Diritto Penale dell’Informatica Appunti Del Profilo Penale S.C.
Diritto Penale dell’Informatica Appunti Luiss - S.C.
1
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Diritto penale dell’informatica
Il diritto penale dell’informatica punisce ed individua i comportamenti legati all’uso della tecnologica informatica, in tutti quei casi in cui il computer o la rete diventano armi o luoghi del delitto. Si distingue dell’informatica giuridica che si occupa, invece dell’applicazione dell’informatica al diritto (es. automazione dei sistemi di documentazione giuridica).
Ci sono alcuni problemi nell’approccio del giurista: 1. La materia non è di facile accesso in considerazione della rapidità dello sviluppo delle tecnologie 2. E’ necessario un background tecnico per comprendere determinate condotte o soggetti Vi è comunque un solido ancoraggio ai principi tipici del diritto penale, quali la riserva di legge, la tassatività e la determinatezza, il divieto di analogia in malam partem, il principio di irretroattività. - I REATI INFORMATICI possono essere divisi in due macro categorie: reati necessariamente informatici e reati eventualmente informatici (diffamazione on line, stalking on line, truffa web). All’interno di questa categoria si distinguono i computer crime, commessi mediante o in danno di sistemi informatici (frodi, danneggiamento, accesso abusivo) e cyber crime, illeciti commessi in rete (hacking, phishing) - LE FONTI 1. Raccomandazione del 1989 del C. Europa sui reati necessariamente introducibili (frode, falso, danneggiamento, intercettazioni non autorizzate, accesso non autorizzato), cui si accompagnava una lista facoltativa ( alterazione di dati o programmi, spionaggio, utilizzazione abusiva di elaboratore o programma informatico protetto. 2. Convenzione di Budapest del 23 novembre 2001. E’ una fonte importantissima che stabilisce il minimum target di tutela e introduce alcune importanti definizioni, sollecitando delle strategie comuni di intervento. Gli scopi della Convenzione sono essenzialmente due: introdurre modelli uniformi di incriminazione diretti a garantire un livello omogeneo di tutela in materia di criminalità informatica; istituire un adeguato sistema di cooperazione tra stati. SISTEMA INFORMATICO: qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati che svolgano un trattamento automatico su dati in base alle indicazioni fornite dal programma di software DATI INFORMATICI: Qualsiasi rappresentazione di fatti o notizie o concetti idonei ad essere oggetto di trattamento ed elaborazione da parte di un sistema info. PRESTATORE DI SERVIZI : soggetto pubblico o privato che fornisce agli utenti la possibilità di comunicare per mezzo di un s. informatico o che, per conto di un prestatore di servizi, provvede alla memorizzazione dei dati inerenti tali comunicazioni DATI RELATIVI AL TRAFFICO: sono i dati relativi alle comunicazioni avvenute per mezzo di un sistema informatico.
2
Diritto Penale dell’Informatica Appunti Luiss - S.C.
La Convenzione contiene poi un catalogo di fattispecie criminose da introdurre quali: l’accesso illegale, l’illegale intercettazione, l’attentato all’integrità di dati o sistemi, l’abuso di apparecchiature o dispositivi,la falsificazione informatica, la frode, la pornografia infantile, la violazione della proprietà intellettuale. Si richiede inoltre l’introduzione di “pene proporzionate, effettive e dissuasive”. Di particolare importanza è poi l’articolo 22 che, in materia di giurisdizione, stabilisce che “per limitare l’area delle fattispecie non punibii a causa della delocalizzazione del crimine informatico, ogni ordinamento persegue le condotte commesse nel proprio territorio o di altro stato aderente, anche se queste sono poste in essere da cittadino straniero, se l’infrazione è punibile laddove è stata commessa o se rientra nella competenza territoriale dello stato.
La legge di ratifica dell’Italia è la legge 48/2008 che ha tuttavia diversamente disciplinato alcune fattispecie criminose, introducendo specifiche previsioni anche nel codice di procedura penale (art. 248-254-254bis352 c.p.p.)
3. Decisioni quadro 2005/222/GAI contro attacchi informatici destinata a migliorare la cooperazione tra le ag dei vari stati attraverso il riavvicinamento delle legislazioni nel settore degli attacchi informatici, volta a migliorare la lotta contro la criminalità informatica e il terrorismo che si avvale di tali tecnologie e a completare gli strumenti già introdotti con la decisone quadro sul MAE. 4. Raccomandazione del 2009, affronta le questioni relative alla cooperazione in materia di furto di identità, implementando la formazione della polizia giudiziaria, predisponendo una piattaforma di allarme per segnalare i reati commessi in internet. Introduce poi il reato di grooming (adescamento di minori a scopo sessuale, come da Convenzione C. Europa a tutela del bambino), introduce nuove misure a tutela della proprietà intellettuale, bilanciando l’esigenza di assicurare la libertà di espressione con il trattamento dei dati personali. 5. Trattato di Lisbona, art. 83 TUE che prevede la possibilità per il Parlamento e il Consiglio di stabilire norme minime relative a reati e sanzioni in sfere di criminalità particolarmente grave che presentano una dimensione transazionale o necessitano di basi comuni (terrorismo, tratta esseri umani, riciclaggio, corruzione, contraffazione mezzi di pagamento, criminalità informatica - In Italia la normativa in materia di criminalità informatica è sparsa in vari contesti: il codice penale per quanto riguarda i reti contro il patrimonio, la fede pubblica e la sicurezza informatica (modificato da l. 547/1993 e 48/2009); il codice privacy L. 196/2003; il codice della proprietà intellettuale, L. 633/1941. Si pone il problema di stabilire quale sia il bene giuridico tutelato. Secondo alcuni sarebbe percepibile una dimensione unitaria del fenomeno che porterebbe ad identificare il bene tutelato nella affidabilità e sicurezza del ricorso alle tecnologie. Ma tale ricostruzione pare in contrasto con le indicazioni della Convenzione di Budapest. Abbiamo dunque una molteplicità di beni tutelati: i beni giuridici razionali, come il patrimonio e l’ordine pubblico; i beni analoghi a quelli tradizionali, come la fede pubblica informatica, la tutela del diritto d’autore e della privacy; i beni giuridici nuovi, come la riservatezza informatica e l’integrità di dati e sistemi (sicurezza informatica)
3
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Lezione del 05 Marzo 2013 1. ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO (Art. 615ter c.p) “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. 2. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio [358], con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio , o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone , ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. 3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. 4. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa ; negli altri casi si procede d'ufficio.” Si tratta della norma cardine a tutela del c.d. domicilio informatico,introdotta con legge 547/1993 e non modificata dalla Convenzione di Budapest. Il bene giuridico tutelato Viene da alcuni identificato nel domicilio informatico, stante la collocazione della fattispecie tra i delitti contro l’iinviolabilità del domicilio e come da indicazioni della relazione al disegno di legge ( si parla di una espansione ideale dell’area di rispetto tutelata dall’art. 14 Cost nelle fattispecie tradizionali di cui agli artt. 614 e 615 c.p. In realtà si parla di un bene “complesso” che include la tutela della dimensione personale del diritto alla riservatezza e quella patrimoniale connessa all’apprensione di dati riservati. La prima ricostruzione è stata criticata per il fatto di privilegiare una dimensione privata del domicilio, che non si addice a sistemi commerciali o industriali ed è incongruente rispetto a condotte abusive all’interno di sistemi informatici o telematici pubblici. Il concetto di riservatezza informatica sembra essere più confacente anche in vista del fatto che il legislatore ha anticipato la punibilità a livello della semplice condotta abusiva di introduzione o mantenimento, pur se queste attività non si sono risolte nell’acquisizione di nessun dato. Si parla di un nuovo bene giuridico fatto coincidere con l’interesse esclusivo al godimento e controllo dei prodotti e delle utilità delle nuove tecnologie Il sistema informatico o telematico La definizione del primo è data dalla Convenzione, il secondo è la rete di telecomunicazione pubblica o privata operante da e per l’Italia. E’ indispensabile che il sistema sia protetto da misure di sicurezza. Non è però necessario che si tratti di misure complesse, si configura il reato anche nei casi di misure esterne o organizzative (serrature, codici di accesso). Ciò che conta è che le misure apprestate palesano la volontà dell’avente diritto ad escludere terzi non autorizzati. Le misure possono essere informatiche (chiavi di accesso, password, firewall) o anche ordinarie e fisiche. Per considerate protetto il sistema è sufficiente una qualsiasi forma di sbarramento atta ad impedire il libero accessi di terzi non autorizzati.
4
Diritto Penale dell’Informatica Appunti Luiss - S.C.
La condotta Consiste nell’introdursi o trattenersi abusivamente in un sistema protetto contro la volontà dell’avente diritto, mentre irrilevanti sono le motivazioni perseguite dall’agente (finalità ludica, esplorativa, emulativa). L’accesso può essere fisico, nel qual caso si parla di materiale presa di controllo attraverso la tastiera del pc, o informatica, aggredendo il sistema attraverso virus, spyware, backdoor. Ne deriva che è abusiva la condotta del soggetto legittimato all’acceso, che compia operazioni non consentite o che acceda a “livelli” diversi se il sistema è strutturato in modo tale da evitare la presa di contatto con tali dati, o ancora nel caso in cui l’accesso si consentito per il tramite di chiavi falsificate. Irrilevanti sono i successivi eventuali illeciti che potranno essere puniti ad altro titolo Il dolo E’ un dolo generico che comprende la coscienza e la volontà di accedere o permanere in un sistema protetto quando si è a conoscenza della volontà contraria dell’avente diritto. Il concetto di abusività ha destato alcune critiche, a tal riguardo è opportuno far riferimento alle pronunce della giurisprudenza. -
Per quanto concerne la fattispecie ( introdursi o trattenersi abusivamente in un sistema informatico) è chiaro che si tratta di un reato di danno indipendentemente dalla apprensione dei dati riservati, dalla concreta lesione della riservatezza del dato, il legislatore vuole tutelare lo spazio di “domicilio informatico”, estendendo il concetto di domicilio anche ad una persona giuridica. Non è dunque richiesta la lesione alla riservatezza dell’utente. E’ questa una differenza che ha rilievo nei casi problematici ( come ad esempio la copiatura dei dati di archivio, non integra il reato ma può essere d’aiuto alla prova del reato). / ritenendo invece come bene tutelato la riservatezza dei dati, saremmo in presenza di un reato di pericolo (v. slide n. VI). Il tentativo, seppur configurabile, è di difficile realizzazione. dolo è un dolo generico (consapevole ingresso), non rileva la finalità perseguita dall’agente (es. ludica, esplorativa, di lucro).
Il profilo probatorio. Assolutamente rilevante è la prova c.d. tecnica: qualsiasi acquisizione di informazione che si basi sulla tecnologia informatica ( Non è compito del giudice determinare un protocollo informatico forense, ma verificare piuttosto che l’acquisizione probatoria sia fidefacente e non abbia subito alterazioni). Corte d’appello di Bologna. Un hacker era sospettato di aver inviato al provider un virus auto replicante. L’indagato spontaneamente contribuisce alle indagini, mostrando agli investigatori il modo di connessione. Acquisita la prova si è poi discusso circa l’utilizzabilità della prova, direttamente fornita dall’indagato. Non vi era nessun divieto di legge ( come ad esempio l’articolo 63 c.p.p. sulle dichiarazioni auto indizianti) applicabile, non si trattava di dichiarazioni ma di consegna di file alla polizia giudiziaria. Siamo in presenza di tecniche investigative non ortodosse rispetto ai canoni del diritto classico, si tratta di verificare se l’acquisizione probatoria sia corrette da un punto di vista formale. Ci sono delle indubbie difficoltà, si pensi al caso di introduzione abusiva nel sistema telematico della Tim per acquisire i tabulati telefonici atti a provare l’infedeltà di una persona. La prova del reato necessita delle migliori tecniche acquisitive predisposte dalla digital forensic in quanto le tracce informatiche sono altamente modificabili e forte è il rischio di inattendibilità del reperto acquisito. Rapporti con altri reati
5
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Per quanto riguarda il concorso col furto o con la frode informatica è ammissibile il concorso . Di furto si parla in riferimento all’acquisizione delle chiavi di accesso, specie manuali ( es. badge); di frode informatica invece si parla nei casi di progressione criminosa, l’accesso abusivo di solito è prodromico alla successiva frode ( diversa dall’accesso abusivo perché non richede che il sistema sia protetto da misure di sicurezza/ mentre l’accesso abusivo non richiede la finalità di profitto come invece richiede la frode ) es. dipendente dall’Agenzia delle entrate che si introduce nel sistema inserendo provvedimenti di sgravi fiscali mai adottati, Cass. Romano, 2008 .- es. accesso abusivo a sistemi telematici per allacciarsi a linee di ignari utenti privati ed operare su costosi numeri a pagamento, Cass. Cerbone, 2007. Per quanto riguarda il concorso con il danneggiamento informatico si deve tener presente che esso è anche una aggravante dell’articolo 615ter. Quando l’accesso non si è limitato al solo tempo necessario per danneggiare (nel qual caso si applica solo il 635bis) si applica l’aggravante dell’articolo 615ter. C’è una difficoltà pratica ad ipotizzare un concorso tra le due fattispecie: bisognerà verificare che l’accesso sia avvenuto per finalità diverse cui, in seguito, si sia sovrapposto il danneggiamento. La circostanza aggravante si applicherà nei casi di condotta di accesso volontaria e abbia “involontariamente” provocato il danneggiamento di dati del sistema. Può aversi anche concorso con il 615quater Diffusione di codici di accesso, che è una norma atta ad anticipare la tutela rispetto all’accesso. Più problematico è il concorso con l’indebito utilizzo di carte di credito clonate attraverso microchip installato nel POS, Cass. 43755/2012 in questa pronuncia si ammette il concorso, nei precedenti giudiziari si ammetteva la sola configurazione dell’art. 55 d.lgs 231/2007. Sicuramente può esserci concorso con la falsificazione di documenti informatici, quando l’accesso è finalizzato alla creazione di documenti falsi. Può applicarsi anche l’aggravante dell’articolo 7 l. 203/91 c.d. di mafia.
Sentenze Santilli - SS.UU 4694/2012 ACCESSO ABUSIVO Art. 615ter IL FATTO G. Santilli veniva condannato in primo grado di giudizio con sentenza confermata dalla C. appello di Roma perché in qualità di maresciallo dei carabinieri, con abuso di poteri e violazioni di doveri, si era introdotto abusivamente nello S.D.I (servizio info di indagine) e, nonostante non fosse in servizio, si impossessava di informazioni relative alla vita personale e giudiziaria di otto persone. IL RICORSO Si eccepisce l’erronea applicazione dell’articolo 615ter in quanto le condotte tipizzate dalla norma non integrano fattispecie autonome di reato ma ipotesi aggravate dall’abuso della funzione di soggetti che NON SONO LEGITTIMATI AB INITIO all’accesso. LA CORTE Esistono, al riguardo, due orientamenti contrastanti. 1. Nel famoso caso Zara questa Corte aveva ad esempio affermato che “ L’accesso abusivo è integrato anche dalla condotta di chi, autorizzato per determinate finalità, utilizzi il proprio titolo di legittimazione per funzioni diverse o non rispetti le condizioni previste per l’accesso”.
