I reati informatici e l’evoluzione del concetto di materialità

L’evoluzione del principio di materialità a seguito dell’introduzione nel nostro ordinamento dei c.d. computer crimes. Focus sulla appropriazione indebita e sulla ricettazione del dato informatico.

Sommario: 1. Introduzione – 2. I reati informatici – 3. Le problematiche sottese ai reati informatici – 4. L’evoluzione principio di materialità

1. Introduzione

A partire dagli anni Ottanta è venuta in essere la problematica della adattabilità del nostro codice penale ai c.d. reati informatici o computer crimes. Lo sviluppo costante delle tecnologie informatiche ha difatti permesso lo sviluppo di nuovi scenari: da qualche decennio la gran parte delle attività umane svolte manualmente o attraverso apparecchiature meccaniche ha ceduto il passo a più efficienti implementazioni digitali.

Il computer è diventato, con frequenza sempre maggiore, strumento o oggetto di attività illecita. Di conseguenza, il legislatore è dovuto intervenire, anche sul piano penale, attraverso l’introduzione di nuove fattispecie criminose definite reati informatici.

Il nostro diritto penale vieta l’applicazione analogica della norma (l’art. 14 delle preleggi vieta il ricorso al procedimento analogico per le norme penali e per quelle che fanno eccezione ai principi generali) e qualifica come reato solo ciò che la legge prevede espressamente come tale (il principio di tipicità del reato indica che la norma penale si applica unicamente agli accadimenti reali che effettivamente si riconnettono alla fattispecie astratta, senza che si possa ricorrere al principio di analogia). Per questo motivo con lo sviluppo delle attività informatiche si sono percepite le prime avvisaglie della necessità che il diritto penale si adeguasse alla possibilità che venissero commessi reati  a mezzo di computer o a danno di sistemi informatici.

Tali avvisaglie sono, poi, risultate giustificate, data l’introduzione di alcuni reati di nuova generazione, di tipo informatico, ad opera della L. n. 547/1993, rubricata “Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura procedura penale in tema di criminalità informatica”; i primi reati informatici venivano intesi come i “reati commessi tramite o ai danni di un computer”. Allo stesso anno risale altresì l’introduzione del reato di accesso abusivo a sistema informatico, di cui all’art. 615 ter c.p., riguardante l’ipotesi del soggetto che accede senza autorizzazione nel computer altrui, e che richiama la fattispecie della violazione di domicilio ex art. 614 c.p.

Ulteriori cambiamenti sono avvenuti a partire dagli anni Duemila. Al 2008 risale la ratifica della Convenzione di Budapest, emanata dal Consiglio d’Europa, che ha riscritto l’orizzonte dei reati cibernetici rispetto alle leggi degli anni Novanta, introducendo una distinzione fra reati attinenti al sistema informatico (cioè alla macchina fisica) ed al sistema telematico (la rete che collega i computer tra loro), e soprattutto definendo le tipologie di reato sulle quali secondo il Consiglio d’Europa si rendeva necessario legiferare in ambito statale: accesso illegale ad un sistema informatico, intercettazione abusiva, frode informatica, danneggiamento informatico, attentato all’integrità dei dati e falsificazione informatica.

In conseguenza di ciò anche la normativa penale italiana si è adeguata all’evoluzione tecnologica, ricomprendendo nel novero dei reati fattispecie prima inesistenti. La successiva L. 48/2008 ha dato applicazione, nell’Ordinamento italiano, alla Convenzione di Budapest. La vera e propria innovazione della legge n. 48/2008 consiste nell’aver equiparato il dato informatico alla cosa mobile.

