una società venivano condannati per il delitto di cui all’art 615 ter cp per avere indebitamente ottenuto, tramite collaboratori della società stessa – dopo aver lasciato la compagine sociale per dare vita ad un nuovo ed autonomo studio professionale, con analogo oggetto – la disponibilità dei dati relativi ai clienti che avevano deciso di “seguirli” nell’ambito della nuova attività, al fine di risparmiare l’oneroso costo derivante dal caricamento dei dati sul nuovo elaboratore, dopo avere reiteratamente tentato di assicurarsi i dati stessi concordandone la cessione – o quantomeno l’utilizzo – con la società del querelante, che ne manteneva la disponibilità.
La vicenda impone delle riflessioni con riguardo alla possibilità che il reato di accesso abusivo ad un sistema informatico – nell’ipotesi di trattenimento contro la volontà espressa o tacita del titolare del sistema – debba ritenersi perfezionato anche laddove un dipendente o collaboratore esterno di quest’ultimo – qualificato come operatore di sistema – ponga in essere attività diverse da quelle per le quali era autorizzato – possibilità tutt’altro che remota – in particolare copiando una serie di dati in un secondo momento poi comunicati a terzi. Tutto dipende dall’interpretazione del comportamento dell'”operatore di sistema” che interviene sul sistema stesso: se tale attività viene posta in essere in momenti differenti da quelli nei quali si esplica il “servizio” – o trattenendosi oltre la durata del medesimo – può ritenersi integrato quel coefficiente di “abusività” sufficiente a ricondurre il fatto al delitto di cui all’art 615 ter cp; laddove tuttavia, al contrario, l’attività di presa di conoscenza/copiatura/duplicazione venga posta in essere durante il servizio, viene meno l’elemento costituivo centrale della fattispecie, sia ovviamente sotto la forma dell’accesso, sia sotto quella dell’abusivo trattenimento, avendo il legislatore sanzionato con il delitto di cui all’art 615 ter cp la mera “permanenza” nel sistema e non le attività poste in essere contestualmente ad un legittimo trattenimento. Ragionevolmente si può quindi ritenere che duplicando o comunque operando sui dati al di fuori dei suoi poteri e delle sue funzioni, il dipendente intervenga “senza diritto”, al fine di trarre profitto, integrando in tali casi l’ipotesi di frode informatica aggravata di cui all’art 640 ter, comma II cp..
5 – Il delitto di frode informatica
Il delitto di frode informatica può legittimamente essere ritenuto – purtroppo – come una delle forme delinquenziali destinate a trovare, in un futuro prossimo, vasta diffusione sia in termini numerici, sia con riguardo alle tipologie comportamentali riconducibili a tale fattispecie. L’informatica – intesa come strumento di organizzazione e programmazione del lavoro, nonché di memorizzazione ed elaborazione di dati – si è prepotentemente affermata e diffusa nei più disparati settori dell’attività scientifica, economica ed amministrativa. Logica ed attendibile risposta a tale fenomeno è proprio quindi la “ricerca” di modifica o sfruttamento surrettizio dei sistemi informatici per porre in essere attività criminose.
Il delitto in oggetto si presenta – richiamando per numerosi aspetti la fattispecie della truffa – come strutturato dal legislatore proprio per affrontare – in termini di massima ampiezza di tutela – la “fantasia” dei criminali informatici, con l’evidente preoccupazione di non escludere a priori la riconducibilità alla norma di “soluzioni operative delinquenziali” variegate ed in costante evoluzione.