6
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Secondo tale ricostruzione l’accesso abusivo sanziona non solo la condotta dell’hacker informatico, non abilitato all’accesso ad un sistema protetto, ma anche quella del soggetto titolare di password o chiavi di accesso che acceda o si trattenga per finalità non consentite. Il reato si configura anche quando vi sia una abusiva permanenza che violi la volontà del titolare dello jus excludendi alios 2. Secondo un diverso orientamento invece, non configura il reato in esame la condotta del soggetto che, avendo titolo per accedere, se ne avvalga per finalità diverse o estranee a quelle del suo ufficio, ferma restando l’eventuale responsabilità per altro reato. ( Migliazzo-Scimia-Peparaio) PQM La configurabilità del reato non tiene conto delle finalità perseguite dall’agente, in quanto lo jus excludendi alios si connette solo al dato oggettivo della permanenza e pertanto la volontà contraria deve essere valutata in relazione al risultato immediato della condotta. Il dissenso tacito del dominus viene desunto dalla violazione oggettiva delle disposizione date, quindi se l’agente compie operazioni consentite, non si configura il reato in esame, anche se tali operazioni consistono nell’acquisizione di dati o in altre attività illecite “ Configura il 615ter la condotta di chi, essendo abilitato all’accesso, violi le condizioni e i limiti impartiti dal titolare del sistema. Non hanno rilievo invece gli scopi e le finalità soggettive che hanno motivato l’accesso” Chiriac – Cass. Pen. 43755/2012 ACCESSO ABUSIVO
IL CASO Chiariac era accusato di essersi introdotto nel sistema POS del distributore di benzina di Beniamino Buono, istallando un microchip idoneo ad intercettare le comunicazioni informatiche del suddetto apparato ed idoneo a scaricare i dati relativi a carte di credito o bancomat, consentendo poi la clonazione delle stesse e l’utilizzazione fraudolenta a danno dei titolari. IL RICORSO La difesa deduce che le informazioni sulle carte di credito non erano state estrapolate da un sistema informatico ma da un semplice supporto fisico. Si sarebbe in presenza di un sistema informatico solo nel caso di supporti utilizzati e connessi per uno scambio di informazioni, dovrebbe dunque esistere un’interazione che consenta di fruire delle informazioni estrapolate. Inoltre si deduce anche il difetto di motivazione relativo al fatto che la Corte d’appello, dopo aver dato rilievo al concetto di violenza sulle cose inteso come alterazione del sistema POS non aveva considerato che il sistema informatico aveva continuato a funzionare, sicchè il flusso fisiologico di dati tra banca e cliente non si era mai interrotto. LA CORTE Il ricorso è infondato. - La definizione di “sistema informatico” è data dall’art. 1 della C. di Budapest: “ qualsiasi sistema idoneo all’elaborazione di dati, intesi come fatti, informazioni o concetti suscettibili di essere utilizzati in un sistema computerizzato. La trasmissione di dati è intesa come flusso di informazioni attraverso un sistema informatico che costituisce una parte della catena di comunicazione. Anche i microchip sono idonei a memorizzare dati informatici ed elaborarli, rendendoli operativi, attraverso la connessione ai POS, accedendo così al sistema informatico finanziario delle banche. - Quando al secondo motivo della non ravvisabilità delle aggravanti, è parimenti infondato. Il reato di indebita utilizzazione di carte di credito ha come scopo primario la tutela dell’interesse pubblico contro fenomeni di riciclaggio e a tutela del patrimonio del privato. Sicuramente natura pubblicistica ha la tutela 7
Diritto Penale dell’Informatica Appunti Luiss - S.C.
del sistema finanziario. La condotta del soggetto che ha alterato il sistema POS manomettendone le funzioni essenziali di affidabilità e segretezza, integra quella violenza sulle cose richiesta dall’art. 392 co. 3 c.p. che si ha quando viene turbato o impedito il funzionamento di un s. informatico.
Scimia – Cass. Pen. 26797/2008 ACCESSO ABUSIVO IL CASO Luciano Scimia, cancelliere presso il GIP del Tribunale di Milano, viene condannato ex. art. 615ter e 326c.p. in quanto risultava effettuato un accesso al RE. Ge con la password assegnata allo stesso al fine di ottenere informazioni su un procedimento pendente. Tali informazioni, coperte da segreto, sarebbero poi state rivelate a terzi. RICORSO Si premette che ciascun cancelliere ha la possibilità di accedere legittimamente ai vari fascicoli processuali di qualsiasi magistrato inserito nel sistema Re.Ge e, nel caso di specie, la password di SCimia era nota e a disposizione di tutti i colleghi dell’ufficio. Di fatto il giudice di primo grado e la Corte di appello avevano basato la sentenza di condanna esclusivamente sul presupposto presuntivo che l’utilizzatore del codice fosse anche l’effettivo titolare. Scimia aveva in buona fede dimostrato di non ricordare l’accesso al procedimento in questione. Doveva escludersi la configurabilità del 615ter perché non si poteva desumere dalla successiva rivelazione del dato che la condotta di accesso fosse stata perpetrata dallo Scimia. LA CORTE Il ricorso è infondato. Dalle prove tecniche risulta che le interrogazioni al sistema Re.ge erano state effettuate dallo stesso Scimia, e che solo lui, dunque, avrebbe potuto poi rivelare queste informazioni (art. 326 c.p.) all’avvocato Colaleo. Peparaio – Cass. Pen. 39290/2009 ACCESSO ABUSIVO IL CASO Guido Peparaio veniva condannato perché, in violazione dei doveri di ufficio, aveva fornito informazioni a terzi, circa lo stato di alcuni procedimenti, acquisendo suddette informazioni tramite accesso abusivo al CED della corte di cassazione LA CORTE Il ricorso per violazione dell’articolo 615ter è fondato. Al Peparaio veniva contestato di essersi introdotto abusivamente nel sistema informatico CED, protetto da misure di sicurezza, allo scopo di acquisire il documento denominato denominazione sintetica del procedimento, relativo allo stato di ricorsi pendenti in Cassazione. L’articolo 615ter prevede due distinte condotte: introdursi o trattenersi abusivamente contro la volontà espressa di chi ha diritto di escluderlo. La dottrina ha sottolineato che la locuzione “abusivamente si introduce” si presta a pericolose dilatazione della fattispecie penale se non intesa nel senso di accesso non autorizzato. La qualifica di abusività va intesa in senso oggettivo, con riferimento alle modalità poste in essere per superare le misure di sicurezza apprestate. La trasmissione delle notizie apprese dalla banca dati non attiene alle modalità che regolano l’accesso al sistema., ma riguarda l’uso successivo che di tali dati si è fatto. Pertanto non integra la fattispecie la condotta del pu che, abilitato all’acceso, usi tali facoltà per finalità estranee all’ufficio in quanto, suddetta 8
Diritto Penale dell’Informatica Appunti Luiss - S.C.
interpretazione oltre a contrastare con il testo della Raccomandazione del Consiglio d’Europa, finisce con intrecciare condotte differenti e alternative. Sarebbe stata pleonastica la descrizione della seconda condotta se la prima fosse integrata anche da chi usa la legittimazione all’accesso per fini diversi da quelli per i quali è legittimato.
Migliazzo – Cass. Pen. 2534/2008 ACCESSO ABUSIVO IL CASO Luca Migliazzo veniva condannato per il reato di cui all’articolo 615ter in quanto, in qualità di operatore telefonico addetto all’esecuzione di provvedimenti dell’a.g. volti all’acquisizione dei dati di traffico della Telecom, aveva formato falsi documenti informatici contenenti dati tratti da provvedimenti già revocati Quanto al reato ascritto la configurabilità sarebbe stata da riconoscere in relazione ai precedenti indirizzi della suprema corte, dovendosi aver presente il concetto di “trattamento” dei dati personali di cui al d.l 196/2003, nella quale è anche ricompresa la semplice consultazone, dovendosi poi considerare, nel caso di specie, il palese dissenso dell’avente diritto (Ministero dell’Interno) sussisterebbe per il solo fatto che risultavano violate le norme giuridiche che stabiliscono i limiti dell’utilizzo della banca dati. LA CORTE IL ricorso non appare meritevole di accoglimento. Nel caso di specie il richiamo alla pronuncia in esame è in conferente in quanto in quel caso si trattava di un accesso volto a controllare la funzionalità del programma informatico al fine di copiare i dati contenuti nel sistema, mentre nel caso in esame il soggetto autorizzato all’accesso e in virtù del medesimo titolo aveva la possibilità di prendere cognizione dei dati del sistema. L’acquisizione dei dati era dunque di per sé legittima, non rilevando che quell’uso fosse già previsto dall’agente o ne costituisse motivazione esclusiva. La sussistenza della volontà contraria va valutata solo in riferimento agli immediati risvolti della condotta e non ai fatti successivi. Se così non fosse, dovrebbe ritenersi che ai fini della consumazione del reato, basti l’intenzione di fare uso illecito di tali dati, con la conseguenza aberrante che il reato non verrebbe meno neanche se poi l’uso, di fatto non vi sia più stato. Inoltre ciò comporterebbe l’aggravante dell’operatore di sistema, gicchè la disposizione dimostra come possa darsi il caso di un operatore legittimato all’accesso ma non legittimato alla permanenza. Genchi – Cass. Pen. 40078/2009 ACCESSO ABUSIVO IL CASO Gioacchino GEnchi veniva condannato per il reato di cui all’articolo 615ter in quanto, utilizzando l’abilitazione del comune di Mazara del Vallo, avrebbe effettuato l’accesso al sistema informatico dell’anagrafe tributaria, acquisendo, elaborando e trattando dati ben oltre i limiti consentiti. Secondo la contestazione provvisoria, si rievoca l’indirizzo interpretativo per il quale la norma in esame punisce non solo chi si introduce abusivamente ma anche chi vi si trattiene contro la volontà dell’avente diritto. Il reato è di mera condotta, si perfezione con la violazione del domicilio informatico, senza che sia necessario che l’introduzione sia effettuata allo scopo di violare la riservatezza degli utenti (il nocumento non è elemento costitutivo di fattispecie). LA CORTE Va esclusa la configurabilità del reato in esame, in quanto Genchi era abilitato a consultare i dati presenti nell’anagrafe dell’Agenzia delle Entrate e non sarebbe ravvisabile una volontà contraria del titolare dello jus ex. 9
Diritto Penale dell’Informatica Appunti Luiss - S.C.
alios. Il Genchi era infatti stato nominato c.t. del pm di Marsala nel procedimento relativo al rapimento di Denise Pipitone e per tale incarico era stato abilitato da Siatel all’accesso al sistema. La qualificazione di abusività va intesa in senso oggettivo in relazione alla condotta volta a superare le misure di sicurezza apprestate. La sussistenza della volontà contraria va accertata esclusivamente in riferimento all’immediato risultato della condotta. Una diversa interpretazione porterebbe alla creazione di una nuova fattispecie frutto dell’intreccio delle due ipotesi previste dal 615ter , che il legislatore ha invece previsto come differenti e alternative. Romano- Cass. pen. 1727/2009 ACCESSO ABUSIVO IL CASO Il Romano, funzionario dell’Agenzia delle Entrate di Palermo, si era introdotto abusivamente nel sistema informatico della predetta amministrazione, inserendovi provvedimenti di sgravio fiscale illegittimi perché mai adottati, in relazione a tributi già iscritti a ruolo per la riscossione coattiva, così alterando i contenuti del sistema in modo da far apparire inesistente il credito tributario. Veniva pertanto condannato in primo e secondo grado. IL RICORSO Secondo la difesa, l’accesso abusivo non si configura nel caso in cui il soggetto, come Romano, sia in possesso di chiavi di accesso o password, in quanto viene meno il carattere dell’abusività LA CORTE Il ricorso è infondato. Il fatto che Romano fosse abilitato ad accedere al sistema non rendeva certo legittimi gli accessi finalizzati ad alterare i dati dell’agenzia dei tributi. Nel caso di specie sussisterebbe un’ipotesi di concorso formale tra accesso abusivo e truffa informatica (640ter) in quanto non si applicherebbe il principio di consunzione poiché diversi sono i beni tutelati. L’accesso deve ritenersi ingiustificato e non può condividersi sul punto la sentenza Scimia che, trascurando il dettato del comma 1 dell’articolo in esame, opina che se l’agente è abilitato all’accesso non è ipotizzabile il reato, intendendo così per accesso abusivo solo quello dell’operatore non abilitato, aggiungendo che l’agire in violazione dei doveri di ufficio non attiene alle modalità che regolano il sistema, ma concerne l’uso successivo dei dati carpiti. Al contrario, il primo comma si riferisce all’intrusione nel sistema da parte di chi non sia abilitato; il capoverso della stessa norma si riferisce invece all’ipotesi in cui l’accesso venga compiuto con abuso di poteri-doveri-operatore di sistema. Pertanto non si tratta di una vera e propria aggravante, ove si consideri che la norma prende in esame soggetti di norma abilitati ad accedere,il cui accesso diviene penalmente rilevante quando tali soggetti abbiano fatto abuso della loro abilitazione.
Zara- Cass. Pen. 12732/2000 ACCESSO ABUSIVO IL CASO A. Zara veniva condannato in ordine al reato di cui all’articolo 615ter in quanto, già socio della società Cediva, aveva iniziato a svolgere una propria attività e non avendo ottenuto di utilizzare come locatario l’impianto informatico della vecchia società, ne aveva copiato i dati così acquisendo un gran numero di clienti della Cediva. RICORSO La difesa ritiene che il reato non si sarebbe configurato in quanto nel caso di specie sarebbero mancate le misure di sicurezza interne al sistema. LA CORTE 10
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Assumono rilevanza non solo le protezione interne al sistema informatico, come le chiavi di accesso, ma anche le protezioni esterne come la custodia degli impianti, soprattutto se si tratta di banche dati private, pertanto interdette a coloro che sono estranei all’impresa. L’articolo 615ter punisce non solo chi acceda abusivamente, ma anche chi vi si trattenga contro la volontà esplicita o implicita dell’avente diritto. La predisposizione di misure di sicurezza assume dunque rilevanza solo in quanto è indice sintomatico della volontà contraria all’accesso. Rileverà dunque qualsiasi meccanismo di selezione dei soggetti abilitati, anche quando si tratti di strumenti esterni e meramente organizzativi, essendo implicita ma intuibile la volontà dell’avente diritto di escludere gli estranei. L’analogia con la fattispecie di violazione di domicilio deve indurre a ritenere che integri la fattispecie anche la condotta del soggetto autorizzato per determinati fini che non rispetti le condizioni cui era subordinato l’accesso. Il ricorso è respinto. Lesce- Cass. Pen. 39620/2010 ACCESSO ABUSIVO E FALSO IN ATTO PUBBLICO IL CASO Lesce Francesco, in qualità di agente della Polstrada, veniva accusato di aver effettuato una interrogazione al CED banca dati del ministero a favore della vettura X, falsamente attestando che tale autovettura fosse stata controllata da una pattuglia in data 22 dicembre 2001. Veniva condannato per falso in entrambi i gradi di merito (ex art. 479). I giudici di merito avevano disatteso la tesi difensiva secondo cui, avendo il Lesce lasciato acceso il pc con la password, non si sarebbe potuto escludere l’accesso da parte di terzi. RICORSO Propone ricorso il procuratore generale contestando che la condotta ascritta al Lesce integrerebbe non un falso ma un accesso abusivo ex art. 615ter. La difesa di parte eccepisce un’erronea applicazione della legge penale in quanto non si sarebbe configurata alcuna fattispecie. LA CORTE Risulta fondato il secondo motivo di ricorso del procuratore generale. In effetti il delitto di falso è ravvisabile quando un pu formi un atto nell’esercizio delle sue funzioni, attestando falsamente quanto avvenuto in sua presenza. Nel caso di specie, il Lesce non avrebbe formato alcun atto, non potendosi così qualificare la redazione di una informativa della polizia stradale. Per accedere al sistema l’imputato aveva usato un artifizio, inventando un controllo mai avvenuto ed utilizzando la password generata dal sistema, indicando un organo richiedere che di fatto non aveva richiesto alcunché. Per superare la protezione prevista dal sistema, l’imputato ha usato una fasulla richiesta di un organo di polizia. Il fatto deve essere dunque diversamente qualificato: il Lesce abusivamente si è introdotto in un sistema protetto del Ministero dell’Interno, dovendosi intendere come accesso abusivo non solo la condotta di chi non abbia nessun titolo per accedere, ma anche quella di chi, pur avendone titolo, lo utilizzi per finalità non consentite. Sala – Cass. Pen. 37322/2008 ACCESSO ABUSIVO E APPROPRIAZIONE INDEBITA IL CASO Renato Sala aveva costituito con altri una associazione denominata Studio associato X, essendone inoltre socio di maggioranza. Altri due soci, Bassani e Maccabelli, si introducevano nel sistema informatico della società prelevandone l’archivio. Negli stessi giorni Sala, parlando con alcuni clienti, riferiva che alcuni soci cercavano di sviare la clientela. Per tali fatti veniva tratto in giudizio ai sensi dell’articolo 595 e 393 cp (ma poi assolto per il 11
Diritto Penale dell’Informatica Appunti Luiss - S.C.
delitto di diffamazione) e gli altri due per appropriazione indebita. La Corte d’appello di Brescia dichiarava inammissibile l’appello di Bassani e Maccabelli, precisando che il reato di appropriazione indebita non era stato correttamente contestato in quanto non si parlava di appropriazione di un pc o di altra cosa mobile altrui e, in riferimento al 615ter, non risultava che il sistema fosse protetto da misure di sicurezza. RICORSO Sarebbe configurabile l’appropriazione indebita in quanto la condotta sarebbe ricaduta su due pc e la copia dei documenti avrebbe comunque costituito appropriazione. Si contestava inoltra la manifesta illogicità della motivazione sul punto della mancanza di misure di sicurezza e sul punto delle legittimazione dei due interessati all’accesso. I computer erano infatti protetti da password e, comunque il dato rilevante atterrebbe alla permanenza al fine di estrarre copia dei files. LA CORTE La corretta qualificazione del fatto è sicuramente quella di cui all’art. 615ter. Si tratta di una norma che tutela una molteplicità di beni eterogenei tra loro (riservatezza, patrimonio, privacy). La norma non tutela solo i contenuti personali dei sistemi informatici, ma anche uno jus exl. alios in riferimento a qualsiasi contenuto dei dati purchè attinenti alla sfera del titolare. Non è un caso che il reato in esame sia stato collocato tra quelli posti a tutela dell’inviolabilità del domicilio, il domicilio informatico sarebbe infatti un’estensione dell’area di rispetto del soggetto interessato. L’articolo in esame non punisce solo chi si introduce, ma anche chi si trattiene nel sistema, ciò a prescindere dal fatto che i presidi di sicurezza abbiano o meno carattere tecnologico, sarebbe sufficiente una semplice password o anche misure esterne di carattere organizzativo che palesino una precisa manifestazione di volontà contraria all’accesso (anche ad esempio le regolamentazioni all’accesso dei locali). L’introdursi in un sistema al fine di duplicare i dati costituisce condotta tipica ex. 615ter perché l’intrusione informatica può sostanziarsi anche in una semplice lettura dei dati contenuti. Nel caso di specie, la copiatura era necessaria far funzionare lo studio concorrente, non veniva compiuta nell’interesse di sala. Quindi priva di pregio è la motivazione secondo cui i due imputati avevano diritto di accesso, in quanto questi tizi non erano certo legittimati ad acquisirne l’archivio. Configura il reato in esame anche il caso in cui il soggetto, legittimamente entrato nel sistema, continui adoperare per finalità non consentite. _______________________________________________________________________________________
2. DANNEGGIAMENTO INFORMATICO (ART. 635bis l. 547/1993 e ART. 635bis, ter, quater, quinquies l. 48/2008) “ Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. 2. Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.”
