1.    Premessa metodologica

La moltiplicazione delle modalità criminogene perpetrate attraverso la rete ha portato i legislatori a interrogarsi circa le modalità repressive più efficaci per scongiurare la vasta gamma di pericoli cui l’utente è sottoposto con l’accesso al web.

Il presente, breve contributo, senza pretese di analiticità, ha lo scopo di offrire una panoramica sulle logiche concretamente adottate dalla legge italiana, unitamente all’armonizzazione delle direttive e alle “spinte indirette” dei Regolamenti dell’Unione europea, al fine di prevenire e sanzionare le minacce alla sicurezza dei beni giuridici lesi o messi in pericolo dall’operato di condotte “immateriali” penalmente rilevanti.

2.    Le principali forme di offesa

Il sistema-cyberspazio agevola la commissione di determinati crimini. I reati informatici sono denotati da peculiari caratteristiche che li differenziano rispetto ai reati, per così dire, “offline”. Esse sono quelle della de-localizzazione delle risorse, quella della de-temporalizzazione delle attività, nonché quella della de-territorializzazione. In parole semplici, c’è un’estrema facilità di commissione dei reati da qualunque parte del mondo, senza un necessario collegamento fisico fra l’utente e il sistema.

I legislatori sono costretti a fare i conti con le limitazioni evidenti delle fattispecie criminose tradizionali, che rispetto alla criminalità in rete hanno in passato mostrato i loro problemi applicativi. In particolare, il cybercrime può comportare:

• Violazione dei sistemi informatici;
• Attacchi al patrimonio;
• Diffusione di contenuti illeciti online;
• Attentato a beni personali;
• Violazione dei diritti di proprietà intellettuale[1];
• Cyberterrorismo e cyber warfare.

Il tutto nell’ottica di una tremenda e quasi insopprimibile velocità di esecuzione, con le distorsioni evidenti generate dalla speculazione sulle criptovalute come il bitcoin, spesso utilizzate come contropartita di operazioni illecite nel web sommerso[2].

Viceversa, non va ritenuto penalmente rilevante il fenomeno di attacchi che determinano il blocco o l’interruzione di un servizio che sia diretta conseguenza di un’iniziativa spontanea di migliaia di utenti accordati per mettere in crisi un server connettendosi contemporaneamente per ostacolarne il funzionamento. In tal caso si parla di hacktivism[3], problematica differente, nonché con risvolti sociologici ed etici oltre che giuridici.

Per utilizzare le terminologie anglosassoni relative alle nuove e più cogenti forme di reato, non è troppo lontana, riprendendo quanto anticipato nell’elenco “di massima”, la prospettiva di una guerra cibernetica (cyber warfare) che potrebbe aver luogo mediante la manomissione informatica dei centri nevralgici gestiti da uno Stato, mettendone così in crisi la sovranità, specie qualora siano violate informazioni secretate o inaccessibili relative alla difesa, agli obiettivi militari o alle modalità di gestione delle infrastrutture critiche. L’attività dei cyberterroristi può essere in grado di piegare la funzionalità dei sistemi.

La truffa informatica, invece, strettamente correlata all’abilità dell’hacker e spesso frutto di previo social engineering[4], ha molteplici sfaccettature e si può manifestare in diverse modalità.

Sotto l’aspetto, invece, della diffusione di contenuti illeciti, è altalenante nell’opinione pubblica e difficilmente inquadrabile sotto l’aspetto giuridico il c.d. self-harm, ossia un vero e proprio autolesionismo cagionato da altrui condotte, ascrivibili ad apposite pagine web che inducono i propri utenti a disordini alimentari, odio, o addirittura suicidio[5].

Per rimanere nell’ambito delle macro-categorie, non è assolutamente da trascurare il fenomeno di adescamento, specie a danno dei minori noto come online grooming, nonché le odiose conseguenze del sexting e del revenge porn, catastrofiche e fuori controllo, cui spesso le vittime vanno incontro. Il caso di Tiziana Cantone[6] è quello che, relativamente all’ultimo fenomeno citato, potrebbe essere definito “di scuola”.