Le condotte descritte – sebbene sanzionate con le medesime pene – si presentano in effetti come significativamente differenti, in primo luogo in rapporto al grado di disvalore penale espresso; occorre quindi comprendere in cosa “l’alterazione – in qualsiasi modo – del funzionamento di un sistema informatico o telematico – diverga dall'”intervento senza diritto, con qualsiasi modalità… su dati, informazioni o programmi di un sistema…” tenendo presente che, nella grande maggioranza di tali situazioni, il delitto di frode informatica verrà a manifestarsi unitamente ad altri delitti informatici, prodromici a quest’ultimo e teleologicamente ad esso collegati.4
“L’alterazione in qualsiasi modo del funzionamento di un sistema informatico o telematico” deve ritenersi un’alterazione “estrinseca” del sistema – determinata per mezzo della sostituzione del programma o con modifiche strutturali di quest’ultimo – per certi aspetti di maggior gravità rispetto agli “interventi senza diritto” previsti dalla seconda ipotesi indicata dalla norma, anche se – evidentemente – più facilmente riconoscibile, proprio per “l’impatto” globale sul sistema; in questo senso si pensi ad un danneggiamento informatico – ai sensi dell’art 635 bis cp, o ad un intervento realizzato comunque a mezzo dei programmi di cui all’art 615 quinquies cp – finalizzato a paralizzare temporaneamente o modificare la funzionalità di un programma operativo onde consentire a soggetti terzi la realizzazione di attività economiche alternative o costringere i fruitori del programma a ritardare le proprie.
“L’intervento senza diritto, con qualsiasi modalità su dati, informazioni o programmi di un sistema” presuppone al contrario modifiche “intrinseche” al sistema operativo, tali da alterare – oltre che i dati – gli esiti delle elaborazioni, con inserimento di informazioni e delle correlazioni logiche del programma; si pensi in primo luogo all’inserimento surrettizio – sull’elaboratore di un ente pubblico – di nominativi di soggetti negli elenchi di coloro destinati a fruire di prestazioni pensionistiche o previdenziali; allo stesso modo, effetti analoghi potranno essere ottenuti modificando il dato di programma che determina – questa volta per un numero imprecisato di soggetti – il diritto alla fruizione; infine, innumerevoli operazioni di questi tipo potranno essere poste in essere sui sistemi operativi degli istituti di credito, determinando spostamenti indebiti di somme o comunque operazioni bancarie non rispondenti a effettive indicazioni della clientela.5
La fattispecie di cui all’art 640 ter cp, come già ricordato, è stata delineata sulla falsariga di quella del delitto di truffa previsto dall’art 640 cp; per certi aspetti tuttavia il legislatore non si è limitato a “contestualizzare” nella realtà informatica la descrizione della fattispecie, ma ha tentato di semplificare la struttura e conseguentemente l’accertamento in termini probatori della stessa.
Nelle intenzione del legislatore appare la volontà “superare” l’indeterminatezza della formula “artifizi e raggiri” prevista dalla fattispecie del delitto di truffa, tipizzando i due schemi comportamentali “base” sopra descritti di intervento potenzialmente criminoso su un sistema informatico e finalizzati all’indebito conseguimento di un profitto; tipizzazione destinata a riflettersi anche e soprattutto sul riconoscimento dell’induzione in errore e della prova dell’elemento soggettivo del reato, rispetto all’archetipo delineato dall’art 640 cp ; così, mentre nel delitto di cui all’art 640 cp è prevista specificamente “l’induzione in errore”, da valutarsi, secondo la giurisprudenza prevalente del S.C. a prescindere dalla mancanza di diligenza, di controllo e di verifica da parte della persona offesa (in quanto tale circostanza non escluderebbe l’idoneità del mezzo, risolvendosi in una mera deficienza di attenzione) nel delitto di cui all’art 640 ter cp verrebbe meno tale elemento. Il legislatore ha in effetti verosimilmente considerato implicito nel comportamento descritto dalla fattispecie l’idoneità astratta ad ingannare e sorprendere l’altrui buona fede o quantomeno a distrarre proprio vantaggio – contro la volontà dell’avente diritto, come nel caso di specie, intervenendo su dati informazioni o programmi – le utilità economiche traibili dai medesimi.