In materia di danneggiamento informatico il legislatore interviene da ultimo nel 2008, dopo la ratifica della Convenzione di Budapest che richiedeva di prevedere condotte specifiche rispetto a quelle del danneggiamento 12
Diritto Penale dell’Informatica Appunti Luiss - S.C.
ordinario, differenziando tra d. di dati informatici o di sistemi informatici. La nuova partizione si spiega solo a livello sistematico. L’attuale formulazione dell’articolo 635bis, succede all’originaria previsione e si pone in un rapporto di successione di leggi nel tempo, ai sensi dell’articolo 2cp. Oggetto materiale della condotta è il sistema informatico “altrui”; il concetto di altruità può essere inteso come insistenza di un altrui diritto di proprietà o altro diritto reale minore, con l’esclusione dunque delle res nullius e communis omnium. Prima della riforma del 2008 la condotta tipica consisteva nel “distruggere, deteriorare o rendere inservibili, dati, programmi informatici o telematici altrui o sistemi info o telematici altrui”. Differentemente dal danneggiamento puro, ex art. 635, in cui si tutela l’interesse all’intangibilità della cosa e della sua idoneità a servire allo scopo cui era destinata, indipendentemente dal valore economico, il danneggiamento informatico del 635bis tutela l’integrità fisica delle apparecchiature e delle istruzioni di funzionamento incise su taluni componenti. Il bene giuridico tutelato è ancora una volta il patrimonio del soggetto, attualizzato nella forma del patrimonio informatico ( tra le due fattispecie c’è stato dunque un rapporto di successioni di leggi nel tempo, art. 2 cp). Con la convenzione di Budapest si distingue tra danneggiamento di informazioni dati e programmi informatici altrui- non pubblici (art.635bis)e danneggiamento di d. utilizzati dallo stato o di pubblica utilità (art. 635ter). Si differenzia il danneggiamento di singoli dati o di interi sistemi (art. 635quater); anche qui il patrimonio deve essere altrui. -
L’articolo 635bis tipizza la condotta di distruzione, deterioramento, cancellazione, alterazione o soppressione di dati altrui. La procedibilità è a querela salvi i casi di circostanze aggravanti quali violenza, minaccia alla persone, abuso di qualità di operatore del sistema ( non necessariamente un tecnico specializzato ma chi materialmente può operare sul sistema). C’è un adeguamento terminologico alle impostazioni della Convenzione, si introduce la procedibilità a querela o d’ufficio nei casi aggravati.
-
CASISTICA 635BIS
a). dipendente che aveva cancellato hardisk del pc della sua posizione di lavoro dopo averne fatto copia di back-up. In tal caso non rileva la sola cancellazione definitiva, ma anche il caso i cui a fronte della rimozione dei dati è comunque possibile procedere ad un recupero eventualmente solo con uso di procedure che comportano particolari oneri ( Cass. 2728/2011)
-
L’articolo 635ter Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità. “Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni.
13
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata” Tipizza ora il danneggiamento di dati altrui pubblici. Si cambia la struttura del reato, qui è un reato di pericolo che anticipa la tutela. La condotta è qui infatti “ diretta a…”. Il secondo comma invece prevede un reato di danno, qualora le condotte abbiano provocato la distruzione o il deterioramento. Ci si chiede se è un reato autonomo o un delitto aggravato dall’evento, certo è che in termini probatori la condotta deve essere ab origine finalizzata a causare il danno (che deve rientrare nello spettro del dolo). La procedibilità è d’ufficio. -
L’articolo 635quater “Danneggiamento di sistemi informatici o telematici. Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata” Si riferisce alla distruzione dell’intero sistema informatico o telematico altrui o di interesse pubblico. La condotta si realizza attraverso la trasmissione di dati o virus (trojan, orms, logic bombs, spyare, keylog) e si concretizza nella distruzione, danneggiamento che rende inservibile il sistema o ne ostacola il funzionamento. Anche in questo caso la procedibilità è d’ufficio e vi sono le medesime aggravanti.
-
L’articolo 635 quinquies, “Danneggiamento di sistemi informatici o telematici di pubblica utilità. Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”
Si riferisce al danneggiamento si sistemi informatici pubblici. Si rinvia alla disciplina dell’articolo 635ter. Il primo commaè sempre un reato di pericolo, il secondo un reato di danno.
Il concetto di danneggiamento è molto ampio, comprende sia l’inservibilità totale che l’ostacolo al sistema. La fattispecie di danneggiamento si realizza anche quando il dato informatico sia recuperabile. Rilevante è anche la fattispecie dell’articolo 392 c.p., esercizio arbitrario delle proprie ragioni, che al comma terzo comprende l’ipotesi di programma informatico alterato, modificato o cancellato in tutto o in parte. Si tratta di una condotta di
14
Diritto Penale dell’Informatica Appunti Luiss - S.C.
violenza sulle cose. Si dice che integra il reato in esame l’atto informatico di autotutela che comprende le condotte del 635bis e quater. es. Dipendente di società elaboratrice di programmi che sottragga parte di uno di questi programmi, prima concesso in uso, facendone derivare una sottoutilizzazione es. Fornitore di software che contestando inadempimenti contrattuali lo manipoli, attivando abusivamente alcune istruzioni che lo disabilitano a funzioni o ne riducono l’efficienza. Lezione del 19 Marzo 2013 3. LA TUTELA PREVENTIVA DEI SISTEMI INFORMATICI (art. 615 quater-quinquies) ART. 615 QUATER “ Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617 quater” E’ una fattispecie che si ricollega all’accesso abusivo e al danneggiamento informatico, nel senso che costituisce un momento di tutela prodromico alla prevenzione di reati come la truffa informatica (640ter) o i phishing. Si parla di tutela preventiva-norma di sbarramento- perché il 615quater prevede come condotta illecita il “procurarsi, diffondere, comunicare, consegnare codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico protetto” La condotta materiale, che può essere sia materiale che informatica, deve essere assistita dalla finalità di arrecare un danno o di acquisire un profitto (es. commercializzazione della password). Attraverso un secondo passaggio è possibile impedire la commissione di frodi informatiche o altri reati del tipo. Non è però sufficiente l’elemento soggettivo, deve trattarsi di una condotta “abusiva” abusivamente rendere noto il metodo per neutralizzare le barriere di accesso al sistema, sia per la condotta materiale (procurarsi, consegnare, comunicare) sia per la condotta informatica (diffondere, comunicare). Aggravanti. Ci sono poi delle condotte aggravate, per esempio nei casi in cui i mezzi utilizzati siano idonei all’accesso a sistemi pubblici, quando c’è l’abuso della qualità di operatore di sistema, quando il fatto è posto in essere da pu o ips. Non è prevista l’aggravante dell’esercizio della professione di investigatore privato (prevista per l’accesso abusivo). CASISTICA GIURISPRUDENZIALE
15
Diritto Penale dell’Informatica Appunti Luiss - S.C.
1.) Ripresa filmata di codici bancomat al momento dell’utilizzo allo sportello. Gip Milano 2007, in mancanza di prova certa della captazione di almeno un codice si configura il 617quinquies c.p. (installazione di microchip atti ad intercettare comunicazione). In caso di prova certa si configura il 617 quater? (cioè solo quando l’intercettazione abusiva è realmente realizzata) La decisione del gip è stata condizionata dal fatto che si era rinvenuto il dispositivo che riprendeva il cliente allo sportello, ma non c’era la prova certa che ciò sarebbe valso a captare il codice del bancomat. In mancanza di prova della captazione si poteva configurare solo la prima fattispecie.
2.) Procurarsi il numero seriale di un cellulare per clonare l’apparecchio i realizzare una illecita connessione alla rete di telefonia. (Tribunale di Milano, 2000). In questo caso il numero seriale del cellulare è stato considerato un numero-chiave idoneo a consentire l’accesso al servizio di telefonia, quindi si rientra nel 615quater. 3.) Acquisto a fini di profitto di un cellulare che si sappia essere clonato e predisposto per l’accesso alla rete attraverso il codice di altro utente. E’ un reato di ricettazione che ha come reato presupposto proprio il 615quater ( e non il furto), nel quale non deve concorrere l’autore della ricettazione 4.) Possesso di decodificatori di segnali satellitari o di schede per la ricezione dei segnali (es. smart card) Ci sono due indirizzi. Secondo il primo, la condotta non configura il reato in esame poiché il sistema satellitare non è un sistema informatico o telematico protetto da misure di sicurezza, non consente uno scambio di dati biunivoco, ma solo la trasmissione in forma protetta di programmi televisivi agli abbonati ( Cass. 16.04.2003 Amuso). Semmai l’utilizzo di decodificatori integra il 171octies l. 633/1941 (violazione diritto di autore). Secondo pronunce più risalenti configura il reato di cui all’art. 615quater (Cass. Mammoliti, 2002) 5.) Ricarica del cellulare tramite carte di credito telefoniche di illecita provenienza . Qui c’è anche l’utilizzo abusivo di mezzi di pagamento. C’è però anche la possibilità di configurare il reato di cui all’articolo 615ter nel caso in cui il codice della carta sia acquisito attraverso mezzi abusivi di accesso in questo caso abbiamo due fattispecie in progressione criminosa. l’articolo 55 comma 9, D.lgs 231/2007 si riferisce per l’appunto, all’utilizzo abusivo di mezzi di pagamento e punisce chiunque al fine di trarre profitto per sé o altri, indebitamente utilizza, non essendone titolare, carte di credito o pagamento, ovvero qualsiasi altro documento che abiliti al prelievo di denaro contante o all’acquisto di bene/prestazione di servizi. Alla stessa pena soggiace ch falsifica o altera carte di credito o pagamento / documenti analoghi che consentono (etc), ovvero possiede, cede o acquisisce carte o documenti di provenienza illecita o comunque falsificati, alterati, nonché ordini di pagamento prodotti con essi. Art. 615-quinquies. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito” 16
Diritto Penale dell’Informatica Appunti Luiss - S.C.
E’una norma di sbarramento rispetto al danneggiamento informatico e al danneggiamento telematico. La tutela anticipata riguarda i c.d. programmi virus (es. logic bombs), ed è anticipata nel senso che il reato si consuma anche se il programma nocivo non ha prodotto danni ma possegga, in concreto, potenzialità distruttive. E’ un reato di pericolo a dolo specifico (allo scopo di danneggiare..) Le motivazioni sottese alla creazione dei virus invece esulano dal dolo specifico (può trattarsi di scopo vandalico, estorsivo, ragioni economiche). La norma richiede solo che ci si procuri il virus allo scopo di danneggiare, ostacolare etc. La condotta materiale consiste nel procurarsi produrre, riprodurre etc. che ricade su dispositivi o programmi informatici. Sarà invece irrilevante il numero di dispositivi ritrovati. Il bene tutelato è il diritto a godere in maniera completa e indisturbata di sistemi e programmi senza che gli stessi rischino di essere danneggiati Così come previsto dalla convenzione di Budapest che ha imposto l’introduzione di queste fattispecie e aveva come scopo quello di dettare delle forme di tutela che poi i vari stati membri avrebbero dovuto introdurre. Ed ecco perché il nostro legislatore ha ritenuto necessario introdurre forme di tutela preventiva. Certo il numero di dispositivi ritrovati potrebbe valere come prova dell’elemento soggettivo (nel senso come minchia lo giustifichi un numero spropositato di virus?!) VIRUS INFORMATICO Per virus informatico si intende “un programma informatico avente per scopo o per effetto il danneggiamento di un sistema informatico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione o l’alterazione del suo funzionamento” ( DPR 68/2005, art. 1. comma, 2. lett. m). Chiaramente è una definizione normativa, assolutamente atecnica, che serve a far comprendere il significato corrente. Ci sono varie categorie di virus che si replicano ed hanno bisogno di un portatore (shell virus, add on virus, intrusive virus). I virus possono essere veicolati da trojan (che non si replicano ma possono danneggiare file), da worms (si replicano ma non hanno bisogno del portatore). Diciamo che non sono propriamente virus. 4. FRODE INFORMATICA Art. 640ter “Chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi ad esso pertinenti, procura a sé o altri un ingiusto profitto con altrui danno” E’ un reato introdotto nel 1993 e collocato nell’ambito dei reati contro il patrimonio mediante condotta artificiosa, subito dopo la fattispecie di truffa. L’esigenza del legislatore del 1993 era di arginare gli episodi truffaldini che non avvenissero solo via web (che è una ipotesi particolare della fattispecie di truffa, si parla di truffa e-bay i cui artifici o raggiri si realizzano sul web). Cosa diversa è invece la “frode informatica”. La strutturazione della norma è molto simile alla disciplina della truffa ordinaria di cui al 640 c.p. : “ Chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o intervenendo senza diritto su dati, informazioni o programmi procura a sé o ad altri un ingiusto profitto con altrui danno” La condotta agisce sul sistema informatico e si articola nella condotta di alterazione e in quella di 17
Diritto Penale dell’Informatica Appunti Luiss - S.C.
intervento senza diritto. L’attività fraudolenta dell’agente però, in questo caso non investe un soggetto passivo, bensì il sistema informatico manipolato. La persona offesa non è dunque soggetto passivo della condotta dell’agente. CASISTICA, in relazione alla legge introduttiva della frode informatica L 547/1993. Il legislatore prende atto dell’evoluzione casistica. Il tribunale di Roma, 14.12. 1985 aveva ritenuto applicabile l’ipotesi di truffa nel caso in dipendente di banca che attraverso l’immissione di dati non veri, faceva risultare avvenuti per contanti pagamenti effettuati per assegno ( con profitto per i clienti e danno per la banca essendo poi risultati scoperti), ritenendo sussistente un inganno agli organi di controllo della banca. Gli organi di controllo, estendendo al massimo la fattispecie di truffa, venivano ritenuti soggetti passivi del reato. In realtà il sistema bancario non ha veri e propri organi di controllo Tribunale di Roma, 20.06.1985, ravvisava la truffa ai danni dell’INPS nella condotta di chi aveva inserito dati falsi nel pc, ipotizzando la sussistenza di una induzione in errore nei confronti delle persone preposte al controllo dei versamenti dei contributi.
Il bene tutelato. E’ un delitto contro il patrimonio mediante frode (c.d. cooperazione artificiosa) posta a tutela del patrimonio (inteso in senso ampio, come interessa a godere dei diritti anche non patrimoniali che possono essere compromessi tramite pc), della riservatezza informatica (interesse del titolare a godere liberamente e senza intromissioni del proprio sistema informatico). E’ una fattispecie plurioffensiva che tutela anche la speditezza del traffico giuridico basato sui sistemi informatici. Questa connotazione plurioffensiva è dovuta al fatto che con l’introduzione dei reati informatici si è acceso un dibattito dottrinale volto a comprendere se il bene tutelato fosse solo il patrimonio o si apprestassero anche nuove forme di tutela. La condotta tipica della truffa 640 cp. Nella truffa sono necessari gli artifizi e raggiri che provocano come evento intermedio l’induzione in errore e l’atto di disposizione patrimoniale ( che è un elemento tacito poiché l’induzione in errore, in quanto stato psicologico, non può di per sé produrre un danno o un vantaggio se non a fronte di un comportamento materiale da parte della vittima; la giurisprudenza avalla una lettura estensiva della disposizione patrimoniale, non limitata all’atto negoziale, es. esibizione di un tagliando assicurativo falsificato truffa ai danni del fisco). L’evento finale è invece l’ingiusto profitto o l’altrui danno, tenendo conto del fatto che soggetto titolare del patrimonio aggredito e soggetto ingannato possono non coincidere). Differenze: il riferimento alle note modali (artifizi o raggiri) è sostituito dalla manipolazione del sistema o dall’intervento senza diritto/ manca l’induzione in errore sostituita dall’equivalente dell’irregolare funzionamento del processo di elaborazione. Affinità: condotta latu sensu truffaldina, fattispecie autonoma e non truffa aggravata La condotta tipica La condotta è bipartita ( alterazione in qualsiasi modo del funzionamento del sistema o intervento senza diritto con qualsiasi modalità ) che comprende anche eventi intermedi quali l’irregolare processo 18
Diritto Penale dell’Informatica Appunti Luiss - S.C.
di elaborazione del sistema informatico (sarebbe l’induzione in errore, è come se soggetto passivo raggirato fosse il sistema informatico) e la disposizione patrimoniale posta in essere dall’elaboratore. L’evento finale consiste nel danno e nell’ingiusto profitto.
