La ratifica della Convenzione Cybercrime del Consiglio d Europa LEGGE 18 MARZO 2008, N. 48

Transcript

1 Criminalità informatica La ratifica della Convenzione Cybercrime del Consiglio d Europa LEGGE 18 MARZO 2008, N. 48 Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno. (G.U. 4 aprile 2008, n. 80, Supplemento ordinario) La Camera dei deputati ed il Senato della Repubblica hanno approvato IL PRESIDENTE DELLA REPUBBLICA Promulga la seguente legge: Capo I RATIFICA ED ESECUZIONE Art. 1 Autorizzazione alla ratifica 1. Il Presidente della Repubblica è autorizzato a ratificare la Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, di seguito denominata «Convenzione». Art. 2 Ordine di esecuzione 1. Piena e intera esecuzione è data alla Convenzione, a decorrere dalla data della sua entrata in vigore in conformità a quanto disposto dall articolo 36 della Convenzione stessa. Capo II MODIFICHE AL CODICE PENALE E AL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Art. 3 Modifiche al titolo VII del libro secondo del codice penale 1. All articolo 491-bis del codice penale sono apportate le seguenti modificazioni: a) al primo periodo, dopo la parola: «privato» sono inserite le seguenti: «avente efficacia probatoria»; b) il secondo periodo è soppresso. 2. Dopo l articolo 495 del codice penale è inserito il seguente: «Art. 495-bis. - (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull identità o su qualità personali proprie o di altri). - Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l identità o lo stato o altre qualità della propria o dell altrui persona è punito con la reclusione fino ad un anno». Art. 4 Modifica al titolo XII del libro secondo del codice penale 1. L articolo 615-quinquies del codice penale è sostituito dal seguente: «Art. 615-quinquies. - (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). - Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro ». Art. 5 Modifiche al titolo XIII del libro secondo del codice penale 1. L articolo 635-bis del codice penale è sostituito dal seguente: «Art. 635-bis. - (Danneggiamento di informazioni, dati e programmi informatici). - Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è com- 696 DIRITTO PENALE E PROCESSO N. 6/2008

2 messo con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d ufficio». 2. Dopo l articolo 635-bis del codice penale sono inseriti i seguenti: «Art. 635-ter. - (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). - Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Art. 635-quater. - (Danneggiamento di sistemi informatici o telematici). - Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all articolo 635-bis, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Art. 635-quinquies. - (Danneggiamento di sistemi informatici o telematici di pubblica utilità). - Se il fatto di cui all articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata». 3. Dopo l articolo 640-quater del codice penale è inserito il seguente: «Art. 640-quinquies. - (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica). - Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a euro». Art. 6 Modifiche all articolo 420 del codice penale 1. All articolo 420 del codice penale, il secondo e il terzo comma sono abrogati. Art. 7 Introduzione dell articolo 24-bis del decreto legislativo 8 giugno 2001, n Dopo l articolo 24 del decreto legislativo 8 giugno 2001, n. 231, è inserito il seguente: «Art. 24-bis. - (Delitti informatici e trattamento illecito di dati) In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere c), d) ed e)». Capo III MODIFICHE AL CODICE DI PROCEDURA PENALE E AL CODICE DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196 Art. 8 Modifiche al titolo III del libro terzo del codice di procedura penale 1. All articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole: «, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione». 2. All articolo 247 del codice di procedura penale, dopo il comma 1 è inserito il seguente: DIRITTO PENALE E PROCESSO N. 6/