L’elemento informatico “alterato” – per sua stessa natura difficilmente indagabile in via autonoma e assistito nella comune convinzione da una presunzione di fatto di rispondenza al vero – filtra e rende ardua ogni valutazione sulla attendibilità del comportamento dell’autore del reato: l’alterazione informatica del dato dell’informazione o del programma è di per sé idonea all’induzione in errore a prescindere da ogni accertamento sulla diligenza e sul controllo esercitato della persona offesa.
Nessuna sostanziale differenza appare al contrario con riguardo ai requisiti del profitto e del danno, dovendo il primo, a differenza del danno – che deve avere sempre natura patrimoniale – non avere carattere economico, potendo consistere anche nel soddisfacimento di qualsiasi interesse, sia pure soltanto psicologico o morale; profitto che sarà ravvisabile tanto nel caso di effettivo accrescimento di ricchezza economica a favore dell’agente quanto nel caso di mancata diminuzione del suo patrimonio per effetto del godimento di beni, quindi anche senza un aumento esteriore di ricchezza, analogamente al possibile atteggiarsi alla “deminutio patrimonii” in senso economico, subita dal soggetto passivo, come danno emergente o come lucro cessante.
L’estensione dei principi elaborati dalla S C. in tema di profitto e danno consente di individuare, in via analogica, il “locus commissi delicti” ed il momento di consumazione del reato – a differenza di altre ipotesi di reati introdotti dalla L.547 del 23 dicembre 1993 – non già nel luogo dell'”evento” informatico, ossia ove risulti posta in essere l’alterazione o l’intervento senza diritto sul sistema informatico o telematico, bensì nel luogo – e nel momento – in cui l’autore del reato consegue la disponibilità concreta del bene con l’effettivo altrui danno consistente nella perdita del bene stesso da parte del soggetto passivo.
La “semplificazione ” sopra descritta viene a delinearsi infine anche con riguardo alla prova dell’elemento soggettivo della fattispecie, costituito, per il delitto di truffa dal dolo generico, diretto o indiretto, precedente o concomitante con l’azione delittuosa avente ad oggetto gli elementi costitutivi del reato, nella consapevolezza di usare artifici e raggiri e nell’intenzione di indurre taluno in errore per procurare a sé o ad altri un ingiusto profitto; in effetti – ferma restando la necessità della dimostrazione della volontaria intenzione di conseguimento del profitto con altrui danno – l’aver posto in essere gli interventi o le alterazioni sul sistema informatico descritti nella norma può ritenersi attività espressiva della piena ed inequivoca consapevolezza dell’intento genericamente fraudatorio stigmatizzato negativamente dal legislatore, proprio alla luce dell’impossibilità di giustificare in modo legittimo ed attendibile tali comportamenti; in questo senso quindi laddove statisticamente di frequente gli artifici e raggiri in concreto descritti dalla fattispecie riconducibili all’art 640 cp possono risultare di equivoca interpretazione e di ambigua lettura (specie se analizzati singolarmente e soprattutto ogni qual volta il reato si manifesti nella forma della truffa contrattuale) gli interventi o le alterazioni sui sistemi in oggetto presentano un coefficiente di “espressività criminale” certamente elevato, cosi da “trasferire” di fatto l’onere della prova della liceità – ed in particolare della consapevolezza della liceità – dei medesimi in capo all’agente.
5 – L’esercizio arbitrario delle proprie ragioni con impedimento o turbamento di un sistema informatico o telematico
La fattispecie in oggetto costituisce un significativo momento di sintesi tra la disciplina introdotta con il DL 518 del 29.12.92 – tutela giuridica dei programmi per elaboratore – e le modifiche ed integrazioni alle norme del codice penale in tema di criminalità informatica introdotte dalla L 547 del 23.12.93, la quale, proprio all’art 1 ha integrato il testo dell’art. 392 cp, specificando che “Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte, ovvero viene impedito o turbato funzionamento di un sistema informatico o telematico.”