“ALTERAZIONE DEL FUNZIONAMENTO” è una qualsiasi modifica del regolare processo di elaborazione, lettura, emissione o trasmissione di dati, che può riguardare sia un software che un hardware. La modificazione produce come evento intermedio il risultato irregolare dell’elaborazione informatica. “INTERVENTO SENZA DIRITTO” è una sorta di manipolazione del sistema? la giurisprudenza e la dottrina hanno assunto posizioni differenti. Cass. Pen. Gabbriellini sì, non risponde di frode informatica ma di furto bancario chi si impossessa di somme depositate su conti correnti mediante operazioni effettuate tramite terminale. Cass. Pen. Fica Iovan no, l’intervento può avvenire con qualsiasi modalità come nel caso di utilizzo di carte clonate e codici abusivamente acquisiti per operazioni di prelievo di contanti mediante servizi di cassa continua. Ci si chiedeva se l’intervento dovesse essere accompagnato necessariamente da una alterazione del sistema o se bastasse il vizio di input (cioè di accesso, di intervento seguito da uno svolgimento regolare che produce risultati irregolari solo perché l’input era irregolare). Quali ricadute? Se la condotta di intervento si intende come manipolazione non potrà applicarsi l’articolo 640ter al caso di furto di identità. In sostanza la giurisprudenza intende l’intervento senza diritto come esercizio al di fuori di ogni facoltà legittima Caso Varriano, il dipendente di banca che si impossessa mediante movimentazione di terminali ed operazioni ordinarie su sistema informatico di somme dei clienti depositate sui c/c non risponde di truffa informatica ma di furto aggravato perché manca l’abusività dell’intervento. E’ una ricostruzione che non convince perché il soggetto seppur legittimato esorbita i limiti della legittimazione Ci sono poi particolari tipi di sistemi informatici e telematici come la rete di telefonia mobile o fissa, i sistemi di trasmissione televisiva in digitale e gli apparecchi elettronici che forniscono beni e servizi ( secondo una lettura estensiva si tratta di dispositivi che comunque provvedono alla lettura e all’elaborazione di dati impressi nella scheda magnetica. Secondo altra dottrina si configura la truffa informatica nel caso di dispositivi che forniscono servizi e il furto per quelli che forniscono beni). E’ un reato procedibile a querela nelle ipotesi semplici, d’ufficio nelle ipotesi aggravate di fatto commesso ai danni dello stato o commesso da operatore di sistema ( ratio : l’operatore viola il rapporto di fiducia che lo lega al titolare del sistema e sfrutta la sua particolare posizione derivante dalle mansioni svolte)
Può concorrere con altri reati come l’accesso abusivo (615ter) o con la diffusione dei dispositivi di accesso (615quater). Se comporta l’immissione di dati non genuini, può concorrere anche col falso informatico (491bis). Rispetto all’indebito utilizzo di mezzi di pagamento (art. 55 d.lgs 231/2007) non si tratta di concorso ma di sovrapposizione della frode informatica quando l’utilizzazione fraudolente del sistema assorbe la generica indebita utilizzazione di carte di credito( vige il principio di specialità). 19
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Art. 640 quinquies Frode informatica del soggetto che presta servizi di certificazione di firma elettronica. “Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro” E’ un reato che nonostante il nomen non importa una condotta truffaldina, né di alterazione o intervento senza diritto. Si tratta di una violazione dolosa di alcune norme extrapenale previste in funzione di garanzia da parte di chi presta servizi di certificazione di firma elettronica ( d.lgs 82/2005) TRUFFA E-BAY In tali ipotesi gli artifizi e raggiri vengono commessi tramite il sistema informatico e lo stesso atto di disposizione patrimoniale avviene per via info/telematica. E’ una fattispecie che pone problemi di competenza territoriale.: dove si consuma il reato? dov’è conseguito il profitto con pari danno altrui? PAGAMENTO TRAMITE BONIFICO si consuma nel luogo in cui è acceso il conto corrente dell’indagato. PAGAMENTO TRAMITE POSTE PAY 1.si consuma nel luogo in cui viene effettuata la ricarica ( ufficio postale spesso nei pressi della residenza, c’è la possibilità di agevolare l’identificazione del colpevole e la partecipazione della vittima al processo), ma è il luogo del depauperamento, non del profitto.2. Nel luogo di residenza dell’indagato ( c’è la possibilità di determinare il luogo dell’evento e un unico ufficio di procura si occuperebbe dei truffatori seriali). La cassazione avalla il primo criterio sul presupposto che in presenza di un rapporto elettronico il depauperamento ed il profitto coincidono. PAGAMENTO TRAMITE PAYPAL stesse soluzioni precedenti SENTENZE DE LA PARRA- Cass. Pen. 09891/2011 FRODE INFORMATICA IL CASO L’imputato era ritenuto responsabile del reato suindicato perché, al fine di procurarsi in ingiusto profitto, introducendosi abusivamente nel sistema delle Poste Italiane, contro la volontà del titolare del diritto, interveniva sul conto corrente postale di Casavola Vania, utilizzando una postazione informatica tramite codici di accesso di appartenenza della stessa, trasferendo poi sul proprio conto, tramite bonifico, 9000 euro. IL RICORSO La difesa eccepiva una violazione dell’articolo 640ter c. in quanto non sarebbe configurabile una frode informatica in presenza di un normale funzionamento del sistema, in assenza di alcuna alterazione, atteso che oggetto di contestazione non sono fatti di hacker aggio, ma utilizzo di codici di accesso che non implicano alcuna alterazione del sistema, tutt’al più si configurerebbe un accesso abusivo (615ter) LA CORTE Il ricorso è infondato. Innanzitutto ai fini del reato di frode informatica, differentemente dalla truffa in cui l’attività fraudolenta ricade sulla persona, non esiste un soggetto passivo, ma l’induzione in errore ricade sul sistema. Non si configura l’accesso abusivo perché, il fatto contestato all’imputato prevede un’attività fraudolenta finalizzata all’apprensione di denaro (ingiusto profitto), non prevista dal 615ter (che è reato v.s. inviolabilità del domicilio). Il 640ter prevede due condotte. La prima consiste nell’alterazione del funzionamento del sistema, intesa come ogni attività o omissione che, attraverso la manipolazione dei dati, incide sul regolare funzionamento del sistema. Ciò 20
Diritto Penale dell’Informatica Appunti Luiss - S.C.
distingue tale fattispecie dal danneggiamento, che a sua volta non prevede alcun ingiusto profitto e in cui l’oggetto materiale è costituito dal mero danneggiamento del sistema (rendendolo inservibile o ostacolandone il funzionamento. La seconda condotta consiste nell’intervento senza diritto. Si tratta di una condotta libera finalizzata pur sempre ad un profitto che si concretizza nella condotta intrusiva ma non alterativa del sistema. Nel caso in esame, l’utilizzo di codici di terzi integra tale fattispecie ove questi codici siano utilizzati per intervenire senza diritto su informazioni o dati di un sistema al fine di procurarsi un ingiusto profitto. L’imputato ha utilizzato la password del correntista per accedere all’home banking e stornarne i fondi sul proprio conto, integrando così il reato a lui ascritto. MASELLI – Cass. Pen. 27135/2010 FRODE INFORMATICA IL CASO Maselli e altri si erano associati nell’attività di distribuzione a gestori di esercizi pubblici di apparecchi di intrattenimento modificati in modo tale da perpetrare la truffa ai danni dello Stato, attraverso l’utilizzo di alcune componenti chiamate “abbattitore” ( collegato al fcavo di trasmissione del flusso telematico di dati e idoneo ad interromperlo inviando dati non veritieri del volume di gioco) e “doppia scheda”, (inserita nell’apparecchiatura di intrattenimento al fine di trasformarla in una slot machine, consentendo il gioco di azzardo senza collegamento alla AAMS, quindi senza addebito dell’imposta erariale. RICORSO La difesa sosteneva che la seconda scheda non dava luogo ad alterazione del software ma solo a introduzione di nuovo gioco in aggiunta a quello originario; nessun collegamento telematico era stato attivato, quindi il sistema che si pretendeva frodato non era mai esistito. LA CORTE Il ricorso è infondato. L’introduzione di una seconda scheda ha comportato lo stravolgimento delle caratteristiche dell’apparecchio, rendendolo riconducibile alla tipologia di gioco d’azzardo. Poiché la scheda originaria era sede del software del sistema informatico, è innegabile che la sua sostituzione abbia comportato l’attivazione di un diverso programma e, dunque, l’alterazione del funzionamento del sistema. Non rileva infatti che il software originariamente contenuto sia rimasto inalterato e funzionante, né si richiede che vi sia un intervento su dati, ciò che rileva è l’acquisizione di ingiusto profitto con altrui danno. FICA IOVAN – Cass. Pen. 17748/2011 FRODE INFORMATICA IL CASO I due imputati erano stati condannati per i reati in epigrafe IL RICORSO La difesa eccepisce che la detenzione e l’utilizzo di carte clonate non può assimilarsi alla condotta del pirata informatico, poiché l’agente in tali casi non si introduce nel sistema ma si ferma “ai margini dello stesso”. LA CORTE Il ricorso è infondato. L’introduzione della fattispecie in esame è volta a porre rimedio ai fatti di criminalità informatica, tutelando sia il patrimonio del danneggiato, sia il regolare funzionamento dei sistemi informatici. E’ dunque una fattispecie autonoma di reato, di natura plurioffensiva. La prima condotta consiste nell’alterazione, intesa come intervento modificativo o manipolativo del sistema che viene “distratto” dai sui schemi predefiniti in vista del raggiungimento di un ingiusto profitto. La seconda condotta consiste nell’intervento senza diritto, una condotta a forma libera ascrivibile a chi “penetra” nel sistema e opera su dati o informazioni senza che il sistema 21
Diritto Penale dell’Informatica Appunti Luiss - S.C.
risulti però alterato. Nel caso di specie, attraverso l’uso di carte clonate, gli imputati sono penetrati abusivamente nel sistema, alterando dati contabili mediante abusivi ordini di operazioni bancarie, effettuando dei trasferimenti attraverso i servizi di cassa continua. Una condotta, quella degli imputati, analoga a chi entrato in possesso di chiavi, le utilizzi contra ius, penetrando nel sistema per procurarsi un ingiusto profitto con altrui danno. Non c’è concorso apparente di norme con l’articolo 55 del d.lgs 231/2007 perché i fatti posti a fondamento dell’indebita detenzione di carte e quelli posti alla base della frode sono diversi; le strutture dei due reati portano a ritenere applicabile il solo art. 640ter che è caratterizzato dall’elemento specializzante dell’utilizzazione fraudolenta del sistema, che assorbe la generica indebita utilizzazione di carte clonate, secondo quanto previsto dal principio di specialità.
Lezione del 26 Marzo 2013 5. PHISHING – FURTO DI IDENTITA’ Si tratta di una fattispecie per la quale non è prevista una specifica norma incriminatrice, la locuzione deriva dai termini Password+ fishing : pesca di password. Si tratta di una tecnica di social engineering, cioè una metodologia usata per carpire informazioni personali o abitudini di vita di un soggetto. I problemi di repressione del fenomeno riguardano la difficoltà nella localizzazione dei server dai quali partone le mail o che contengono i siti clone, nonché dalla limitata permanenza on-line del phishing-site. Ci sono state delle “spinte” legislative ( su influsso dell’esperienza USA), tra cui si ricorda: DDL 57/2008, Disposizioni in materia di prevenzione delle frodi nel settore del consumo, dei pagamenti dilazionati o differiti e del settore assicurativo; l’introduzione dell’articolo 494 bis c.p. (frode con falsa identità. C’è poi l’ulteriore necessità di introdurre una normativa in grado di depotenziare a monte l’aumento delle frodi creditizie correlate alla fattispecie di furto d’identità, anche in corrispondenza della necessità di contenimento dell’aumento dei tassi praticati dal sistema bancario. STRUTTRUA DEL REATO 1° fase phinshing attacks Consiste nel fare in modo da indurre l’utente-vittima a fornire informazioni che lo riguardano, come le credenziali di autenticazione a servizi bancari, i numeri delle carte di credito. Possono utilizzarsi vari metodi, come ad esempio la “mail-esca”, cioè l’invio di mail volte a far connettere l’utente su una web phinshing voip (indicando un numero telefonico), tramite, ad esempio, l’inoltro di offerte di lavoro o tramite trojan, malware. Il mero invio della mail non integra un’alterazione del funzionamento del sistema, a meno che non contenga un software auto istallante. Altro metodo consiste nell’invio di sms, in questo caso si parla di Smshing. Quali norme applicabili? -Art. 494 Sostituzione di persona “Chiunque, al fine di procurare a sè o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sè o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno. Può consistere nella creazione ed utilizzazione di un account di posta elettronica, attribuendosi un falso nome o fale generalità, al fine di trarre in inganno gli utenti della rete, arrecando un danno al soggetto sostituito. 22
Diritto Penale dell’Informatica Appunti Luiss - S.C.
- Art. 615quinquies (vedi prima), Diffusione di programmi atti a danneggiare un sistema informatico, se la condotta volta all’acquisizione di credenziali viene perpetrata attraverso la collocazione di virus ( su un sito cui si rinvia o tramite allegato mail) 2° fase Pesca, attività volta all’acquisizione materiale dei dati riservati al soggetto utente o fruitore del servizio. -Art. 624 Furto -Art. 615 quater Detenzione abusiva di codici 3°fase utilizzo dei dati conseguito per accedere a servizi on-line, assumendo virtualmente l’identità del legittimo titolare -Art. 640 Truffa. Sarebbe una condotta artificiosa che produrrebbe come evento intermedio l’indizione in errore e la conseguente cooperazione artificiosa della vittima. Sarebbe poi presente sia il danno che il vantaggio MA mancherebbe l’elemento di disposizione patrimoniale -Art. 640ter Frode informatica. Tuttavia le procedure informatiche, nel caso del phinshing, vengono attivate in modo regolare, sebbene non conformemente alla reale volontà del soggetto ingannato. Diversa è l’ipotesi di Pharming – reindirizzamento dell’utente su altro IP, in questo caso effettivamente si realizza un’alterazione del funzionamento del sistema -Art. 615ter Accesso abusivo. Il phisher accede abusivamente nel sistema informatico altrui Il diritto di querela spetterebbe al fruitore dell’home banking che viene tratto in inganno e subisce il danno per aver ceduto le proprie credenziali o anche all’istituto di credito, allorquando subisca un danno patrimoniale ricollegabile alle procedure poste in essere per prevenire il fenomeno (es. monitoraggio transazioni). Si tenga conto che il sistema bancario italiano, ad esempio, non consente di effettuare bonifici verso l’estero se non a seguito di specifici controlli. Ciò spiega il motivo per cui i Phiser hanno bisogno di complici per attivare conti correnti in Italia da dove far transitare il denaro Giurisprudenza di merito e di legittimità 1. Tribunale di Catania, furto con destrezza 2. Gip Milano 2006, frode informatica e detenzione di codici d’accesso + diffusione di programmi atti a danneggiare sistema informatico / riciclaggio 3. Trib, Milano 2007, sostituzione di persona, truffa e uso indebito di carte di credito 4.Cass. 4576/2003, frode informatica 5.Cass DE LA PARRA, frode informatica. “ l’abusivo utilizzo di codici ottenuti contro o all’insaputa del titolare, integrano la fattispecie del 640ter ove questi codici siano utilizzati per intervenire senza diritto su informazioni o programmi, al fine di procurarsi un ingiusto profitto” SMSHISHING (Casistica) 1. Tizio viene imputato dei delitti di cui agli artt. 494 e 640 c.p. perché, attraverso un massiccio invio di sms ad ipotetici titolare di carta di credito( testo “ Chiami il numero 02xxxxxx di Servizi interbancari per verificare la transazione con la sua carta di credito al fine di verificare usi fraudolenti), induceva i destinatari in errore sulla provenienza degli sms medesimi, sostituendo la propria persona a quella del titolare del servizio bancario, 23
Diritto Penale dell’Informatica Appunti Luiss - S.C.
inducendo a rivelare i dati relativi alla carta di credito, procurandosi così un ingiusto profitto a danno di CartaSI nonché dei titolari delle carte (tenuto conto delle spese da essi sostenuto per eliminare il meccanismo criminoso nei loro. Con l’aggravante di aver compiuto il fatto al fine di eseguirne un altro, di cui al secondo capo: 2. Con più atti attuativi del medesimo disegno criminoso, Tizio, dopo aver acquisito fraudolentemente i dati delle carte di credito, le utilizzava per effettuare acquisti via internet. Tribunale Milano 15-10-2007 FURTO DI IDENTITA’ (Cass. Pen. 46674/2007) Il caso Adinolfi veniva imputato per furto di identità poiché aveva creato un account di posta elettronica, apparentemente intestato a Alessandra Tovagli, utilizzato per allacciare rapporti con utenti della rete, inducendo in errore il gestore del sito e gli utenti, attribuendosi il falso nome della vittima La Corte Oggetto di tutela è la pubblica fede, che può essere sorpresa con inganni relativi alla vera essenza di una persona o alla sua identità. Inganni che possono superare la cerchia del solo destinatario, insidiando così la pubblica fede. Nel caso in esame il soggetto ha indotto in errore non tanto il fornitore del servizio di posta, quanto piuttosto gli utenti della rete, i quali ritenevano di interloquire con persona diversa. Il danno richiesto dalla fattispecie è qui consistito nella subdola inclusione della persona offesa in una corrispondenza idonea a lederne l’immagine e la dignità.