3 «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione». 3. All articolo 248, comma 2, primo periodo, del codice di procedura penale, le parole: «atti, documenti e corrispondenza presso banche» sono sostituite dalle seguenti: «presso banche atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici». 4. All articolo 254 del codice di procedura penale sono apportate le seguenti modificazioni: a) il comma 1 è sostituito dal seguente: «1. Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica, che l autorità giudiziaria abbia fondato motivo di ritenere spediti dall imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa, o che comunque possono avere relazione con il reato»; b) al comma 2, dopo le parole: «senza aprirli» sono inserite le seguenti: «o alterarli». 5. Dopo l articolo 254 del codice di procedura penale è inserito il seguente: «Art. 254-bis. - (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni) L autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali». 6. All articolo 256, comma 1, del codice di procedura penale, dopo le parole: «anche in originale se così è ordinato,» sono inserite le seguenti: «nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto,». 7. All articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente: «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell obbligo di impedirne l alterazione o l accesso da parte di terzi, salva, in quest ultimo caso, diversa disposizione dell autorità giudiziaria». 8. All articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni: a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»; b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria». Art. 9 Modifiche al titolo IV del libro quinto del codice di procedura penale 1. All articolo 352 del codice di procedura penale, dopo il comma 1 è inserito il seguente: «1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previste, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi». 2. All articolo 353 del codice di procedura penale sono apportate le seguenti modificazioni: a) al comma 2 sono aggiunte, in fine, le seguenti parole: «e l accertamento del contenuto»; b) al comma 3, primo periodo, le parole: «lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza» sono sostituite dalle seguenti: «lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza, anche se in forma elettronica o se inoltrati per via telematica,» e dopo le parole: «servizio postale» sono inserite le seguenti: «, telegrafico, telematico o di telecomunicazione». 3. All articolo 354, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente: «In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l alterazione e l accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all originale e la sua immodificabilità». Art. 10 Modifiche all articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n Dopo il comma 4-bis dell articolo 132 del codice in materia di protezione dei dati personali, di cui al de- 698 DIRITTO PENALE E PROCESSO N. 6/2008

4 creto legislativo 30 giugno 2003, n. 196, sono inseriti i seguenti: «4-ter. Il Ministro dell interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi. 4-quater. Il fornitore o l operatore di servizi informatici o telematici cui è rivolto l ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all autorità richiedente l assicurazione dell adempimento. Il fornitore o l operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall autorità. In caso di violazione dell obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell articolo 326 del codice penale. 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia». Art. 11 Competenza 1. All articolo 51 del codice di procedura penale è aggiunto, in fine, il seguente comma: «3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quater.1, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente». Art. 12 Fondo per il contrasto della pedopornografia su internet e per la protezione delle infrastrutture informatiche di interesse nazionale 1. Per le esigenze connesse al funzionamento del Centro nazionale per il contrasto della pedopornografia sulla rete Internet, di cui all articolo 14-bis della legge 3 agosto 1998, n. 269, e dell organo del Ministero dell interno per la sicurezza e per la regolarità dei servizi di telecomunicazione per le esigenze relative alla protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, di cui all articolo 7-bis del decretolegge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, è istituito, nello stato di previsione del Ministero dell interno, un fondo con una dotazione di 2 milioni di euro annui a decorrere dall anno Agli oneri derivanti dal presente articolo, pari a 2 milioni di euro annui a decorrere dall anno 2008, si provvede mediante corrispondente riduzione dello stanziamento iscritto, ai fini del bilancio triennale , nell ambito del fondo speciale di parte corrente dello stato di previsione del Ministero dell economia e delle finanze per l anno 2008, allo scopo parzialmente utilizzando l accantonamento relativo al Ministero della giustizia. 3. Il Ministro dell economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio. Capo IV DISPOSIZIONI FINALI Art. 13 Norma di adeguamento 1. L autorità centrale ai sensi degli articoli 24, paragrafo 7, e 27, paragrafo 2, della Convenzione è il Ministro della giustizia. 2. Il Ministro dell interno, di concerto con il Ministro della giustizia, individua il punto di contatto di cui all articolo 35 della Convenzione. Art. 14 Entrata in vigore 1. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale. La presente legge, munita del sigillo dello Stato, sarà inserita nella Raccolta ufficiale degli atti normativi della Repubblica Italiana. È fatto obbligo a chiunque spetti di osservarla e di farla osservare come legge dello Stato. DIRITTO PENALE E PROCESSO N. 6/