La progettazione, produzione, commercializzazione e installazione di software costituisce un fenomeno economico di estremo rilievo, la cui disciplina civilistica di riferimento è costituita dal complesso delle disposizioni introdotto con il DL 518 /1992, nell’ambito della R.D. 633/1941 in tema di diritto d’autore; si tratta di una disciplina articolata e complessa, che limita fortemente poteri e facoltà dei soggetti che acquistano il prodotto “programma per elaboratore”- ossia lo strumento che garantisce la “funzionalità” di un sistema – indicando i presupposti di numerosi violazioni civilistiche degli accordi di licenza e che tutela penalmente con le sanzioni di cui all’art 171 bis – introdotto dall’art 10 DL 518/92 – le attività di illecita duplicazione dei programmi. Un quadro quindi che suggella giuridicamente una posizione di forza economico-contrattuale del soggetto produttore ed installatore di software; posizione tanto più rilevante quanto maggiormente “personalizzato”, rispetto alle esigenze aziendali dall’acquirente-utilizzatore, risulta il software installato, con conseguente crescita esponenziale della dipendenza tecnica di quest’ultimo.
Una situazione che trova un suo parziale momento di riequilibrio proprio tramite la fattispecie dell’art 392 u.c.; anche se la norma non configura espressamente il soggetto che garantisce con le proprie conoscenze ed esperienze la funzionalità di un sistema – come potenziale autore del reato, è evidente che la sussistenza dell’elemento soggettivo del reato – che presuppone, in termini generali, la convinzione di agire nell’ambito di esercizio di una situazione giuridicamente riconosciuta e tutelata – implica in linea di massima un rapporto preesistente tra l’autore della “violenza tecnologica”, la persona offesa del reato ed il sistema sul quale la violenza stessa viene ad esplicarsi.
Il soggetto che installa, gestisce e garantisce la manutenzione e la funzionalità di un sistema può avere accesso allo stesso per controlli periodici di funzionalità o in occasione di interventi “manutentivi” su richiesta dell’interessato; ha quindi la possibilità ed i mezzi per porre in essere comportamenti assimilabili ad ipotesi di danneggiamento o di mutamento di destinazione di indubbio disvalore sociale e di innegabile rilevanza economica, per “forzare” la definizione dei rapporti con l’utilizzatore e condizionare in qualche modo le scelte.
La fattispecie in oggetto costituisce quindi la risposta specifica ad eventuali abusi che possono verificarsi nell’ambito dei normali contratti di licenza di utilizzazione di programmi standard, o, più frequentemente, in conseguenza dell’installazione di software specificamente creato per rispondere a particolari esigenze aziendali: comportamenti – tali da alterare in termini significativa la funzionalità del sistema – che possono essere diretti quindi alla mutilazione di parte del programma o a rendere, anche parzialmente, inservibili programmi informatici in ordine al quale l’agente vanti pretesi diritti ancorché si trovino nella disponibilità altrui e ciò, indipendentemente dalla proprietà del programma; ciò anche e soprattutto ove l’esercizio di “autotutela” è diretto a limitare e ricondurre nei limiti riconosciuti dalla legge le facoltà del titolare delle licenze.6
Allo stesso modo, il produttore di software potrà essere a sua volta soggetto passivo del reato di cui all’art 392 u.c.cp, ogni qual volta il dipendente – verosimilmente l’autore di un programma – nell’ambito di un contenzioso con la società ponga in essere i comportamenti descritti dalla fattispecie, approfittando del proprio rapporto privilegiato di conoscenza e/o uso con lo stesso; al proposito l’art 12 bis L 633/41 precisa che “Salvo patto contrario, qualora un programma per elaboratore sia creato dal lavoratore dipendente nell’esecuzione delle sue mansioni o su istruzioni impartite dal suo datore di lavoro, questi è titolare dei diritti esclusivi di utilizzazione del programma creato”.