3.    Le soluzioni dell’ordinamento penale italiano

Il legislatore italiano è arrivato spesso tardi nella corsa alla disciplina di alcuni fenomeni criminosi nati e proliferati in rete. La legge n. 71/2017[7], per portare l’esempio del cyberbullismo[8], ha tentato solo recentemente di mettere ordine alla materia, soprattutto con riferimento al delicatissimo profilo del service provider e delle sue responsabilità, tenendo conto dell’arduo compito di coordinarsi con la previgente normativa e a fronte di un fenomeno ormai sovrasviluppato nelle comunità web.

Occorre necessariamente tenere in conto che i reati informatici vengono perpetrati in due differenti modalità: in senso stretto, commettendoli esclusivamente per mezzo del computer, senza il quale non sarebbe possibile la condotta criminosa; ovvero in senso lato, per i quali il dispositivo elettronico e Internet costituiscono solo un mezzo per la loro commissione agevolata. Di questa seconda modalità commissiva fanno parte, fra gli altri, i reati a danno dei diritti di proprietà intellettuale e industriale, per i quali Internet costituisce una fonte privilegiata di commercio.

Per citare alcuni interventi normativi che hanno tentato di imbrigliare le nuove fenomenologie criminose nate con il web, con la legge 547/1993[9] furono inserite nuove disposizioni nel codice penale, in ottemperanza spontanea ad una raccomandazione del Consiglio d’Europa del 1989 sulla criminalità informatica. Ad esempio, l’art. 491-bis c.p. relativo al falso documentale informatico; gli artt. 615-ter, 615-quater e 615-quinquies c.p. in materia di accesso abusivo a sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici e diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico; gli artt. 617-quater, 617-quinquies e 617-sexies c.p. relativi all’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche e falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche; l’art. 635-bis c.p. relativo al danneggiamento di informazioni, dati e programmi informatici – peraltro con una recente aggiunta del legislatore del 2016 specificamente diretta all’operatore di sistema – e l’art. 640-ter c.p. con riferimento alla frode informatica.

Nuova linfa provenne da una direttiva del Consiglio d’Europa sulla criminalità informatica del 2000, nonché dalla Convenzione di Budapest del 2001[10] sul cybercrime. Vennero tipizzate nuove tipologie di reati informatici, ma soprattutto venne evidenziata la necessità di fermare l’allora impetuoso fenomeno della pedopornografia in rete. La legge n. 48/2008 recepì i provvedimenti tipizzando nuove fattispecie criminose come l’art. 495-bis c.p. (falsa dichiarazione o attestazione al certificatore di firma elettronica), ovvero altre sofisticate fattispecie in materia di danneggiamento informatico e frode informatica. Sul fronte procedurale, fu poi incisa un’interessante nuova fattispecie di confisca, riguardante stavolta strumenti informatici o telematici utilizzati per la commissione di reati contro il patrimonio ai sensi del comma 1-bis dell’art. 240 c.p.

È evidente come il legislatore, sulla scorta della personale interpretazione politica rispetto alle esigenze invocate dal regolatore europeo, abbia preferito optare per una moltiplicazione schizofrenica delle fattispecie penali, spesso ridondanti e non complete nella formulazione perché tassativamente inclinate verso alcune risultanti piuttosto che verso altre.

Sul fronte delle violazioni penalmente rilevanti in materia di diritto d’autore e diritti connessi, il legislatore ha preveduto a configurare, nel corpo della L.D.A.[11], un apposito capo nella sezione dedicata alle sanzioni giuridiche, in particolar modo prevedendo singole fattispecie dall’art. 171 all’art. 174-quinquies al Titolo III della legge relativo alle disposizioni comuni. Chiaramente, tali fattispecie risultano applicabili tanto alla violazione del diritto d’autore fuori dall’ambito telematico quanto alle violazioni – statisticamente di più largo impatto nel quotidiano – commesse mediante l’illecito traffico di opere protette con l’ausilio degli strumenti informatici. Sul punto ha fatto scuola, per la questione relativa all’applicabilità o meno del sequestro preventivo su un sito web, il caso “thepiratebay.org”, partito nel 2008 da un’ordinanza del GIP del Tribunale di Bergamo rivolta agli internet service provider e terminato con una interessantissima pronuncia della Cassazione[12] in tema di peer-to-peer e fumus commissi delicti per il reato di cui all’art. 171-ter, comma 2, lettera a-bis L.D.A.

