Category Archives: Reati informatici

(Attenzione: il presente post è un riassunto/approfondimento di un argomento specifico evidenziato nelle ricerche su motori che hanno condotto qui. Salvo aggiornamenti espliciti, le informazioni vanno collocate alla data del post).

Con la semplice locuzione “Convenzione di Budapest” si intende, normalmente, la Convezione del Consiglio d’Europa “fatta” a Budapest il 23 novembre 2001. Da QUI, proprio sul sito del Consiglio d’Europa (che non è l’Unione Europea, scusate la precisazione), trovate tutto il materiale ufficiale.

Come ogni trattato, i Paesi che lo firmano devono, successivamente, ratificarlo. In Italia, ciò è avvenuto con la legge 18 marzo 2008, n. 48. Per completezza, va detto che vi era stata, in precedenza, una parziale ratifica con la legge 6 febbraio 2006, n. 38 in tema di sfruttamento sessuale dei bambinie pedopornografia via Internet.

Per quanto riguarda la legge di quest’anno (che riguarda gli aspetti relativi ai reati informatici propri, vale a dire commessi “su” – e non “mediante” – sistemi informatici già disciplinati con la l. 547/93, in parte riformata), riassumo brevemente le novità (peraltro, già da tempo in vigore):
– è stata rivista la definizione di “documento informatico” racchiusa nell’art. 491-bis c.p. (introdotto nel 1993) sino a farla coincidere con quella propria del diritto civile e amministrativo (ora, racchiusa nel Codice dell’Amministrazione Digitale – CAD);
– vista la diffusione della firma elettronica (“legale”), è stato inserito il nuovo art. 495-bis c.p. che sanziona la “Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri “;
– l’art. 615-quinques c.p. (in tema di “malware”) è stato ampiamente rimaneggiato; ora sono punite le condotte aventi per oggetto non soltanto i programmi, ma anche le apparecchiature e i dispositivi; inoltre, ora è sanzionata anche la mera detenzione di quanto sopra, ma, a differenza del passato, è necessario lo scopo di danneggiare illecitamente o favorire l’interruzione o l’alterazione di sistemi, [dati, informazioni o programmi] (dolo specifico); insomma, sembra salvo il “traffico” dei predetti a fini di studio e ricerca;
– l’art. 635-bis c.p. (danneggiamento informatico) è una delle disposizione che ha subito i più pesanti interventi; è stato spezzato (anche con l’abrogazione di altre norme) in quattro; 1) 635-bis c.p. riguardate dati, informazioni e programmi  di pertinenza “privata” (e qui la novità è anche la procedibilità a querela, contro quella d’ufficio del testo precedente; 2) 635-ter c.p. relativo a dati, informazioni e programmi utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti ovvero di pubblica utilità e si noti che le relative condotte sono punite anche se soltanto dirette al danneggiamento, senza che sia necessario il verificarsi del danneggiamento stesso; 3) 635-quater c.p. disciplinante i fatti di danneggiamento di sistemi (concetto più ampio e diverso rispetto a dati, informazioni e programmi) di pertinenza privata anche mediante l’introduzione di malware; 4) 635-quinques c.p. stesse condotte dell’articolo precedente, ma riferite a sistemi di pubblica utilità (anche in questo caso basta il “fatto diretto a danneggiare”);
– di nuova introduzione è l’art. 640-quinques c.p. “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”; mai capito che pertinenza abbia con i delitti contro il patrimonio (riguardava di più i delitti contro la fede pubblica), ma fa lo stesso;
– e veniamo alle modifiche diverse dal codice penale, per esempio l’aggiunta (conforme alla Convenzione) di certi reati informatici nel d.lgs. 231/2001 in tema di responsabilità degli enti; i nuovi reati che comportano responsabilità (pur diversificata) sono quelli previsti dagli artt. 491-bis (che non è un reato, di per sé, ma mero rinvio-“moltiplicazione”),  615-ter, 615-quater, 615-quinquies, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies, 640-quinquies; malgrado i buoni propositi della Convezione, i reati in tema di dati personali sono stati candidamente omessi;
– ma ci sono anche ritocchi al codice di procedura penale, negli artt.  8 e 9 della legge di ratifica; si tratta della parte più buia perché sebbene si accenni, ad esempio, a mezzi atti ad impedire l’alterazione dei reperti informatici, la violazione di dette cautele non comporta – come si dice in “legalese” – alcuna sanzione processuale (es.: nullità, inutilizzabilità, ecc.); insomma, se pubblico ministero e polizia non fanno le cose per bene il giudice non è tenuto ad invalidare i risultati di indagini compiute in modo tecnicamente non ineccepibile; tutto come prima, dunque, al di là dell’apparente contentino; comunque sia, a ciò fanno eco  estensioni delle possibilità di acquisizioni, ispezioni, perquisizioni e sequestri;
– con l’art. 10 della ratifica sono state introdotte cervellotiche modifiche all’art. 132 T.U. privacy, riguardanti la nota “data retention”; fortunatamente, esse sono state del tutto cancellate da una più recente riforma, di cui ho parlato in questo post;
– l’art. 11 è un altro passo falso; si individua il pubblico ministero competente per alcuni reati informatici (costituendo, di fatto, una “super procura distrettuale anti-cybercrime”), ma ci si dimentica che c’è anche il GIP/GUP; e giù fascicoli avanti e indietro da una città all’altra; una pezza alla cosa è stata posta soltanto successivamente; l’avevo anticipata QUI, poi c’è stata la definitiva conversione del “pacchetto sicurezza”; ora pubblico ministero e GIP/GUP stanno nella medesima sede distrettuale;
– seguono altri due articoli, secondo me non rilevantissimi in tema di cibercriminalità.

Per maggiori approfondimenti, segnalo il lavoro di Aterno, Cuniberti, Gallus e Micozzi, giuristi che hanno cercato di dare il loro contributo alla ratifica di casa nostra. Hanno fatto quel che hanno potuto.