Lezione del 9 Aprile 2013 [DA QUI DEVI AGGIUNGERE APPUNTI DELLE LEZIONI ] 6. I REATI IN INTERNET 6.1. La diffamazione a mezzo internet La rete è considerata come uno spazio virtuale senza confini territoriali, nel quale le condotte poste in essere producono effetti in tempi e luoghi differenti, anche contestualmente. Vi sono dunque non trascurabili problemi di determinazione della giurisdizione e della competenze che, di norma, vengo risolti facendo riferimento ai principi enunciati dal codice penale: l’art. 3 sul principio di territorialità (si applica la legge italiana a reati commessi da cittadini o stranieri nel territorio della Repubblica), l’art. 6 sul principio di ubiquità ( un reato si considera commesso nel territorio italiano quando ivi si verifichi la condotta o l’evento), gli artt. 9 e 10 ( delitto comune del cittadino all’estero e delitto comune dello straniero all’estero ma a danno di un cittadino italiano). C’è dunque la possibilità che un soggetto sia chiamato a rispondere dello stesso reato in Stati diversi e, a seconda di dove sia avvenuta la condotta o l’evento, diverse possono essere le pene applicabili. DIFFAMAZIONE TRASNFRONTALIERA Per tale fattispecie la Corte di Giustizia UE ha dettato alcuni criteri in vista dell’individuazione del giudice competente: il giudice dello stato in cui risiede il diffamato, il giudice del luogo dove si trova chi ha pubblicato contenuti diffamatori, quello del luogo dove è apparsa la notizia. 24
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Quando la diffamazione avviene tramite internet, la nostra giurisprudenza afferma la giurisdizione del giudice italiano in tutti i casi in cui i contenuti offensivi o denigratori abbiano prodotto un’offesa percepita da pi fruitori in Italia, anche se il sito web è registrato all’estero. [ Cass. 4741/2000- Cass. 36721/2008) La diffamazione ex art. 595 co. 3 c.p. “Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone, offende l'altrui reputazione, è punito . Se l'offesa consiste nell'attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, Se l'offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico [c.c. 2699] (5), la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a euro 516 .” La diffamazione è uno dei reati eventualmente informatici che può realizzarsi tramite la rete. In tutti questi casi assume il carattere di diffamazione aggravata perché si realizza attraverso il mezzo di pubblicità. La diffamazione “ordinaria” ha un ambito di lesività molto più ristretto. Dunque, l’immissioni in internet di contenuti offensivi, scritti o immagini denigratorie, integra il reato di diffamazione aggravata. Difatti, il sito web è per sua natura idoneo a portare la notizia a conoscenza di una molteplicità di utenti, la rete è un mezzo di pubblicità potentissimo che, a differenza degli altri mezzi di comunicazione di massa, premette di immagazzinare la notizia ovvero il messaggio diffamatorio non è destinato all’oblio come nelle notizie di stampa cartacee, potenzialmente potrebbe rimanere nella rete sine die ( cosa che può accadere anche nei giornali on-line). E’ proprio per questo motivo che nelle querele molto spesso si chiede l’oscuramento del sito. Le comunicazioni web cui si fa riferimento posso svolgersi tramite blog o forum; l’approccio a questi tipi di reato deve essere di tipo desensibilizzante non si tratta di mezzi di stampa ordinaria, si esclude la responsabilità del direttore del giornale online ( no art. 57 secondo la Cort. Cass. sarebbe una applicazione in malam partem, le caratteristiche di comunicazione della rete non sono assimilabili a quelli della carta stampata). Per quanto concerne gli interventi sui blog bisogna distinguere tra i casi in cui gli utenti siano soggetti informati sul tema oggetto del forum e i casi in cui non ci sia una specializzazione in tal senso: nel primo caso il “giornalista” si occupa di interventi più meditati; nel secondo caso invece si utilizzano minori filtri, c’è una minore continenza linguistica, ma c’è anche una minore meditazione delle affermazioni, dovuta al fatto che c’è minore inibizione. Dunque c’è un atteggiamento meno rigoroso La diffamazione e i diritti costituzionali Una prima problematica consiste nello stabilire quali siano i limiti di configurazione del reato in esame rispetto a diritti costituzionalmente garantiti come il diritto di manifestare liberamente il proprio pensiero, con lo scritto e ogni altro mezzo di diffusione (art. 21), la libertà di comunicazione (art.15). In linea di massima, non solo i giornalisti, ma chiunque può narrare o esprimere opinioni nel rispetto del diritto di critica e di cronaca, posti a tutela dell’onore e della reputazione altrui. La scriminante dell’esercizio del diritto di cronaca (art. 51cp) opera solo nel caso in cui siano verificate delle condizioni: l’argomento deve essere di rilievo sociale, l’informazione deve essere veridica, obiettiva e corretta nella forma espositiva. Per quanto riguarda il linguaggio si deve tenere conto che non si può paragonare la strutturazione di un cartaceo a quella della comunicazione online. Il diritto di cronaca consiste nella narrazione dei fatti; il diritto di critica, invece, consiste nella manifestazione di un giudizio che non sarà mai totalmente obiettivo, “posto che la critica non può che essere fondata su 25
Diritto Penale dell’Informatica Appunti Luiss - S.C.
un’interpretazione necessariamente soggettiva dei fatti”. I limiti del diritto di critica sono in sostanza pi ampi e si intendono superati “quando l’agente trascende in attacchi personali, diretti a colpire sul piano individuale, senza alcuna finalità di pubblico interesse, la figura morale del soggetto criticato” Le comunicazioni in rete e la desensibilizzazione oggettiva Come si diceva diversi sono i canali attraverso i quali può essere perpetrato il reato di diffamazione via web. Innanzitutto i blog personali o collettivi; i forum, comunità virtuali in cui gli utenti scambiano informazioni su temi di interesse comune; l’agorà telematica, nella quale si prende parola senza filtri o controlli, con una marcata dose di soggettivismo ed estemporaneità ( ciò potrebbe indurre l’utente a frenare la propria offensività, soprattutto se non dotato di documenti che attestino la veridicità delle sue opinioni). Insomma c’è una pericolosità attenuata dovuta alla minore identificabilità del soggetto; c’è un depotenziamento dell’offesa. Così si espresse la Cassazione nel 1992 sull’utilizzo del web per fini di propaganda politca. Ci sono delle differenze con la diffamazione a mezzo stampa 1. Non si applica l’articolo 57cp (resp. omissiva colposa del direttore) al giornale c..d. telematico, perché sarebbe analogia in malam partem. VEDI SENTENZA SUCCESSIVA 2. L’informazione online non può essere ricompresa nel concetto di stampa, né la legge sull’editoria prevede un’espressa posizione di garanzia per il provider da cui far discendere una responsabilità colposa (sarebbe, semmai, oggettiva). Se il legislatore avesse voluto equiparare il giornale web alla stampa avrebbe potuto farlo con la legge 62/2001 sull’editoria. Competenza Molto spesso ci sono difficoltà ad individuare competenza e giurisdizione, perché il server su cui poggia il sito web su cui è pubblicato il giornale può essere allocato all’estero, quindi la diffusione della notizia potrebbe avvenire fuori dal territorio italiano. Tuttavia per il principio di ubiquità di afferma la giurisdizione italiana anche quando una minima parte dell’azione sia avvenuta in tale luogo. Sono stati elaborati dei criteri -Il primo criterio radica la competenza nel luogo di partenze delle informazioni diffamatorie (dove si trova il server nel quale è allocato lo spazio web), in quanto l’immissione di tali contenuti equivale alla pubblicazione della notizia su cartaceo ed è idonea alla diffusione degli stessi ad un numero cospicuo di utenti. ( Contra: I dati tuttavia rimangono immagazzinati nel server e sempre a disposizione degli utenti. -Il secondo criterio radica la competenza nel luogo di percezione delle informazioni, dove si verifica l’evento offensivo e si consuma il reato (cioè nel luogo in cui si connette il fruitore. -Il terzo criterio tiene conto della percezione dell’offesa e radica la competenza nel luogo di residenza domicilio o dimora della persona offesa -Il quarto criterio, tenendo conto dell’inutilizzabilità di criteri oggettivi unici, individua la competenza nel luogo di residenza, dimora o domicilio dell’indagato. Nella diffamazione non sempre esistono problemi di identificazione del responsabile perché attraverso le comunicazioni web è sempre abbastanza agevole trovare delle tracce del soggetto. Ad esempio il Tribunale di Livorno si è occupato di un caso di diffamazione via face book, occupandosi della riconducibilità del messaggio 26
Diritto Penale dell’Informatica Appunti Luiss - S.C.
alla responsabile: “sebbene nella rete pullulano indicazioni e comunicazioni anonime (si dichiara di aver subito un furto di identitià), spesso non si hanno difficoltà insormontabili ad identificare l’effettivo responsabile anche attraverso un ragionamento logico-deduttivo ( Ip, conoscenza del centro benessere, licenziamento) -
Il sequestro preventivo che in sostanza consiste nell’oscuramento del sito web è di norma sempre concesso perché immediatamente valevole a soddisfare le richieste del diffamato (ovvero far cessare la diffamazione)
Il provider e la posizione di garanzia Le posizioni di garanzia possono essere originarie, quando nascono per effetto del ruolo o della posizione rivestita, o derivate, quando sorgono per effetto di un atto negoziale. Si distingue poi tra posizioni di protezione, che nascono dalla legge, anche extrapenale, da contratto o da assunzione volontaria del ruolo di garante, e posizioni di controllo, che nascono dalla legge quando il titolare si trova impossibilitato a proteggere il bene, perché l’obbligato ha la signoria sulla sorgente da cui sorge il pericolo. Il d.lgs 70/2003 si occupa della responsabilità del provider (art. 14ss). Si distinguono tre figure di provider: il provider mere conduit, semplice trasporto di dati; il cach provider, che immagazzina le informazioni temporaneamente per agevolarne la trasmissione a terzi; l’host provider, che memorizza le informazioni fornite dal destinatario del servizio. Le norme suindicate impongo al provider di agire prontamente per rimuovere le informazioni diffamatore quando un organo giurisdizionale o amministrativo ne richiede la rimozione/disabilitazione. L’articolo 16 esclude la responsabilità del provider che non sia a conoscenza del fatto che l’attività del terzo è illecita o non sia al corrente di fatti e circostanza che rendono manifesta tale illiceità. L’articolo 17 conferma l’inesistenza di un obbligo generale di sorveglianza delle informazioni memorizzate o trasmesse. ( Il content provider, che predispone il contenuto del sito, può però rispondere a titolo diretto. Trib. Roma, 1998: “ E’ esclusa la responsabilità del provider titolare del server ospitante il newsgroup non moderato per i messaggi che passano attraverso lo stesso, in quanto si limita a mettere a disposizioni di terzi utenti uno spazio virtuale di discussione, senza avere alcun potere di controllo o vigilanza sugli interventi” Trib Napoli, 2001: “E’ esclusa la responsabilità dell’host provider pubblicizzato sul banner del sito incriminato, realizzato dal content provider – riconosciuto responsabile – atteso il legame contrattuale lecito tra i due Trib. Milano, 2004: “ E’ esclusa la responsabilità da link che derivi dal rinvio ad altro sito contenente materiale pedopornografico con collegamento ipertestuale (l’accusa era di concorso in 600ter ma non vi era la prova della consapevolezza dei contenuti del sito) Cass. Pen. 6046/2008: “ E’ esclusa la responsabilità del gestore di internet point a titolo di diffamazione per non aver impedito l’evento, in quanto questi non ha alcuna conoscenza della posta elettronica inviato (prenderne cognizione sarebbe anche reato, 617quater c.p.), né potere di controllo, dovendo solo identificare chi utilizza il terminale. -
Abbiamo poi gli strumenti predisposti dal codice di rito: il sequestro preventivo ai sensi dell’articolo 321c.p.p., quando sussistono le necessità cautelari (fumus e pericolo). Le esigenze impeditive devono essere tanto serie quanto vasta è l’area di tolleranza costituzionale imposta per la libertà di parola. Internet 27
Diritto Penale dell’Informatica Appunti Luiss - S.C.
è infatti un mezzo si comunicazione che facilità gli abusi e se si canalizza una notizia diffamatoria, i danni possono essere molto gravi. -
La responsabilità del provider può essere dolosa (commissiva o omissiva), a titolo concorsuale quando questi agevoli il fatto illecito del terzo; colposa (omissiva impropria), che potrà escludersi se sarà verificata l’assenza di una posizione di garanzia o controllo e non potrà esigersi alcuna condotta da parte del provider, attesa la volatilità e la mole delle informazioni ricevute (no 57cp., malam partem)
Sentenze Esther- Cass. Pen. 6046/2009 DIFFAMAZIONE A MEZZO INTERNET IL CASO Esther Jacobs veniva assolto in appello per non aver impedito, avendo l’obbligo giuridico di farlo, che fosse offesa la reputazione del sig. Ricci Antonio, non procedendo, come titolare di un punto internet all’identificazione degli utenti che fruivano del terminale per l’invio di posta elettronica, consentendo così l’invio di due mail di contenuto diffamatorio ( art. 40 cp. / 595 cp) . La corte di appello aveva argomentato che l’obbligo di identificazione degli utenti non è preordinato alla prevenzione di fatti criminosi attraverso internet, non potendo il titolare del servizio effettuare alcun controllo sul contenuto delle mail Il RICORSO La pretesa persona offesa propone ricorso per cassazione, deducendo un’erronea interpretazione della legge penale ( segnatamente le disposizioni del AGC che fa obbligo ai soggetti che offrono servizi di telecomunicazione di identificare gli utenti che fruiscono dei terminali) LA CORTE Il ricorso è infondato. La norma richiamata non pone alcun obbligo di conoscenza o di controllo da parte del gestore delle comunicazioni inviate e, quand’anche l’imputato avesse provveduto ad identificare i fruitori del servizio, non avrebbe potuto impedire l’invio di mail poiché siffatta evenienza avrebbe integrato la fattispecie di cui all’art. 617 quater che vieta le intercettazioni nei casi non previsti dalla legge. Né il gestore del servizio può considerarsi responsabile sotto il profilo del dolo eventuale, posto che gli era impedito di aver contezza delle comunicazioni inviate. L’annotazione dei dati dell’utilizzatore è infatti richiesta solo ai fini della prova dell’utilizzazione, non al fine di impedire alcun reato. E ciò a meno che il gestore con concorra ex. art. 110 c.p. avendo piena conoscenza della delittuosità della corrispondenza. Brambilla – Cass. Pen. 35511/2010 Responsabilità direttore giornale online IL CASO Il Brambilla era direttore del periodico telematico Merateonline, sul quale risultava pubblicata una lettera diffamatoria indirizzata al ministro di Giustizia Castelli. La Corte di appelli dichiarava di non doversi procedere per intervenuta prescrizione e confermava le statuizioni civili in favore delle persone offese. Il RICORSO La difesa proponeva ricorso per cassazione eccependo che l’imputato aveva già dimostrato come fosse facile ottenere una pagina “a stampa” del giornale telematico non corrispondente all’originale, attraverso il sistema del 28
Diritto Penale dell’Informatica Appunti Luiss - S.C.