5 PROFILI DI DIRITTO PENALE SOSTANZIALE Lorenzo Picotti L obiettivo di dare piena attuazione alla Convenzione Cybercrime, attraverso la frettolosa legge di ratifica 48/2008, appare solo parzialmente raggiunto sul piano del diritto penale sostanziale. Muovendo dalle incriminazioni già introdotte dalla l. 547/1993 contro la criminalità informatica ed operando alcuni interventi rispondenti a mere esigenze di riforma del diritto interno - soppressione della definizione di documento informatico ai fini penali (art. 491-bis c.p.), introduzione di due nuovi delitti in materia di firme elettroniche (artt. 495-bis e 640-quinquies c.p.) - il legislatore ha riformulato soltanto i reati di danneggiamento informatico: dal delitto-ostacolo concernente i dispositivi maligni (art. 615-quinquies c.p.), alle ben quattro ipotesi incriminatrici distinte a seconda che riguardino dati privati (art. 635-bis c.p.) o di pubblica utilità (art. 635-ter c.p.), sistemi informatici privati (art. 635-quater c.p.) o di pubblica utilità (art. 635-quinquies c.p.). La novella estende infine a tutti i reati informatici la responsabilità amministrativa delle persone giuridiche (ex d.lgs. 231/2001). Ma il complesso che ne risulta presenta incongruenze tecniche e sistematiche. 1. Introduzione: iter di approvazione della legge e sguardo d insieme dei profili sostanziali La l. 18 marzo 2008 n. 48, che si commenta, è stata approvata sul finire della scorsa legislatura (1), dopo il decreto di scioglimento anticipato delle Camere, in tempi eccezionalmente rapidi e con il consenso pressoché unanime di maggioranza ed opposizione, che ha reso possibile un improvvisa accelerazione del suo iter parlamentare. Dopo la presentazione del disegno di legge governativo nel giugno 2007, che recuperava - con notevoli sviste ed approssimazioni - una parte dei risultati cui era giunta la precedente commissione interministeriale incaricata di redigerlo (2), ben poco cammino era invero stato fatto nelle due sole sedute preliminari delle Commissioni Giustizia ed Affari esteri della Camera, tenutesi nell autunno di quell anno (3). Poi, in un sol giorno (19 febbraio 2008), è stato concluso l esame in sede referente e trasmesso il testo all aula, con un unico emendamento (4); ed il giorno successivo vi è stata l approvazione e trasmissione al Senato, che a sua volta esauriva in poche ore, fra passaggio nelle commissioni ed in aula, sia l esame che il voto finale, intervenuto senza modifiche il 27 febbraio Maggior tempo occorreva per la promulgazione definitiva e la pubblicazione nella Gazzetta ufficiale (5). In tanta fretta, non c è da stupirsi se - nonostante la delicatezza della materia, sottolineata dal relatore al Senato, nominato peraltro il medesimo giorno ed autorizzato alla sola relazione orale (6) - sono state approvate norme con formulazioni delle cui incongruenze i parlamentari stessi si sono dichiarati consapevoli, salvo trincerarsi dietro l auspicio che la magistratura le avrebbe sapute superare in sede interpretativa, essendo da tutti considerata preminente l esigenza di non apportare modifiche che rallentassero od impedissero l approvazione finale, nel condiviso fine di consentire l adeguamento dell ordinamento italiano alla normativa internazionale (7) mediante l autorizzazione alla ratifica della Convezione Cybercrime del Consiglio d Europa, aperta alla firma a Budapest il 23 novembre 2001 e già allora sottoscritta dall Italia. (1) La legge è stata approvata definitivamente dal Senato della Repubblica nella seduta del 27 febbraio 2008 e quindi pubblicata in Gazz. Uff. il 4 aprile 2008, n. 80, Suppl. ord., entrando in vigore - ai sensi del suo art il giorno successivo. Non risulta tuttora depositato l atto formale di ratifica. Va in questa sede segnalata la pessima qualità della traduzione (non ufficiale)in italiano della Convenzione, allegata al testo legislativo, che addirittura tradisce il significato di alcuni termini tecnici di fondamentale importanza: quale ad es. il concetto di traffic data (nel testo ufficiale inglese) e données relatives au trafic (in quello francese), definito esplicitamente dalla lett. d) dell art. 1 Convenzione, ma tradotto con la forviante locuzione trasmissione di dati [sic!]; altrettanto dicasi per quello di devices (nel testo ufficiale inglese) e dispositifs (in quello francese), il cui complesso contenuto è ricavabile dalla formulazione dell art. 6 (cfr. infra, par. 3-a), ma tradotto riduttivamente come apparecchiature. (2) Per riferimenti critici al tortuoso cammino dei lavori per la predisposizione del disegno di legge di ratifica si veda già C. Sarzana di Sant Ippolito, Sicurezza informatica e lotta alla cybercriminalità: confusione di competenze e sovrapposizione di iniziative amministrative e legislative, in Dir. Internet, 2005, n. 5, 437 s., in specie (3) Il d.d.l. governativo n è stato presentato alla Camera dei Deputati il 19 giugno 2007 ed assegnato alle Commissioni Giustizia (2^) ed Affari esteri e comunitari (3^), che ne hanno iniziato l esame il 25 settembre ed il 3 ottobre 2007, riprendendolo poi solo il 19 febbraio 2008 e concludendolo in un giorno, quando è stato trasmesso all aula con tutti i pareri favorevoli (si veda il relativo resoconto in - A.C. 2807). (4) Relativo all art. 4 della legge, portante la nuova formulazione dell art. 615-quinquies c.p., da cui - su proposta condivisa del Comitato dei diciotto - è stato espunto dagli elementi del reato il fine specifico di profitto, per lasciare solo lo scopo di danneggiare illecitamente così da colpire soltanto chi voglia assaltare o aggredire un sistema non anche le aziende e le altre realtà che producono software per la sicurezza (intervento dell on. Pietro Folena in appoggio alla proposta annunciata dal Relatore per la III Commissione Affari esteri, on. Pietro Zacchera), nel resoconto cit. (5) Cfr. nota 1. (6) Cfr. resoconto della seduta del 27 febbraio 2008 (durata dalle alle 14.40) delle Commissioni riunite Giustizia (2^) ed Affari esteri (3^) del Senato, reperibile al sito ufficiale (atto n. 2012). (7) Cfr. intervento del Relatore sen. Felice Casson in replica ai rilievi del sen. Centaro, in resoconto della seduta del 27 febbraio 2008 cit. alla nota precedente. 700 DIRITTO PENALE E PROCESSO N. 6/2008