2. I reati informatici

I reati informatici, o “computer crimes”, costituiscono il risvolto dello sviluppo tecnologico. Sono disciplinati dalla L. 547 del 1993 che integra le norme del codice penale e del codice di procedura penale relative alla criminalità informatica. Per renderne più agevole la comprensione  la dottrina è solita suddividere i reati informatici in due macrocategorie: i reati commessi a mezzo di dispositivo informatico (quale, ad esempio, la frode informatica); i reati commessi a danno di sistema informatico (ad esempio l’accesso abusivo a sistema informatico ovvero il danneggiamento e la sottrazione di dati)

E’ possibile fornire una elencazione dei principali reati informatici:

– la frode informatica, prevista dall’articolo 640 ter c.p.: fattispecie che consiste nell’alterare un sistema informatico allo scopo di procurarsi un ingiusto profitto con altrui danno. Si tratta, pertanto, di un reato consistente nel trarre in inganno un elaboratore elettronico, al fine di ricavarne un guadagno economico (per sé o per altri complici), a danno di un soggetto terzo (solitamente il detentore dell’elaboratore elettronico); consiste, dunque, in una estensione del reato di truffa di cui all’art. 640 c.p. Un esempio può essere intravisto nel comportamento di chi inganna psicologicamente un utente al fine di sottrarre informazioni quali le credenziali bancarie o i documenti d’identità: vi ricadono le cd. pratiche di phishing (attività finalizzata ad estorcere dati personali) e quelle di diffusione di appositi programmi definiti dialer (programmi appositamente scritti per dirottare la connessione Internet dell’utente verso un altro numero telefonico, spesso di tariffazione internazionale).

– le falsità di documenti informatici di cui all’articolo 491‐bis,  rubricato“Documenti informatici”: fattispecie che punisce il caso in cui alcuna delle falsità previste dal Titolo VII, Capo III, “della falsità in atti”, riguardi un documento informatico pubblico avente efficacia probatoria. Il documento informatico ha acquistato, difatti, effettiva valenza legale con la legge n. 59/1997 ma affinchè possa essere valido deve poter essere autenticato e se ne deve poter attribuire la paternità (tramite firma digitale).

– l’accesso abusivo ad un sistema informatico o telematico, disciplinato dall’art. 615 ter c.p.: la norma rende perseguibili l’accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza, o il mantenimento in esso contro la volontà espressa o tacita di chi ne ha diritto. Con questo articolo si vuole tutelare il sistema informatico, inteso come vera e propria estensione del domicilio dell’individuo, al fine di proteggerlo da accessi non autorizzati e da permanenza non gradita; in questa categoria  rientra, per  proporre un esempio, l’accesso senza consenso al profilo Facebook altrui.

– la detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici: l’ art. 615 quater c.p. punisce chi, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza. O chi comunque fornisce indicazioni o istruzioni idonee a raggiungere tale scopo.

– la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinquies c.p.): in questa categoria rientrano tutti i programmi cioè rientranti sotto la categoria di malicious software (o malware), malware, spyware, trojan e dialer.

–il danneggiamento di sistemi informatici e telematici ( art. 635 bis c.p.): la norma punisce chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui.

– la rivelazione del contenuto di documenti segreti, punita dall’art. 621 c.p.: si tratta del caso in cui un soggetto, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto,  Agli effetti della disposizione di cui al primo comma è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi.

– la violazione della riservatezza delle comunicazioni informatiche (articoli 617 e seguenti): nello specifico gli articoli 617‐quater, 617‐quinquies e 617‐sexies  tutelano la riservatezza delle comunicazioni informatiche proprio come nello stesso Codice Penale sono tutelate le comunicazioni per mezzo di apparecchiature telefoniche.

3. Le problematiche sottese ai reati informatici

Una prima problematica che è sorta in relazione all’introduzione di questa nuova disciplina è stata l’individuazione del giudice competente territorialmente.

In caso di reati informatici risultava, difatti, difficoltoso individuare il giudice competente alla stregua del criterio indicato dall’articolo 8 comma 1 c.p.p., che assume come regola generale il luogo nel quale il reato si è consumato; nel caso dei c.d. cyber crimes poteva divenire impossibile risalire al luogo in cui il fatto è avvenuto.

Con specifico riferimento al luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’articolo 615 ter c.p, le Sezioni Unite della Corte di Cassazione (con sentenza n. 17325/ 2015) hanno chiarito che il luogo di consumazione è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente, e non già il luogo nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall’agente. Nelle ipotesi meramente residuali in cui non risulta rintracciabile la piattaforma su cui ha operato il client, trovano applicazione i criteri tracciati dall’articolo 9 c.p.p.