Per quanto attiene agli elementi della fattispecie, l’elemento di effettiva innovazione – rispetto al pregresso ambito di operatività dell’art 392 cp – non può ritenersi la definizione del concetto di “violenza su cose”, in quanto l’univoca accezione del medesimo per come specificata dalla S.C. era tale da ricomprendere i comportamenti descritti nell’attuale formulazione della fattispecie. In questo senso si deve ritenere che l’alterazione, modificazione o cancellazione di un programma o l’impedimento o turbamento di un sistema informatico comportino di per sé un mutamento di destinazione del programma o del sistema, a prescindere quindi da una alterazione della “materialità” dell’oggetto, o, a fortiori, di un “danneggiamento” dello stesso; concetto questo, già specificato dalla S.C., laddove stabilisce che ” Nella nozione di violenza sulle cose, ai fini della configurabilità del reato di esercizio arbitrario delle proprie ragioni ex art. 392 c.p., rientra anche il mutamento della destinazione attuale della cosa, che si verifica allorquando, pur rimanendo inalterata la cosa stessa, ne rimane impedita o modificata l’utilizzazione”7 e che si configura quando con qualsiasi atto o fatto materiale sia impedita, alterata o modificata la loro utilizzabilità: mutamento di destinazione significa quindi alterazione della potenzialità di utilizzo del bene, esclusione “dinamica’~, in termini di utilità aziendale, dello stesso; l’elemento di novità è rappresentato al contrario dall’estensione di tali principi ai programmi ed ai sistemi, eliminando ogni dubbio sull’equiparazione di tali beni economici al concetto generico di “cose” originariamente previsto dalla norma.
La prospettiva di tutela introdotta con la L. 547/1993 deve ritenersi calibrata rispetto all'”attacco” portato al bene software inteso non quale opera intellettuale in sé, bensì come entità “funzionale”, il cui valore patrimoniale e tecnico deve essere valutato in rapporto dinamico inscindibile con il contesto aziendale/organizzativo nel quale viene inserito.
6 – La detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
Il delitto previsto dall’art 615 quater c.p – che sanziona l’abusiva acquisizione, in qualunque modo, dei mezzi o codici di accesso ad un sistema informatico o telematico – si presenta frequentemente come “complementare” rispetto al reato di frode informatica. E’ importante osservare come la piena tutela dei sistemi telematici espressa dalla norma trovi il suo momento di attuazione solo laddove la condotta diretta a “procurarsi” codici o altri strumenti di accesso non venga intesa in termini strettamente “informatici”- ossia con un’acquisizione operata su un computer o avvalendosi di un computer – ma con qualsiasi modalità. Anche quindi – e soprattutto – laddove l’informazione sia surrettiziamente o fraudolentemente carpita con “inganni” verbali, oppure prendendo conoscenza diretta di documenti cartacei ove tali dati risultano riportati, o osservando e memorizzando la “digitazione” di tali codici.
Nella descrizione delle condotte sanzionate il legislatore è stato fors’anche sovrabbondante, avendo voluto sostanzialmente “coprire ” ogni possibile forma di acquisizione e comunicazione di dati; si rileva comunque come la “comunicazione” debba comprendere anche la consegna – che è una comunicazione per mezzo di atto materiale – e la diffusione – che altro non è che una comunicazione ad un numero rilevante di soggetti.
Valgono in relazione alla presente fattispecie considerazioni di carattere generale già espresse in tema di “abusività”. Abusiva sarà cosi sia l’acquisizione di un codice di accesso inerente ad un differente livello effettuata da un operatore di rete, pure abilitato ad agire sulla medesima, come la comunicazione da parte dell’utente di un servizio ad un terzo non legittimato delle chiavi di accesso ad un sistema.
Per completezza tra le condotte vietate è stata inserita anche la “riproduzione” – ossia la formazione di una copia digitale o comunque corrispondente alla tecnologia utilizzata per identificare il codice, parola chiave o altro strumento: si tratta di un momento di tutela fortemente “avanzato”, dovendo la riproduzione ritenersi sanzionata proprio in quanto ipoteticamente finalizzata all’accesso abusivo al sistema protetto. Per la stessa ragione, inserendo una formula di “chiusura”, viene stigmatizzato negativamente anche il comportamento di chi “fornisce indicazioni o istruzioni idonee al predetto scopo” (l’accesso al sistema).8
Nonostante la rubrica dell’articolo preveda tra le condotte sanzionate anche la “detenzione”, tale condotta non è stata poi inserita nel contesto della norma. In base al principio di legalità si deve quindi ritenere che la mera detenzione di codici o parole di accesso debba ritenersi penalmente irrilevante, fermo restando che, di fatto, una qualsiasi forma di fruizione o comunicazione delle medesima dovrebbe portare ad una risposta diametralmente opposta.