c.d. copia-incolla. Nel merito si invocava l’erronea applicazione dell’articolo 57 cp., ritenendolo non applicabile al c.d. giornale telematico. La lettera della norma si riferiva espressamente al giornale cartaceo, né poteva sostenersi un’applicazione estensiva che sarebbe stata in malam partem. LA CORTE La censura è fondata. L’articolo 57 punisce il direttore del giornale che colposamente non impedisca che, tramite le pubblicazioni, siano commessi reati. In dottrina e giurisprudenza si è discussa la possibilità di estendere la norma anche ad altri mezzi di comunicazione non cartacei, ma si è concluso per l’impossibilità di assimilare il mezzo informatico al periodico cartaceo, stante le evidenti diversità strutturali. Ai fini dell’assimilazione occorrerebbero infatti due condizioni che non possono dirsi realizzate: 1. che vi sia stata una riproduzione tipografia 2. che il prodotto di tale attività sia effettivamente distribuito tra il pubblico.. Sotto il primo aspetto non ha alcun rilievo il fatto che il contenuto informatico possa essere stampato, perché ciò non integrerebbe il concetto di riproduzione tipografica ( è la stampa che riproduce la comunicazione ma non la incorpora, come la registrazione domestica di un film tv che riproduce ad uso del fruitore un messaggio cinematografico già diretto al pubblico. Una responsabilità del direttore del periodico online sarebbe stata ipotizzabile solo se lo stesso si fosse accordato con l’autore del messaggio diffamatorio, ma in questo caso avrebbe risposto a titolo di concorso per il reato di diffamazione, non di omesso controllo. All’argomento sistematico dell’instensibilità perché in malam partem della norma, si aggiunge il fatto che la c.d interattività renderebbe molto difficile il compito di controllo del direttore, tanto da configurare come molto incerta la condotta esigibile. De jure condito, non è dunque possibile estendere l’operatività dell’articolo 57 al direttore del periodico online. Lezione del Aprile 2013 6.2 Pedopornografia on line
La legge 269/1998 ha introdotto nel nostro codice penale un articolato sistema di fattispecie incriminatrici ispirate ai principi sanciti dalla Convenzione di New York sui diritti del fanciullo (1989) atta a proteggere “il fanciullo” da ogni forma di violenza o sfruttamento sessuale, compresi lo sfruttamento di minori ai fini di prostituzione o produzione di spettacoli e materiale pornografico”. L’Italia ha ratificato questa convenzione con legge 176/1991, al fine di assicurare uno sviluppo fisico, psicologico, spirituale, morale e sociale dei minore. Con legge 38/2006 si sono poi colmate le lacune evidenziate in sede applicativa della precedente legge, in conformità con le decisioni quadro adottate dal Consiglio d’Europa 2004/68/GAI. Nel 2007 era intervenuta la Convenzione di Lanzarote, ratificata solo il primo ottobre 2012/172. La legge interna ha introdotto varie novità ma non ha stravolto l’impianto originario, si è limitata ad introdurre più efficaci mezzi di contrasto allo sfruttamento e abuso sessuale di minori. Si è introdotto l’articolo 414 bis c.p., relativo alla pubblica istigazione o apologia a pratiche di pedofilia e pedopornografia . Si parla di istigazione perpetrata con qualsiasi mezzo o forma di espressione, soprattutto in rete, che determina o alimenta il proposito altrui a commettere in danno di minorenni, reati di pornografia minorile o di detenzione di materiale pornografico. Si differenzia dalla apologia in quanto essa consiste in una istigazione “indiretta”, fatta coincidere con la difesa, l’esaltazione di fatti che sia idonea a provocare la commissione di reati del tipo. 29
Diritto Penale dell’Informatica Appunti Luiss - S.C.
La dottrina guarda a questi reati con una certa diffidenza, perché si tratta di fattispecie che anticipano la tutela ( giudizio ex ante in concreto, reato di pericolo concreto) al momento in cui sia verificata l’idoneità ad alimentare l’altrui proposito. L’accertamento deve essere svolto in concreto, tenendo conto anche della contiguità temporale tra la condotta di istigazione e il fatto del terzo. Si è introdotta una nuova ipotesi di associazione a delinquere che si concretizza quando una o più persone si associno al fine di compiere taluno dei delitto di cui agli artt. 600bis ss. ( art 416) Si è ampliato il catalogo dei reati (anche 600bis ss) per i quali può essere disposta la confisca di beni presumibilmente appartenuti ad associazioni illegali, il cui valore sia sproporzionato al reddito o all0esercizio di attività economiche di cui non si giustifichi la provenienza dei profitti. Vi è una presunzione di provenienza illecita. Si è introdotto l’articolo 609sexies c.p. (ignoranza della persona offesa) che stabilisce che non si può invocare a propria scusa l’ignoranza della persona offesa, salvo che si tratti di ignoranza inevitabile Art. 600 ter. Pornografia minorile 1. Chiunque sfrutta minori degli anni diciotto al fine di realizzare esibizioni pornografiche o di produrre materiale pornografico è punito. Si fa riferimento a spettacoli, filmini, provini, riprese visive avvenute senza il consenso o di nascosto, produzione di materiale fotografico sia cartaceo che digitale, riprese di minorenni in atteggiamenti sessuali. Il concetto di esibizione pornografica, a dire il vero, era molto ampia tanto da ricomprendere anche il concetto di spettacolo. Attualmente si ritiene che il concetto di spettacolo viene inteso come una performance che richiede una certa platea, l’esibizione può essere fruita da una solo persona. La norma poi incrimina anche chi adeschi, ad esempio attraverso chat, i minori e li induca all’utilizzo di web cam a fini sessuali o di esibizioni sessuali ( con la web cam è infatti possibile registrare il video e l’audio e salvare il file per poi diffonderlo. Del tutto indifferente è invece il consenso del minore. 2. Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo comma. Di norma si tratta di persona diversa da chi abbia prodotto lo spettacolo. Il fare commercio implica non solo uno scambio a titolo oneroso ma anche la necessità che l’attività di commercio abbia un minimo di organizzazione. Si tratta di attività di cessione a titolo oneroso del suddetto materiale, integrata anche da un solo atto negoziale così come dalla mera offerta in vendita ( senza alcuna successiva cessione o conclusione del contratto. ( Differentemente dal comma IV, la pena è minore se la cessione avviene a titolo gratuito) 3. Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con qualsiasi mezzo, anche per via telematica, distribuisce, divulga o pubblicizza il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la reclusione da uno a cinque anni e con la multa da lire cinque milioni a lire cento milioni. Si tratta di comportamenti posti in essere in favore di una pluralità indeterminata di persone. Distribuzione: consegna materiale pornografico e quindi circolazione fisica su larga scala dello stesso 30
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Diffusione: divulgazione per via telematica del materiale pornografico attraverso file sarin, peer to peer, mail, skype, chat. Pubblicazione: diffusione a mezzo stampa. 4. Chiunque, al di fuori delle ipotesi di cui ai commi primo, secondo e terzo, consapevolmente cede ad altri, anche a titolo gratuito, materiale pornografico prodotto mediante lo sfruttamento sessuale dei minori degli anni diciotto, è punito con la reclusione fino a tre anni o con la multa da lire tre milioni a lire dieci milioni. 6. E’ punito chi assiste a esibizioni o spettacoli pornografici in cui siano coinvolti minori. E’ stato introdotto ex novo dall’articolo 21 della Convenzione di Lanzarote che imponeva di rendere coerente il sistema che incrimina il cliente del meretricio e l’acquirente di materiale pedopornografico. Il reato in esame è un reato a dolo generico per il quale è previsto l’aggravante dell’ingente quantitativo di materiale e per il quale non è ammesso il patteggiamento ed è prevista la responsabilità ex. 231/2001. Non è rilevante l’ignoranza dell’età del minore e non è necessario che il minore partecipi attivamente. Che cosa si intende per materiale pedopornografico? Prima della ratifica della Convenzione di Lanzarote non esisteva una definizione legislativa ma la si mutuava dall’articolo 1 della decisione del Consiglio d’Europa 2004/68/GAI (secondo principio di interpretazione conforme): “ Materiale che ritrae minori di anni 18 implicati o coinvolti in una condotta sessualmente esplicita fra cui anche solo l’esibizione lasciva dei genitali e dell’area pubica” Cass. 109981/2010. Anche la semplice nudità, se finalizzata all’eccitamento sessuale, diventa materiale pedopornografico ? Attualmente la definizione mutuata dall’articolo 20 della Convenzione di Lanzarote è la seguente: “ ogni rappresentazione con qualunque mezzo di un minore di anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali per scopi sessuali” Insomma è una definizione ampia, che comprende anche il concetto di nudità se finalizzato agli scopi di libido suindicati. Chiaramente ci sono ancora delle critiche sotto il profilo della tassatività e della determinatezza.
Art. 600quater Detenzione o utilizzazione di materiale pedopornografico “Chiunque, al di fuori delle ipotesi previste dall'articolo 600-ter, consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto, è punito La pena è aumentata in misura non eccedente i due terzi ove il materiale detenuto sia di ingente quantità.” E’ una fattispecie frequentemente contestata nella pratica. La condotta tipica consiste nel “procurarsi” o “detenere”: il secondo termine indica una condotta di possesso non qualificato e comprende anche forme di detenzione più sfuggenti perché riguardanti contenuti virtuali. La detenzione deve essere consapevole, ma è irrilevante la fonte di approvvigionamento. E’ invece irrilevante la fonte di approvvigionamento. La consumazione coincide con l’effettiva disponibilità del materiale (es. al momento del download). Si tratta insomma di una norma che accorda una tutela privilegiata ed esaustiva, sanzionando sia l’offerta di materiale di materiale, sia la risposta a questa offerta. L’articolo 20 della Convenzione di Lanzarote modifica la disciplina dell’ACCESSO ALLA PEDOPORNOGRAFIA, sebbene il legislatore italiano ha posto una riserva sul punto, e in sostanza prevedeva la possibilità di incriminazione anche della sola visualizzazione sul web. 31
Diritto Penale dell’Informatica Appunti Luiss - S.C.
“Art. 600-quater.1 Pornografia virtuale Le disposizioni di cui agli articoli 600-ter e 600-quater si applicano anche quando il materiale pornografico rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni diciotto o parti di esse, ma la pena è diminuita di un terzo. Per immagini virtuali si intendono immagini realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non reali.”
ADESCAMENTO DI MINORE - L’articolo 23 della Convenzione di Lanzarote art. 609undecies. Consiste in un atto che può avvenire online, volto a ingannare il minore attraverso minacce velate o lusinghe, al fine di stringere un rapporto con lo stesso. E’ un reato di pericolo, perché appresta una tutela anticipata ad una attività prodromica al compimento di più grave reato ( c’è infatti una clausola di riserva). Viene incriminato l’atto volto a carpire la fiducia del minore, si prescindere dall’esito della condotta, la quale è comunque a forma libera.
Pronunce giurisprudenziali ( su Art. 600ter) 1.
Cass,
pen.,
8285/2009:
“
E’
materiale
detenzione di un computer da parte del soggetto
pedopornografico quello di contenuto lascivo, idoneo
agente)
ad eccitare le pulsioni erotiche del fruitore, comprese
3. Cass. Pen. 5397/2001 – 2842/2000- 2421/2000-
le immagini raffiguranti amplessi e quelle che
5397/2002) “ E’ divulgazione e diffusione l’invio
riproducono corpi nudi con genitali in mostra”
attraverso gruppi o liste di discussione, mailing list,
2. Cass, Pen. 17178/2010: “ Le condotte di
pubblicazione su siti web, utilizzo di file sarin o di
produzione o esibizione richiedono l’inserimento
peer to peer per la ricerca di foto pornografiche
della condotta in un contesto di organizzazione
(condivisione del contenuto di una cartella con altri
almeno
anche
fruitori della medesima piattaforma). Integra il reato
potenziale del materiale alla successiva fruizione di
anche l’ipotesi in cui nella riproduzione fotografica i
terzi” ( la cassazione ha escluso che tale contesto
volti siano oscurate o si tratti di foto c.d. artistiche di
organizzativo
corpi di bambini nudi.
embrionale
e
potesse
di
destinazione
desumersi
dalla
mera
32
Diritto Penale dell’Informatica Appunti Luiss - S.C.
4. Cass. 11082/2010 : “ Per quanto concerne
B. se non c’è corrispondenza tra titolo e contenuto
l’elemento soggettivo, è necessaria la volontà
del file
consapevole
C. Se l’inserimento del file nella cartella condivisa è
di
pedopornografico.
diffondere L’utilizzo
di
materiale programmi
di
avvenuto per errore
download, quali ad esempio Emule, non è sufficiente 5. Cass. Pen. 4900/1999: “ E’ cessione di materiale la consegna materiale del supporto contenente file pedopornografici ( cd, dvd,pen drive); l’utilizzo di canali di discussione o chat per lo scambio di allegati pedopornografici ( skype, IRC); l’invio di mail con allegati; lo scambio tramite bluetooth con altri apparecchi vicini.
ad integrare la prova della volontà di diffusione del materiale. QUANDO
C’è
INVOLONTARIETA’
NELLA
DIFFUSIONE? A. se manca la prova della volontà diretta e consapevole di divulgazione
Cass. Pen. 41570/2007 : I file pedopornografici possono essere scaricati da internet e memorizzati sul pc in apposite cartelle create ad hoc o masterizzati su supporti rigidi. Possono essere ricevuti tramite mail, chat, skype. Il reato si configurare anche se c’è una registrazione su disco rigido La detenzione di file temporanei ( Internet temporary files) integra il reato solo se il salvataggio non è automatico. In tale caso manca l’elemento soggettivo, ovvero la consapevolezza e volontà di detenere materiale illecito. Cass. Pen. 39282/2005: Non è punibile la mera consultazione di siti internet di tipo pedopornografico senza che si sia proceduto alla memorizzazione dei file. Cass. Pen. 36364/2008: Colui che cede il materiale a norma dell’articolo 600ter comma 4 (cessione occasionale risponde anche di detenzione ex 600quate? Secondo la Cassazione il concorso tra cessione e detenzione è escluso in quanto la seconda condotta rappresenta un antefatto non punibile rispetto alla cessione, rimanendo assorbita in quest’ultima. ATTIVITA’ DI CONTRASTO L’articolo 14 della legge 269/1998 consente l’acquisto simulato di materiale pedopornografico, relativo ad attività di intermediazione, al fine di provare che il soggetto usi la rete per commercializzare lo stesso; consente inoltre la partecipazione ad iniziative turistiche volte all’attività di sfruttamento. Il secondo comma, prevede, previa autorizzazione del PM, lo svolgimento di attività sotto copertura, anche di provocazione, consentendo anche la attivazione di siti web e la gestione di scambio di informazioni su reti o sistemi telematici. Previa richiesta del pm e a fronte de decreto motivato del gip è possibile poi ritardare il sequestro o l’arresto. Si tratta di una norma posta a tutela di eventuali altri ulteriori reati come la prostituzione minorile (600bis cp), nonché il turismo sessuale con sfruttamento della prostituzione minorile ( 600quinquies cp). L’attività di contrasto è svolta da ufficiale di polizia giudiziaria specializzati pre la repressione dei reati sessuali e per i delitti di criminalità organizzata; mentre per i casi del secondo comma commessi a mezzo informatico o telematico, l’attività di indagine è svolta dalla Polizia postale. In assenza di tali condizioni l’articolo 14 della l. 269/98 rende il materiale eventualmente acquisito inutilizzabile ma sequestrabile solo se costituisce corpo del reato. Ghazni Gol – cass. pen. 10981/20120 Definizione di materiale pedopornografico 33
Diritto Penale dell’Informatica Appunti Luiss - S.C.