In secondo luogo è un dato di fatto che, nella realtà cibernetica, le tradizionali categorie spazio-temporali vengano abbandonate in favore di concetti  di nuova generazione come la smaterializzazione di dati e informazioni, la delocalizzazione e la de-temporalizzazione. Proprio la difficoltà di adattare questi concetti ai principi generali del diritto penale italiano ha comportato il nascere di una seconda problematica: problemi definitori, riguardanti i concetti di stampa, domicilio e corrispondenza, scaturenti dall’applicazione dei principi penalistici generali ai reati informatici.

Per quel che riguarda la stampa la giurisprudenza si è trovata a dover affrontare la questione spinosa del sequestro di giornale telematico, mediante oscuramento, e quella della tutela del diritto di cronaca.

Le sezioni Unite della Corte di Cassazione, con sentenza n. 31022/2015 hanno chiarito che il sequestro preventivo di giornale telematico è lecito, trattandosi di un provvedimento di coercizione reale rivolto ad un quid materiale (il dato informatico, non provo di fisicità pur essendo in forma di sequenza numerica, in quanto definibile fisicamente all’interno del supporto informatico). La medesima sentenza ha, altresì, smentito il precedente orientamento giurisprudenziale ritenendo applicabili al caso del giornale telematico le stesse garanzie costituzionali previste per la stampa (il diritto di cronaca), in favore di una ragionevole uguaglianza di trattamento. La Corte opera una interpretazione estensiva del termine “stampa”, coerente con il progresso tecnologico, secondo cui occorre unicamente il requisito della pubblicazione, essendo indifferente il supporto sul quale quest’ultima avviene.

In merito al domicilio la citata legge n. 547/1993 ha introdotto specifiche norme finalizzate alla tutela dei sistemi informatici o telematici da condotte delittuose realizzate attraverso l’utilizzo di strumenti informatici, all’interno della Sezione IV, Capo III del codice penale, dedicato ai delitti contro la libertà individuale, ed in particolare le fattispecie di reato inerenti l’inviolabilità del domicilio. Si è, dunque, operata una equiparazione del sistema informatico o telematico (complesso di apparecchiature che utilizzano tecnologie informatiche per la raccolta e la elaborazione di dati al fine di produrre informazioni) al domicilio, estendendo così a questo spazio virtuale la tutela prevista per la sfera individuale,  attraverso la sanzione di condotte anche solo potenzialmente lesive per la sicurezza e la inviolabilità del sistema informatico.

La Corte Suprema, con sentenza n. 42021/2012 ha tracciato i confini corretti del domicilio informatico ex art. 615 ter c.p.: con questo termine si intende lo spazio ideale e fisico in cui sono contenuti i dati informatici di pertinenza della persona, e la norma non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concretizza nello “jus excludendi alios” (il diritto di escludere altri dall’accesso) quale che sia il contenuto dei dati racchiusi in esso.

Infine, con riguardo al concetto di corrispondenza, la legge n. 547/93 ha introdotto la nozione di corrispondenza telematica. La normativa in materia di violazione, sottrazione e soppressione di corrispondenza è, dunque, applicabile anche al caso di posta elettronica. L’art.616 c.p., rubricato “Violazione,sottrazione e soppressione di corrispondenza” si riferisce in particolare alla corrispondenza chiusa.

A differenza di quanto avviene per la corrispondenza cartacea, che di regola è accessibile al solo destinatario, l’uso di un sistema informatico o telematico comporta che occorra una legittimazione che abiliti alla conoscenza delle informazioni in esso custodite; tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano gli impianti. Pertanto, quando in particolare il sistema sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente disponibile da parte di tutti coloro che legittimamente dispongono la chiave informatica di accesso (Cass. Sez. V , sent. n. 47096/ 2007).