Osservando nell’insieme la fattispecie emerge in effetti come la norma “sacrifichi” la precisazione tecnica-giuridica, al fine di garantire la massima copertura possibile a fronte di potenziali attacchi che possono essere diretti a sistemi informatici o telematici “protetti da misure di sicurezza “; certamente in tale categoria debbono essere ricondotti tutti i sistemi ai quali sia applicata – come già precisato – un qualsiasi tipo di protezione, anche se facilmente aggirabile da persona mediamente esperta, che abbia comunque la caratteristica di rendere palese una volontà dell’avente diritto contraria a qualsiasi forma di accesso non autorizzato.
E’ stato poi previsto un dolo specifico, analogo a quello di cui all’art 640 cp: la condotta deve essere quindi diretta al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno; nel primo caso un esempio classico di profitto di natura patrimoniale può essere rappresentato dalla realizzazione di ipotesi di frodi informatiche/telematiche; la dizione ampia di “profitto” – da intendersi come utilità non solo strettamente patrimoniale, consente tuttavia di ipotizzare la finalizzazione della condotta descritta dall’art 615 quater cp anche per porre in essere un accesso abusivo – al fine di “prendere conoscenza ” di dati, informazioni o programmi altrui; nel secondo caso lo stesso accesso abusivo può costituire il momento di realizzazione di atti di “vandalismo” informatico, tali da arrecare danno, riconducibili eventualmente anche all’art 635 bis cp . Oggetto della condotta risultano essere “codici, parole chiave o altri mezzi idonei all’accesso”; anche sotto questo profilo il legislatore ha indicato da un lato due “mezzi” di accesso tipizzati, di larga diffusione, quali appunto di “codici” e le “parole chiave” (ossia sequenze numerica, alfanumerica o numerico-logica, quali le password o i numeri di identificazione personale relativi al servizio Bancomat.), completando il momento descrittivo con una formula indeterminata – “altri mezzi idonei” – rendendosi conto della necessità – per una norma destinata a confrontarsi con un costante progresso tecnico – di ricondurre all’oggetto delle tutela, anche per il futuro, qualsiasi “strumento” di accesso ad un sistema. Si pensi al riguardo agli strumenti biometrici di accesso, fondati sul riconoscimento da parte del sistema della voce delle impronte digitali o del reticolo venoso dell’occhio; strumenti tutti in corso di perfezionamento ma destinati ad essere certamente protagonisti di un futuro neppure troppo lontano.
NOTE
1) In questo senso l’art 47 c I cp precisa che “L’errore sul fatto che costituisce il reato esclude la punibilità dell’agente…L’errore su una legge diversa dalla legge penale esclude la punibilità quando ha cagionato un errore sul fatto che costituisce reato.”
2) cfr G Corasaniti, La tutela dei dati personali, in Diritto penale e processo, n 2/97, 147
3) (Art. 15. Sicurezza dei dati – 1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell’articolo 17, comma I, lettera a), della legge 23 agosto l988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l’autorità per l’informatica nella pubblica amministrazione e il Garante. 3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all’evoluzione tecnica del settore e all’esperienza maturata. 4. Le misure di sicurezza relative ai dati trattati dagli organismi di cui all’articolo 4, comma I, lettera b), sono stabilite con decreto del Presidente dal Consiglio dei ministri con l’osservanza delle norme che regolano la materia.)