IL CASO L’imputato veniva condannato per il reato di cui all’articolo 600ter, perché sulla spiaggia di Ostia aveva scattato fotografie di minori in costume. Il tribunale riteneva che tali contenuti integrassero il concetto di materiale p.p. in quanto( tenuto conto del contesto in cui erano state scattate) in quanto i minori erano stati fotografati insistentemente nelle zone genitali. Il RICORSO La difesa eccepisce che nel caso di specie non si tratterebbe di materiale pp secondo la definizione fornita dal C. d’Europa. LA CORTE Il ricorso è fondato. Secondo la Convenzione di New York per materiale pedopornografico deve intendersi la rappresentazione con qualsiasi mezzo di un bambino dedito ad attività sessuali, esplicite concrete o simulate, o qualsiasi rappresentazione degli organi sessuali. Secondo la definizione data dal C. Europea deve intendersi, analagomente, materiale che ritrae il bambino in attività sessuale esplicita, fra cui l’esibizione lasciva dei genitali; o la riproduzione di una persona reale che sembra essere un bambino implicato nella suddetta condotta; o la riproduzione realistica di un bambino, coinvolto nella condotta, ma inesistente. Nel caso di specie i minori sono ritratti di spalle in maniera del tutto innocente, non sussiste alcuna esibizione lasciva e nessun atteggiamento sessualmente allusivo. Tutt’al più potrebbe ritenersi sussistente una condotta di molestie, ma non la più grave fattispecie di pedopornografia che richiede invece un’allusione o un richiamo sessuale. Spora- Cass. Pen. 13500/2005 Sequestro e attività sotto copertura Il CASO Il tribunale del riesame annullava un provvedimento di sequestro preventivo nei confronti di Mauro Spora, indagato del delitto di cui art. 600quater, per essersi procurato materiale pornografico prodotto mediante sfruttamento di minori. Il tribunale aveva ritento che la perquisizione ed il sequestro dovessero essere annullati in quanto disposti sulla base di una attività investigativa illegittima, in violazione art. 14 L. 269/1998 che consente, per contrastare il fenomeno della pedopornografia, l’acquisto simulato di materiale per investigare SOLO sui reati di cui all’art. 600bis, 600ter e 600 quinquies e non per quello ascritto all’imputato. Il risultato dell’attività di indagine era dunque inutilizzabile. RICORSO Il procuratore della repubblica ritiene che l’attività di navigazione in internet e l’intercettazione dei relativi flussi telematici, non rientra nell’attività di contrasto ex art. 14, ma consiste nella normale attività di polizia. LA CORTE Il ricorso è infondato. L’accesso costituiva infatti acquisto simulato di materiale pornografico a norma dell’articolo 14, che la polizia giudiziaria avrebbe potuto fare solo a fronte di una autorizzazione dell’a.g., al fine di acquisire elementi di prove per i reati suindicati che, se commessi a mezzo informatico, necessitano per l’attività di contrasto un intervento di un organo specializzato del ministero, su richiesta dell’a.g. Tali attività non sono punibili solo se compiute da soggetti specializzati (organi ministeriali), alle condizioni previste dalla legge; si tratta di una attività sotto copertura che deve essere autorizzata dall’autorità procedente. Ci sono dunque delle condizioni: deve trattarsi di attività di contrasto ai reati di cui sopra, previa autorizzazione o richiesta motivata dell’a.g. o deve trattarsi di contrasto ad altri reati ( quindi anche 600quater) ma a condizione che l’attività sia autorizzata dai vertici dei corpi di appartenenza e preventivamente comunicata al pm. Nel caso di specie non era intervenuta alcuna autorizzazione preventiva,pertanto il contratto di accesso non poteva essere 34
Diritto Penale dell’Informatica Appunti Luiss - S.C.
utilizzato per verificare il fumus delicti in base al quale fu disposto il sequestro. Dunque anche questo ultimo provvedimento è illegittimo. Malfanti- Cass. Pen. 45571/2010 600ter c.p. IL CASO Il Malfanti era stato condannato in primo grado per il reato di cui all’articolo 600quater in quanto si era procurato o comunque disponeva di materiale prodotto mediante sfruttamento di minori, in particolare deteneva sull’hard disk del pm immagini ritraenti minori che esibiscono i loro organi genitali e in procinto di compiere atti sessuali espliciti. I contenuti della cartella volontariamente creata inducevano a ritenere che il soggetto fosse cosciente di detenere materiale pedopornografico. IL RICORSO La difesa propone diversi motivi di ricorso. 1. La perquisizione ed il sequestro erano stati compiuti dalla polizia postale, senza l’autorizzazione richiesta dall’articolo 14 della legge 269/1998, e non dagli ufficiali di polizia giudiziaria. Pertanto la nullità dell’attività di contrasto avrebbe dovuto comportare l’inutilizzabilità degli elementi di prova. Né si può ritenere che il sequestro sia legittimo in quanto ha ad oggetto il corpo del reato: dalla perizia emergeva infatti che tutti i files erano stati cancellati e recuperati solo a seguito si complesse operazione. 5-6 I files oggetto di condanna non contenevano immagini, ma metadati dei file (ovvero il nome dei file) e contemporaneamente fotografie pornografiche lecite. Non era stata considerata la possibilità che i file fossero stati scaricati involontariamente e poi cancellati. Mancherebbe poi l’elemento soggettivo in quanto, un utente che indirizza la sua ricerca su file pornografici leciti, può ben scaricare file di contenuto diverso. LA CORTE Il ricorso è infondato. In relazione al delitto di detenzione di materiale pedopornografico, la giurisprudenza ritiene che sia utilizzabile il sequestro probatorio del pc contenente detto materiale, pur a seguito di autorizzazione, trattandosi di atto dovuto espletato dalla polizia giudiziaria. Nel caso di specie il pc era stato legittimamente sequestrato in quanto costituiva corpo del reato. Quanto agli altri motivi del ricorso è indubitabile che l’imputato avesse contezza del contenuto pornografico dei file, facendosi riferimento già nelle intestazioni all’età del minore e all’attività sessuale. Lezione del 16 Aprile 2013 7- VIOLAZIONI DEL DIRITTO DI AUTORE La circolazione delle opere di ingegno nelle reti telematiche Le attuali tecnologie digitali hanno generato un modello di conservazione delle opere, di diffusione del pensiero e di accesso alla conoscenza a costi molto bassi, con l’effetto benevolo di generare vantaggi sia per gli autori, che così riescono a raggiungere una vasta platea di utenti, sia per la società, che avrà a portata di click lo scibile umano. Tali metodi consento la divulgazione senza limiti di passaggi e fruitori del contenuto di qualsiasi opera MA allo stesso tempo facilitano il diffondersi dei fenomeni di pirateria digitale, tant’è che si dice che “il www è una delle più vaste biblioteche al mondo, ma anche la più grande fotocopiatrice mai esistita” ( National research council USA)
35
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Il diritto d’autore consente lo sfruttamento morale e patrimoniale in via esclusiva di una opera di ingegno. Le norme poste a tutela di tale diritto assumono come bene tutelato esclusivamente l’aspetto patrimoniale (dell’autore e degli aventi causa, nonché dei titolare di diritti connessi) relativo a: 1. Opere di ingegno, ai sensi del 2575 cc. e art. 1 L. 633/1941, intese come espressioni creative cha appartengono all’arte, alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro, al cinema, qualunque sia il modo o la forma di espressione. 2. Banche dati e programmi per elaboratore, che per la scelta o la disposizione materiale, costituiscono creazione intellettuale dell’autore. In tal senso per “pirateria” si intende la riproduzione, duplicazione, trasferimento, condivisione o diffusione delle opere di ingegno senza la corresponsione dei compensi economici all’autore o al titolare dei diritti connessi (editori o produttori) La legge 633/1941 rappresentazioni maggiore di quello che aveva il diritto rispettivamente di riprodurre o di rappresentare; e) (soppresso) f) in violazione dell'art. 79 ritrasmette su filo o per radio o registra in dischi fonografici o altri apparecchi analoghi le trasmissioni o ritrasmissioni radiofoniche o smercia i dischi fonografici o altri apparecchi indebitamente registrati.
Art. 171 Salvo quanto disposto dall'art. 171-bis e dall'articolo 171-ter è punito con la multa da euro 51 a euro 2.065 chiunque, senza averne diritto, a qualsiasi scopo e in qualsiasi forma: a) riproduce, trascrive, recita in pubblico, diffonde, vende o mette in vendita o pone altrimenti in commercio un'opera altrui o ne rivela il contenuto prima che sia reso pubblico, o introduce e mette in circolazione nello Stato esemplari prodotti all'estero contrariamente alla legge italiana; a-bis) mette a disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta, o parte di essa; b) rappresenta, esegue o recita in pubblico o diffonde, con o senza variazioni od aggiunte, un'opera altrui adatta a pubblico spettacolo od una composizione musicale. La rappresentazione o esecuzione comprende la proiezione pubblica dell'opera cinematografica, l'esecuzione in pubblico delle composizioni musicali inserite nelle opere cinematografiche e la radiodiffusione mediante altoparlante azionato in pubblico; c) compie i fatti indicati nelle precedenti lettere mediante una delle forme di elaborazione previste da questa legge; d) riproduce un numero di esemplari o esegue o rappresenta un numero di esecuzioni o di
1-bis. Chiunque commette la violazione di cui al primo comma, lettera a-bis), è ammesso a pagare, prima dell'apertura del dibattimento, ovvero prima dell'emissione del decreto penale di condanna, una somma corrispondente alla metà del massimo della pena stabilita dal primo comma per il reato commesso, oltre le spese del procedimento. Il pagamento estingue il reato. La pena è della reclusione fino ad un anno o della multa non inferiore a euro 516 se i reati di cui sopra sono commessi sopra una opera altrui non destinata alla pubblicità, ovvero con usurpazione della paternità dell'opera, ovvero con deformazione, mutilazione o altra modificazione dell'opera medesima, qualora ne risulti offesa all'onore od alla reputazione dell'autore. La violazione delle disposizioni di cui al terzo ed al quarto comma dell'articolo 68 comporta la sospensione della attività di fotocopia, xerocopia o analogo sistema di riproduzione da sei mesi ad un 36
Diritto Penale dell’Informatica Appunti Luiss - S.C.
anno nonché la sanzione amministrativa pecuniaria da da euro 1.032 a euro 5.164.
audiovisive assimilate o sequenze di immagini in movimento; b) abusivamente riproduce, trasmette o diffonde in pubblico, con qualsiasi procedimento, opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico-musicali, ovvero multimediali, anche se inserite in opere collettive o composite o banche dati; c) pur non avendo concorso alla duplicazione o riproduzione, introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, o distribuisce, pone in commercio, concede in noleggio o comunque cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della televisione con qualsiasi procedimento, trasmette a mezzo della radio, fa ascoltare in pubblico le duplicazioni o riproduzioni abusive di cui alle lettere a) e b); d) detiene per la vendita o la distribuzione, pone in commercio, vende, noleggia, cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della radio o della televisione con qualsiasi procedimento, videocassette, musicassette, qualsiasi supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive o sequenze di immagini in movimento, od altro supporto per il quale è prescritta, ai sensi della presente legge, l'apposizione di contrassegno da parte della Società italiana degli autori ed editori (S.I.A.E.), privi del contrassegno medesimo o dotati di contrassegno contraffatto o alterato; e) in assenza di accordo con il legittimo distributore, ritrasmette o diffonde con qualsiasi mezzo un servizio criptato ricevuto per mezzo di apparati o parti di apparati atti alla decodificazione di trasmissioni ad accesso condizionato; f) introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, vende, concede in noleggio, cede a qualsiasi titolo, promuove commercialmente, installa dispositivi o elementi di decodificazione speciale che consentono l'accesso ad un servizio criptato senza il pagamento del canone dovuto. f-bis) fabbrica, importa, distribuisce, vende, noleggia, cede a qualsiasi titolo, pubblicizza per la vendita o il noleggio, o detiene per scopi commerciali, attrezzature, prodotti o componenti ovvero presta servizi che abbiano la prevalente finalità o l'uso commerciale di eludere efficaci misure tecnologiche di cui all'art. 102-quater ovvero siano principalmente progettati, prodotti, adattati o realizzati con la finalità
Art. 171-bis 1. Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro 2.582 a euro 15.493. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità. 2. Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro 2.582 a euro 15.493. La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità. Art. 171-ter 1. È punito, se il fatto è commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da euro 2.582 a euro 15.493 chiunque a fini di lucro: a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un'opera dell'ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o 37
Diritto Penale dell’Informatica Appunti Luiss - S.C.
di rendere possibile o facilitare l'elusione di predette misure. Fra le misure tecnologiche sono comprese quelle applicate, o che residuano, a seguito della rimozione delle misure medesime conseguentemente a iniziativa volontaria dei titolari dei diritti o ad accordi tra questi ultimi e i beneficiari di eccezioni, ovvero a seguito di esecuzione di provvedimenti dell'autorità amministrativa o giurisdizionale; h) abusivamente rimuove o altera le informazioni elettroniche di cui all'articolo 102 quinquies, ovvero distribuisce, importa a fini di distribuzione, diffonde per radio o per televisione, comunica o mette a disposizione del pubblico opere o altri materiali protetti dai quali siano state rimosse o alterate le informazioni elettroniche stesse.
radiotelevisiva per l'esercizio dell'attività produttiva o commerciale. 5. Gli importi derivanti dall'applicazione delle sanzioni pecuniarie previste dai precedenti commi sono versati all'Ente nazionale di previdenza ed assistenza per i pittori e scultori, musicisti, scrittori ed autori drammatici. Art. 171-quater 1. Salvo che il fatto costituisca più grave reato, è punito con l'arresto sino ad un anno o con l'ammenda da euro 516 a euro 5.164 chiunque, abusivamente ed a fini di lucro: a) concede in noleggio o comunque concede in uso a qualunque titolo, originali, copie o supporti lecitamente ottenuti di opere tutelate dal diritto di autore; b) esegue la fissazione su supporto audio, video o audiovideo delle prestazioni artistiche di cui all'art. 80.
2. È punito con la reclusione da uno a quattro anni e con la multa da da euro 2.582 a euro 15.493 chiunque: a) riproduce, duplica, trasmette o diffonde abusivamente, vende o pone altrimenti in commercio, cede a qualsiasi titolo o importa abusivamente oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi; a-bis) in violazione dell'art. 16, a fini di lucro, comunica al pubblico immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa; b) esercitando in forma imprenditoriale attività di riproduzione, distribuzione, vendita o commercializzazione, importazione di opere tutelate dal diritto d'autore e da diritti connessi, si rende colpevole dei fatti previsti dal comma 1; c) promuove o organizza le attività illecite di cui al comma 1.
Art. 171-quinquies 1. Ai fini delle disposizioni di cui alla presente legge è equiparata alla concessione in noleggio la vendita con patto di riscatto ovvero sotto condizione risolutiva quando sia previsto che nel caso di riscatto o di avveramento della condizione il venditore restituisca una somma comunque inferiore a quella pagata oppure quando sia previsto da parte dell'acquirente, al momento della consegna, il pagamento di una somma a titolo di acconto o ad altro titolo comunque inferiore al prezzo di vendita. Art. 171-sexies
3. La pena è diminuita se il fatto è di particolare tenuità.
1. Quando il materiale sequestrato è, per entità, di difficile custodia, l'autorità giudiziaria può ordinarne la distruzione, osservate le disposizioni di cui all'articolo 83 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989 n. 271.
4. La condanna per uno dei reati previsti nel comma 1 comporta: a) l'applicazione delle pene accessorie di cui agli articoli 30 e 32-bis del codice penale; b) la pubblicazione della sentenza in uno o più quotidiani, di cui almeno uno a diffusione nazionale, e in uno o più periodici specializzati; c) la sospensione per un periodo di un anno della concessione o autorizzazione di diffusione
2. È sempre ordinata la confisca degli strumenti e dei materiali serviti o destinati a commettere i reati di cui agli articoli 171-bis, 171-ter e 171-quater nonché 38
Diritto Penale dell’Informatica Appunti Luiss - S.C.
dello videocassette, degli altri supporti audiovisivi o fonografici o informatici o multimediali abusivamente duplicati, riprodotti, ceduti, commerciati, detenuti o introdotti sul territorio nazionale, ovvero non provvisti di contrassegno SIAE, ove richiesto, o provvisti di contrassegno SIAE contraffatto o alterato, o destinato ad opera diversa. La confisca è ordinata anche nel caso di applicazione della pena su richiesta delle parti a norma dell'articolo 444 del codice di procedura penale.
dal soggetto che effettua l'emissione del segnale, indipendentemente dalla imposizione di un canone per la fruizione di tale servizio. 2. La pena non è inferiore a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità. Art. 171-octies-1 1. Chiunque si rifiuti senza giustificato motivo di rispondere alle domande del giudice ai sensi dell'articolo 156-ter ovvero fornisce allo stesso false informazioni è punito con le pene previste dall'articolo 372 del codice penale, ridotte della metà.
3. Le disposizioni di cui ai precedenti commi si applicano anche se i beni appartengono ad un soggetto giuridico diverso, nel cui interesse abbia agito uno dei partecipanti al reato.
Art. 171-nonies
Art. 171-septies
1. La pena principale per i reati di cui agli articoli 171-bis, 171-ter e 171-quater è diminuita da un terzo alla metà e non si applicano le pene accessorie a colui che, prima che la violazione gli sia stata specificatamente contestata in un atto dell'autorità giudiziaria, la denuncia spontaneamente o, fornendo tutte le informazioni in suo possesso, consente l'individuazione del promotore o organizzatore dell'attività illecita di cui agli articoli 171-ter e 171quater, di altro duplicatore o di altro distributore, ovvero il sequestro di notevoli quantità di supporti audiovisivi e fonografici o di strumenti o materiali serviti o destinati alla commissione dei reati.
1. La pena di cui all'articolo 171-ter, comma 1, si applica anche: a) ai produttori o importatori dei supporti non soggetti al contrassegno di cui all'articolo 181-bis, i quali non comunicano alla SIAE entro trenta giorni dalla data di immissione in commercio sul territorio nazionale o di importazione i dati necessari alla univoca identificazione dei supporti medesimi; b) salvo che il fatto non costituisca più grave reato, a chiunque dichiari falsamente l'avvenuto assolvimento degli obblighi di cui all'articolo 181-bis, comma 2, della presente legge.
2. Le disposizioni del presente articolo non si applicano al promotore o organizzatore delle attività illecite previste dall'articolo 171-bis, comma 1, e dall'articolo 171-ter, comma 1.