Inoltre, i reati “presupposto” indicati dalla legge 99/2009 con riferimento alla violazione dei diritti di proprietà intellettuale, a danno della pubblica fede, relativi alla fabbricazione o all’uso di beni contraffatti o in violazione di brevetti, disegni o modelli industriali, alla loro importazione o commercializzazione, sono contenuti negli artt. 473 e 474 c.p., ben potendo essi configurarsi quando il canale di comunicazione per il traffico illegale degli stessi sia rappresentato dalla rete, che ne alimenta la circolazione.

Per giungere “ai nostri giorni”, è d’obbligo citare la nuova fattispecie introdotta nel 2013 in materia di furto o indebito utilizzo dell’identità digitale[13], nonché gli artt. 43, 44, 45 e 46 del d.lgs. 51/2018 sul trattamento dei dati personali da parte delle autorità competenti al fine di prevenzione, accertamento e perseguimento di reati o esecuzione di sanzioni penali in attuazione della direttiva (UE) 2016/680 e lo schema di decreto legislativo relativo alla prevenzione dei reati gravi e di terrorismo a tutela del codice di prenotazione (PNR) in attuazione della successiva direttiva (UE) 2016/681.

Da ultimo, sebbene non per importanza, assume un pregnante significato il decreto di raccordo tra normativa italiana previgente in materia di privacy (contenuta nel d.lgs. 196/2003, c.d. Codice privacy) e GDPR (Regolamento dell’Unione europea 2016/679, applicativo dal 25 maggio di quest’anno), entrato in vigore il 19 settembre[14]. Nel novellato normativo è possibile, infatti, leggere un rinnovato art. 167 (reato di trattamento illecito di dati personali), unitamente all’aggiunta di ulteriori due articoli, il 167-bis e il 167-ter (comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) che, per essere letti alla luce del GDPR, necessitano di coordinamento con altri provvedimenti non aventi valore di fonti del diritto[15]; ulteriori modifiche sono state riportate agli artt. 168, 170, 171 e 172. Lo scopo perseguito dal legislatore italiano pare essere quello di aderire quanto più ampiamente possibile ad un approccio sistematico puntuale, prevedendo diverse ipotesi di condotte penalmente rilevanti in materia di violazione o abuso di dati personali. Tuttavia, nel sopracitato caso del nuovo impianto, si attendono pronunce giurisprudenziali di assestamento della materia e provvedimenti significativi dell’Authority, senza i quali non è possibile discutere l’impatto di tali norme nella lotta al crimine cibernetico.

Nondimeno, così come nel caso della legge n. 633/1941, alcune fattispecie originariamente non concepite come “reati informatici” sono state interpretate dalla giurisprudenza, nello sforzo di non valicare il principio di legalità e la tassatività della legge penale, nel senso di essere applicabili anche ai cybercrimes o ai computer crimes.

Il quadro prospettato conduce a interrogarsi su diversi aspetti: quanto è efficace il perseguimento di tali reati nella dispersività e immaterialità della circolazione dei dati? Sul piano della prevenzione, invece, è possibile collaborare efficacemente per impedire la realizzazione di questi crimini? La risposta alla seconda domanda è di certo positiva, proprio in quanto il bene giuridico maggiormente offeso o messo in pericolo dai fatti tipizzati dalle norme incriminatrici è quasi sempre il patrimonio della vittima, spesso indifferente o superficiale nell’adozione delle misure minime di sicurezza che possono scongiurare gran parte degli attacchi minori. I passi avanti in tema di sensibilizzazione verso “checklist” virtuose per gli utenti sono stati mossi sia dallo Stato che dalle imprese e dai professionisti: anche l’utente “comune” dovrebbe munirsi di una piccola dose di pazienza ed esorcizzare la paura dell’apparentemente incomprensibile informatica: spesso, per stare tranquilli, basta davvero poco.