4) Quali accessi informatici abusivi (art 615 ter cp) e danneggiamenti informatici (art 635 bis cp) o in conseguenza dei delitti di cui agli artt 615 quater cp (Detenzione e diffusione abusiva di codici di acceso a sistemi informatici).615 quinquies cp (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico.)
5) Ancora prima dell’introduzione della norma di cui all’art 640 ter cp un evidente caso di frode informatica, definito con sentenza di condanna in data 22 aprile 1996 (Pretore di Torino. C., inedita ) si era presentato presso la Procura Circondariale di Torino: un consulente informatico, utilizzando indebitamente la “password” di un nodo Videotel, addebitava ad un’altra società collegata al sistema Videotel una serie di chiamate in effetti mai disposte dalla società che risultava avere formalmente fruito del servizio, assicurando in tal modo all’apparente fornitore di dati le somme accreditate della società di gestione in rapporto alla chiamate ricevute.
6) In materia un caso estremamente emblematico è stato deciso dal Pretore di Torino (ud. 15.5.96. A. + altri): il legale rappresentante di una società avente ad oggetto l’assistenza tecnica elettronica per la gestione, costruzione e installazione di macchinari industriali. al fine di esercitare un preteso diritto – avente specificamente ad oggetto il riconoscimento dell’esclusiva per predisporre, installare e gestire la parte elettronica informatica di macchinari da produrre su scala industriale sviluppando un prototipo di macchina cucitrice di spalline, di proprietà della società amministrata dalla persona offesa – disponeva. per tramite di una propria dipendente, l’alterazione del programma di gestione del macchinario fornito a quest’ultima società; l’imputato, approfittando delle relazioni di lavoro intrattenute con lo spallinificio per introdursi con un pretesto nei locali dove si trovava la macchina – disponeva l’installazione di un software distruttivo nel softvare della stessa, per mezzo dell’inserimento di un file di blocco data, ossia di un comando con cui il programma veniva predisposto a bloccarsi ad una tale data dell’anno; in questo modo le funzioni del programma che era stato da loro stessi applicato per la gestione in via informatica delle operazioni di lavorazione del prototipo della macchinario in oggetto diveniva di fatto inutilizzabile. Si quindi di un classico esempio di “bomba logica” ossia di un “programma eseguito nelle occasione opportune o periodicamente in un sistema elettronico, che tuttavia mette il computer in condizioni tali da facilitare la commissione di un atto (non autorizzato) doloso….” per mezzo di “messaggi del tutto illogici o contrastanti con le istruzioni sulle quali era stato programmato.” Nel caso di specie ci troviamo di fronte a una cd “time bomb”, che consente di impostare una certa operazione illecita a distanza di tempo. Rispetto ad analoghi casi di bombe logiche, la programmazione risulta essere stata tuttavia tale da non prevedere la cancellazione delle tracce dell’operazione “estranea” alla logica di sistema: gli accertamenti disposti hanno cosi consentito la ricostruzione delle “tracce dell'”esplosione” e dello stesso “innesco” ed il conseguente riconoscimento in termini di certezza della riconducibilità del fatto alla società che aveva originariamente creato il programma con conseguente riconoscimento di penale responsabilità del legale rappresentante e del dipendente che aveva materialmente provveduto all’installazione.
7) Cass., sez VI, 18.12.85, Consonni, in Cass. pen, 1987, 1513
8) Tale situazione potrà in molti casi presentarsi in rapporto a comportamenti riconducibili ad abusi della qualità di operatore di sistema, ogni qual volta un dipendente “infedele” senza fornire direttamente i codici di accesso, consenta di aggirare i sistemi di protezione fornendo indicazioni indiretta sulle modalità di neutralizzazione della barriere di accesso al sistema stesso.
Possibly Related Posts:
- Dentro il G-Cans
- Chatbot troppo umani, i rischi che corriamo
- Qual è il significato geopolitico del sistema operativo Huawei Harmony OS Next
- TeamLab Planets: da Tokyo la fuga verso i mondi della mente
- Chi ci protegge dal dossieraggio tecnologico?