4. L’evoluzione principio di materialità

Il principio di materialità ( art. 25 Cost.) comporta che nessuna offesa per quanto grave può essere riconosciuta come penalmente rilevante senza un’azione che ne sia la causa. Il nostro Ordinamento ha tradizionalmente adottato un sistema penale oggettivo, cioè del fatto materiale, che intende la materialità come comportamento umano che si estrinseca nel mondo esteriore ed è suscettibile di percezione sensoria.

Dal brocardo nullum crimen sine actione deriva che nessuno può essere punito per una semplice intenzione (art. 115 c.p.: qualora due o più persone si accordino allo scopo di commettere un reato, e questo non sia commesso, nessuna di esse è punibile per il solo fatto dell’accordo).

La tradizionale concezione del principio di materialità come necessaria estrinsecazione materiale nonchè, ove richiesto, evento modificativo della realtà fenomenica risultava idonea ad essere integrata da una visione della condotta come movimento corporeo cagionato dalla volontà, e, pertanto, trovava applicazione unicamente con riferimento ai delitti dolosi di azione. Venivano escluse le categorie dei reati omissivi nonchè dei reati colposi. In primo luogo, dunque, il concetto di materialità è dovuto necessariamente mutare, al fine di ricomprendere il caso di condotte imprudenti poste in essere in violazione di norme.

In particolare, a seguito della  Convezione di Budapest e della legge statale applicativa n. 48/2008, il concetto di materialtà ha dovuto mutare nuovamente, a seguito dell’espandersi della categoria dei beni materiali. Come già accennato, difatti, la Convenzione ha il pregio di aver equiparato il dato informatico alla cosa mobile.

Il concetto di cosa mobile in riferimento all’impossessamento dei file informatici ha condotto ad una attenta riflessione della giurisprudenza e a due importanti pronunce: la più celebre sentenza Telecom (Corte di Cassazione, 24 maggio 2016, n.21596) e la sentenza Gabiano Telecomunicazioni S.r.l. (Corte di Cassazione, 18 febbraio 2020, n. 11959).

Tramite la sentenza Telecom la Corte ha ritenuto infondata la doglianza basata sulla non configurabilità della ricettazione ex art. 648 c.p. per difetto di materialità. La pronuncia ha ricompreso nel concetto di cosa mobile anche “l’entità materiale su cui beni immateriali vengono trasfusi, anche se è il valore del bene trasfuso che conferisce alla fisicità della cosa la funzione strumentale che ne caratterizza la rilevanza penale. Incorporando il bene immateriale, tali entità materiali infatti acquisiscono il valore di questo, diventando cose idonee a soddisfare quei particolari bisogni umani cui il bene è strumentale. Non può dunque dubitarsi che il supporto informatico, sul quale sono trasferiti i dati indebitamente carpiti attraverso illegittime intrusioni in altrui sistema informatico –  costituenti reati presupposto della ricettazione -, costituisca “cosa”, ed in particolare, “cosa mobile”, proveniente dal delitto di cui all’art. 615 ter c.p., ai sensi ed ai fini dell’art. 648 c.p.“.

Ancora più orientata nel senso di attribuire al dato informatico materialità è la successiva pronuncia n. 11959 dello scorso 13 aprile. In particolare, per ciò che riguarda la natura di “cosa mobile” di un dato informatico, la Corte, con riguardo al delitto di appropriazione indebita ex art. 646 c.p.,  osserva che «il file, pur non potendo essere materialmente percepito dal punto di vista sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i files possono essere conservati e elaborati. L’assunto da cui muove l’orientamento maggioritario, giurisprudenziale e della dottrina, nel ritenere che il dato informatico non possieda i caratteri della fisicità, propri della “cosa mobile” (nella nozione penalistica di quel termine) non è, dunque, condivisibile; al contrario, una più accorta analisi della nozione scientifica del dato informatico conduce a conclusioni del tutto diverse». 

Ecco, dunque, che l’evoluzione del concetto di materialità è giunta all’assunto che è bene materiale non più solamente ciò che è percepibile sensorialmente, ma anche ciò che è costituito in una dimensione fisica se pur rilevabile solo tecnologicamente e non tramite i sensi umani.