 

[1] Sul punto v. G. D’Adamo – M. Naj-Oleari, La proprietà intellettuale e la violazione dei marchi ex d.lgs. 231/2001 nel settore della moda, disponibile qui: http://www.giurisprudenza.unipg.it/files/generale/IMPORT/AVVISI/EVENTI/04_Tutela%20segni%20distintivi.pdf.

[2] Un caso evidentemente emblematico è costituito dalla vicenda di Silk road, disponibile qui: https://it.wikipedia.org/wiki/Silk_Road.

[3] Cfr. A. Di Corinto, Hacktivism. La libertà nelle maglie della rete, Roma, ManifestoLibri, 2002.

[4] Fra i molti liberamente reperibili in rete, v. il white paper di A. Thapar, “Social engineering. An attack vector most intricate to tackle”, disponibile qui: http://www.infosecwriters.com/text_resources/pdf/Social_Engineering_AThapar.pdf.  Questa tecnica rappresenta un metodo utilizzato dagli hacker per stuzzicare gli interessi della futura vittima e carpire il mezzo attraverso cui poterla ingannare, mediante, ad esempio, l’invio di e-mail fraudolente relative a false comunicazioni da parte di pubbliche amministrazioni, banche o ulteriori enti, fino al punto di ottenere i dati minimi desiderati per l’attacco. È alla base, fra le varie forme di manifestazione, del phishing.

[5] Per un approfondimento, cfr. T. J. Mirò D’Aniello, “Blue whale e la manipolazione mentale”, in Ius in itinere, disponibile qui: https://www.iusinitinere.it/blue-whale-la-manipolazione-mentale-7074.

[6] La storia di Tiziana Cantone può essere letta in quest’articolo de Il Post edito da F. Facci, “Storia di Tiziana Cantone”, disponibile qui: https://www.ilpost.it/2016/09/15/storia-tiziana-cantone/.

[7] In proposito v. redazione Altalex, “Cyberbullismo: la legge pubblicata in Gazzetta”, disponibile qui: http://www.altalex.com/documents/news/2016/09/21/bullismo-e-cyberbullismo.

[8] A. Di Prisco, “La nuova legge sul cyberbullismo: la tutela delle vittime del web”, in Ius in itinere, disponibile qui: https://www.iusinitinere.it/la-nuova-legge-sul-cyberbullismo-la-tutela-delle-vittime-del-web-2916

[9] V. il provvedimento in Gazzetta Ufficiale su http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=1993-12-30&atto.codiceRedazionale=093G0633&elenco30giorni=false.

[10] Consultabile online su .

[11] Legge 22 aprile 1941, n. 633, disponibile qui: http://www.interlex.it/testi/l41_633.htm

[12] Cass. Pen. Sez. III, sentenza n. 49437, 29 settembre 2009.

[13] Cfr. G. Malgieri, La nuova fattispecie di “indebito utilizzo dell’identità digitale”, in Diritto penale contemporaneo, 2015, 2, pubblicato online il 22 ottobre 2014, disponibile a pagamento qui: https://www.penalecontemporaneo.it/d/3365-la-nuova-fattispecie-di-indebito-utilizzo-d-identita-digitale.

[14] Decreto legislativo 4 settembre 2018, n. 101, disponibile qui: https://www.iusinitinere.it/decreto-adeguamento-gdpr-gazzetta-ufficiale-12205

[15] Il raffronto ermeneutico e la comprensibilità del testo dei presenti articoli è notevolmente semplificato, fra i vari provvedimenti, anche grazie alla lettura di numerose linee-guida dell’Art. 29 Working Party.