Art. 171-octies 1. Qualora il fatto non costituisca più grave reato, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 2.582 a euro 25.822 chiunque a fini fraudolenti produce, pone in vendita, importa, promuove, installa, modifica, utilizza per uso pubblico e privato apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale. Si intendono ad accesso condizionato tutti i segnali audiovisivi trasmessi da emittenti italiane o estere in forma tale da rendere gli stessi . visibili esclusivamente a gruppi chiusi di utenti selezionati
Art. 174-bis1. Ferme le sanzioni penali applicabili, la violazione delle disposizioni previste nella presente sezione è punita con la sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell'opera o del supporto oggetto della violazione, in misura comunque non inferiore a euro 103,00. Se il prezzo non è facilmente determinabile, la violazione è punita con la sanzione amministrativa da euro 103,00 a euro 1032,00. La sanzione amministrativa si applica nella misura stabilita per ogni violazione e per ogni esemplare abusivamente duplicato o riprodotto. 39
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Opera multimediale L’opera multimediale è il risultato di un processo di aggregazione e rielaborazione di materiali preesistenti, in genere oggetto di privativa, che comporta la creazione di una nuova tipologia di bene immateriale, espressione di una peculiare forma di creatività. Tale tipologia di opera può incorporare vari elementi: testo, software, musica, immagini fisse (opera grafica) e immagine in movimento (opera audiovisiva). Gli Stati Uniti con l’adozione del Digital Millenium Copyright Act del 1998 e l’UE con la direttiva 2001/29/CE ( armonizzazione degli aspetti della tutela del diritto di autore e dei diritti connessi nella società dell’informazione), hanno convogliato i contenuti diffusi in Internet nella sfera del diritto di autore, intendendoli come commercio in rete di prodotti tutelati dalle norme sulla proprietà intellettuale. Digital Rights Management e misure di sicurezza Il sistema di gestione dei diritti costituisce l’infrastruttura tecnologica per stabile le regole di accesso ai contenuti elettronici ( pay per download, pay per use, sottoscrizione, noleggio), al fine di contrastare l’uso abusivo della tecnologia digitale. Si tratta di un sistema volto in primo luogo ad impedire la circolazione incontrollata delle opere in pregiudizio degli autori ed editori. Le misure tecnologiche di sicurezza possono consistere in: 1. Misure antiaccesso – che abilitano solo i soggetti autorizzati e possono essere applicate sia ad un servizio che ad un contenuto multimediale per mezzo di un codice riservato ( es. decoder digitale) 2. Misure anticopia – che limitano il numero di duplicati di un insieme aggregato di informazioni, rendendo possibile una sola duplicazione ed impedendo ulteriori tentativi ( possono consentire il riconoscimento della compia come accade per le tecniche di apposizione del marchio digitale). L’articolo 102 quater della legge sul diritto d’autore definisce le misure tecnologiche di protezione come dipositivi o componenti che, nel corso del loro funzionamento, sono volti ad impedire o limitare atti non autorizzati dal titolare dei diritti. Sono una sorta di “antifurto” per la regolamentazione del mercato dei contenuti multimediali. L’articolo 171ter, come si diceva, prevede varie condotte, commesse per uso non personale e a scopo di lucro, preordinate a rimuovere siffatte misure di protezione. Si tratta di una fattispecie a dolo specifico (scopo di lucro, prima profitto), che connota la condotta del soggetto attivo, che deve agire allo scopo di un guadagno economicamente apprezzabile o di incremento patrimoniale, che non può farsi coincidere con qualsiasi vantaggio di altro genere ( Cass. Pen. 149/2006) . Si tratta di una norma che, ai sensi della lett. f) bis, può applicarsi ad esempio al commercio di dispositivi di modifica della PS2, attraverso i quali è possibile utilizzare la consolle con videogiochi non originali o frutto di duplicazione o download illegale. Applicazioni – Peer to peer Si tratta di software che consento di trasferire files in rete, tra computer, direttamente e senza transitare per un server, così lasciando tracce. In quale fattispecie ricadono? Se la condivisione avviene a fini di lucro nel 171ter comma 2 lett. a bis; se la condivisione è senza scopo di lucro ed in qualsiasi forma nel 171 comma 1 lett. a) bis; se si tratta di download senza condivisione si applica la sanzione amministrativa di cui al 174 ter. Cass. Pen. 49437/2009 : “ Concorre nel reato di diffusione mediante la rete internet di opere di ingegno protette dal diritto di autore ( art. 171ter) il titolare di sito web che, informando gli utenti delle chiavi di accesso, consenta lo scambio di files mediante comunicazione peer to peer. Pertanto è legittimo il provvedimento cautelare con cui il giudice, in relazione alla condotta di diffusione abusiva di opere di ingegno, contestualmente al sequestro preventivo del sito, imponga ai fornitori del servizio internet operanti su territorio italiano di inibire l’accesso al portale al fine di precludere la diffusione abusiva di opere intellettuali” 40
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Cass. Pen. 33945/2006: “ Nel caso di un link disponibile su un portale che abilita il collegamento con server straniero per la visualizzazione gratuita di partite di campionato trasmesse da società con diritto di esclusiva, è ipotizzabile un concorso nel reato di abusiva diffusione-web di immagini protette dal diritto di esclusiva anche in capo al soggetto che, pur non avendole immesse nella reta, aveva inoltrato sul web informazioni sui collegamenti e sui programmi necessari per agevolare la connessione la loro indebita diffusione. Cass. Pen., Pollino, 1978 “Alla società concessionaria, quale esercente il servizio di telediffusione, spetta il diritto esclusivo di registrare e utilizzare a scopo di lucro la trasmissione televisiva che, dunque, deve considerarsi un’opera di ingegno” PROBLEMI Si deve tener conto del fatto che l’intervento penale è comunque un intervento di extrema ratio; molto spesso le norme richiamate non hanno effetto deterrente dinnanzi a reati di massa per i quali la disapprovazione sociale è minima. Molto spesso inoltre risultano non competenti gli stessi organi abilitati ad irrogare la sanzione Copyright e Accessright Il copyright presuppone la riproducibilità in più esemplari fisici dell’opera ma rischia di perdere di significato in un contesto in cui si tende alla de materializzazione di ogni operazione. Le produzioni intellettuali trovano in tutti gli ordinamenti tutela obiettiva e concorrente con la protezione del mezzo materiale di manifestazione del loro contenuto. Molto spesso esse vengono divulgate tramite oggetti materiali di largo consumo (pen drive, cd, dvd) per i quali non vi è tuttavia una adeguata tutela giuridica. Originariamente era invero sufficiente controllare i soli canali di produzione e di commercializzazione dei supporti fisici mentre oggi il copyright deve fare i conti con la nuova forma di distribuzione dell’informazione, sia da un punto di vista del diritto esclusivo, di comunicazione al pubblico, sia da quello del diritto di riproduzione in copie. Si tratta in definitiva di contemperare la tutela delle prerogative morali e patrimoniale dell’autore con l’interesse alla circolazione delle idee e delle informazioni che presuppone meccanismi di accesso e di consultazione delle opere, promuovendo al contempo la tutela dell’arte e della cultura. ( Art. 27 Dichiarazione universale diritti dell’uomo diritto di ciascuno di prendere parte alla vita culturale della comunità, di godere delle arti e di partecipare al progresso scientifico/ diritto dell’autore dell’opera di proteggere i propri interessi morali e materiali derivanti da ogni produzione scientifica, letteraria e artistica) 8. L’ACQUISIZIONE DI FONTI DI PROVA IN AMBIENTE INFORMATICO Come sappiamo il nostro ordinamento distingue tra elementi di prova, tratti dalle fonti di prova raccolte dal P.m. durante la fase delle indagini preliminari, e prove in senso stretto, formate cioè in dibattimento in contraddittorio tra le parti. Il nostro codice di procedura penale prevede poi anche la possibilità di acquisizione di prove “atipiche”, art. 189c.c.p, ovvero prove non disciplinate dalla legge purchè siano ammissibili, rilevanti, non contrarie alla legge ( es. il giudice può assumere come elemento di prova la copia, anziché l’originale d un documento, quando questo è idoneo ad assicurare l’accertamento di fatti—copia di una mail). Tali elementi sono poi valutati secondo il criterio del libero convincimento del giudice, art. 192c.p.p. Mezzi di ricerca della prova per i reati informatici ( modifiche al c.p.p. L. 48/2008) Art. 244 comma secondo, ISPEZIONI, con decreto motivato l’autorità giudiziaria può disporre rilievi segnaletici, fotografici, descrittivi e ogni altra operazione tecnica ( 359c.c.p) anche in relazione a sistemi informatici o telematici, adottando misure idonee ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. 41
Diritto Penale dell’Informatica Appunti Luiss - S.C.
Ciò è opportuno quando il sequestro informatico pare inutile, essendo sufficiente la descrizione degli elementi informatici pertinenti al reato ( es. pc acceso o spento, programmi in funzione) Art. 247 comma 1bis, PERQUISIZIONI, con decreto motivato dell’ag. per ricercare il corpo del reato o cose pertinenti al reato occultate sulla persona o in luoghi specifici. Quando c’è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, anche se protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure adatte ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. Art. 352 comma 1 bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi Art. 354 comma 2. 2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, (1) gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso, sequestrano il corpo del reatoe le cose a questo pertinenti L’attività di indagine in ambiente informatico è finalizzata all’acquisizione di elementi di prova e deve mirare a garantire la perfetta corrispondenza tra i dati acquisiti riprodotti e quelli originali, nonché l’immutabilità e la conservazione del dato informatico ( catena di custodio) e dell’originale ambiente informatico. Deve dunque osservarsi una assoluta precisione del metodo di riproduzione: i tradizionali concetti di originale e copia perdono di significato perché i bytes sono sempre uguali a se stessi, i file derivati si distinguono solo per la data di crezione.
INFORMATICA FORENSE
Tale disciplina detta una serie di tecniche e procedimenti che assicurano l’individuazione, l’estrazione, la documentazione e la conservazione dei dati informatici che debbano essere valutati nel procedimento. Diciamo che l’informatica forense inizia laddove la sicurezza informatica ha fallito. Tale disciplina è prevista dalle norme di ratifica della Convenzione di Budapest ed è appannaggio di comparti specializzati della p.g. ( ROS, GATT, polizia postale) e del perito del giudice. Le attrezzature certificate ( hardware) possono essere usate solo per acquisire dati informatici senza danneggiarli. Si tratta dei duplicatori forensi, che eseguono in ambiente isolato e asettico una copia bit-stream dell’unità di memoria, rilasciando apposito certificato contenente il codice hash, calcolo assimilabile alla firma digitale di sigillo; il block writer, che permette di accedere al contenuto della memoria di massa con modalità di sola lettura, impediscono o interrompono la scrittura. E’ comunque necessario osservare alcune cautele come l’acquisizione fotografica del sistema, le annotazioni (ora del sistema e ora reale) e dettaglio della cronologia degli avvenimenti per assicurare la c.d. catena di custodia e per consentire al tecnico di riferire in dibattimento sulle azioni svolte. Si tratta di cautele preordinate ad assicurare la autenticità, completezza, attendibilità e credibilità della prova informatica. 42
Diritto Penale dell’Informatica Appunti Luiss - S.C.
TIPOLOGIE DI SEQUESTRI Può essere disposto il sequestro di mail, anche presso il server di provider, e captazione di mail intese come intercettazioni telematiche. Può essere disposto il sequestro di un sito web o di parti di esso ( preventivo o probatorio), l’oscuramento invece non sarà fisico ma ne impedirà la visibilità in rete; può essere disposto il sequestro del server o di telefoni mobili e PDA ( personal digital assistant). INTERCETTAZIONI La disciplina codicistica non è stata modificata dalla Convenzione di Budapest. Sono dunque applicabili le disposizioni degli articolo 266 ss cpp. Si tratta di attività volte a captare tutte le informazioni in transito verso un computer oggetto di indagine, limitando ad esempio i protocolli volti a rendere illeggibile una comunicazione. Tali attività possono essere espletate anche tramite impianti privati (art. 268 comma 3bis) e possono consistere anche in intercettazioni parametriche ( per parole chiave) o per keylogging ( tutto ciò che viene digitato sulla tastiera se il pc non è collegato in rete) ACQUISIZIONE DATI DI TRAFFICO Si tratta di dati che consento la tracciabilità degli accessi, non sono dunque relativi al contenuto delle comunicazioni. D.lvo 144/12005 detta la disciplina di conservazione dei dati di traffico telefonico o telematico i dati telematici possono essere conservati per sei mesi prorogabili di altri sei per i reati di cui all’articolo 407 comma 2, lett. b c.p.p. ( omicidio, rapina, estorsione9.; i dat telefonici per 24 mesi prorogabili di ulteriori 24 mesi nei casi di cui sopra. E’ sempre necessario il decreto motivato del pm., anche su richesta del difensore che non abbia ottenuto tali dati nel corso delle indagine, senza alcun intervento del gip. IP ogni computer collegato in rete possiede tale indirizzo, composto da 32bit che fornisce insieme alla data/ora una coppia Unica. Pertanto avendo tali dati è possibile individuare la sola linea di collegamento da cui è stata effettuata l’azione su internet. URL ( Uniform Resource Locator) è una sequenza di caratteri che identifica univocamente l’indirizzo di una risorsa internet. Il pc provvede poi automaticamente alla conversione dal formato testuale all’indirizzo IP utilizzando i servizi Domain Name System. LOG Il log di sistema, nei server di rete, memorizza gli eventi significativi che intercorrono tra il sistema, fornitore di servizi, e le applicazioni, come clienti dei servizi stessi. Dunque foriniscono ogni inizio e fine servizio e ogni condizione non normale; vengono registrate le operazioni in via cronologica.
Indagini transnazionali
Art. 23 C. B., obbligo di cooperazione in materia in ossequio ai principi di reciprocità Art. 25 C. B., obbligo di mutua assistenza, scambio di dati e informazioni in via d’urgenza, anche via faz o posta elettronica, poi seguiti da rogatoria. Art. 35, Punto di contatto, assistenza urgente per richieste che indichino il reato, l’oggetto, la finalità della rogatoria Art. 26, trasmissione spontanea di informazioni ritenute utili per le indagini del paese ricevente. Art. 29-30, congelamento dei dati all’estero con il consenso del soggetto che ne dispone anche senza autorizzazione statale 43
Diritto Penale dell’Informatica Appunti Luiss - S.C.
E’ a volte molto difficile identificare l’autore del reato, pare necessario combinare le indagini informatiche a quelle tradizionali. Spesso ci si avvale della combinazione di IP e data/ora per risalire al pc o all’utenza, ma come abbinare la postazione ad una persona fisica? Si tiene conto di criteri come l’allocazione della postazione informatica, la disponibilità di password e username ma ci si avvale anche di tecniche ordinare come i pedinamenti, l’assunzione di informazioni presso terzi, nonché l’osservazione del materiale informatico nel suo complesso Problemi 1. Quale valenza probatoria hanno files di log prodotti direttamente dalla p.o.? E’ necessario operare un controllo tecnico della p.g. affinchè possano entrare con attendibilità nel fascicolo del pm e a disposizione della difesa. 2. Quale valenza probatoria hanno le mail ricevute dalla persona offesa e stampate? sono elementi di prova non è necessario acquisirne il formato elettronico. 3. Le attività di estrazione e acquisizione file sono irripetibili? No a meno che non si debba forzare il sistema/archivio informatico.
BADAMI – Cass. Pen. 16556/2010 IL CASO Nel corso delle indagini preliminari veniva emesso un decreto di acquisizione atti ai sensi dell’articolo 234 cpp dal PM che aveva ad oggetto l’acquisizione di copia della documentazione informatica memorizzata nel pc del Badami. Il RICORSO La difesa eccepiva che il decreto del pm, pur autorizzando la mera acquisizione dei dati in copia, non avrebbe permesso la successiva attività di intercettazione delle comunicazioni informatiche, ai sensi del 266bis c.p.p. Il decreto avrebbe consentito invece anche la non permessa registrazione di file che sarebbero stati creati successivamente, in modo da acquisirli periodicamente, con violazione degli art. 24 e 111 COst. LA CORTE Il ricorso deve essere rigettato. Il ricorso è basato sull’erronea convinzione che le intercettazioni informatiche o telematiche del 266bis siano dirette a captare un flusso di comunicazioni relativo a sistemi o intercorrente tra sistemi informatici, a nulla rilevando il numero di soggetti coinvolti. Invero, nel caso di specie, l’attività captativa non è ascrivibile alla casistica del 266bis. I giudici di merito hanno giustamente chiarito che per flusso di comunicazioni deve intendersi la trasmissione, il trasferimento, di presenza o a distanza, di informazioni da una fonte emittente ad una ricevente, ossia il dialogo delle comunicazioni in corso all’interno di un sistema o tra più sistemi interconnessi, non potendo ritenersi sufficiente l’elaborazione del pensiero e l’esternazione anche se avvenuta per mezzo di un documento informatico quale la mail. Nella specie, l’attività autorizzata dal PM consisteva nel prelevare e copiare i documenti memorizzati sull’hard disk, non avendo ad oggetto un flusso di comunicazioni ma UNA RELAZIONE OPERATIVA TRA MICROPROCESSORE E VIDEO DEL SISTEMA ELETTRONICO, OSSIA UN FLUSSO UNIDIREZIONALE DI DATI CONFINATO ALL’INTERNO DEI CIRCUITI DEL PC.
44