6 Ma la piena ed intera esecuzione, che ai sensi dell art. 2 l. 48/2008 le è stata formalmente data - ed avrà pieno effetto per i profili di diritto internazionale soltanto dal momento del formale deposito dell atto di ratifica - non trova soddisfacente riscontro nelle norme sostanziali e processuali ora introdotte nel nostro ordinamento. Limitandosi in questa sede alle prime - artt. da 3 a 7 costituenti il Capo II della legge in esame - si riscontra, in primo luogo, l inserimento o la modifica di fattispecie penali che non appaiono affatto esecutive della Convenzione, rispondendo piuttosto ad autonome scelte del legislatore nazionale, il quale sembra aver colto l occasione della legge in questione per rivedere alcune parti controverse della disciplina già vigente in materia. Emblematica è al riguardo la modifica dell art. 491-bis c.p., contenente la definizione di documento informatico (cfr. infra par. 2-a); ma ancor più autonoma rispetto alle esigenze di armonizzazione connesse alla ratifica è l introduzione dei due nuovi delitti di cui all art. 495-bis c.p., che punisce la falsa dichiarazione o attestazione al certificatore di firma elettronica (cfr. infra par. 2-b), ed all art. 640-quinquies c.p., che punisce la frode informatica del soggetto che presta servizi di certificazione di firma elettronica (cfr. infra par. 2-c). In secondo luogo, quanto alle norme di diritto penale sostanziale effettivamente introdotte o modificate per dare esecuzione alla Convenzione, esse si riducono a quelle contenute negli artt. 4 e 5 l. 48/2008, che presentano rilevanti manchevolezze tecniche e sistematiche. La prima disposizione ha sostituito l originaria formulazione dell art 615-quinquies c.p., con una nuova tipizzazione del delitto che avrebbe dovuto renderlo più aderente al testo dell art. 6 Convenzione Cybercrime - secondo cui deve sanzionarsi penalmente il c.d. abuso di dispositivi - punendo più ampiamente la diffusione di apparecchiature, dispositivi e programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (cfr. infra par. 3-a). La seconda disposizione, composta di numerosi commi, ha invece riscritto l intero sistema delle fattispecie di danneggiamento informatico, non solo modificando la preesistente incriminazione del danneggiamento di informazioni, dati e programmi informatici (corsivo aggiunto alla rubrica dell art. 635-bis c.p., su cui cfr. infra par. 3-b), ma introducendo accanto ad essa addirittura tre nuove ipotesi delittuose, consistenti rispettivamente nel danneggiamento di sistemi informatici o telematici (corsivo aggiunto alla rubrica del nuovo art. 635-quater c.p., su cui cfr. infra par. 3-c) e nei due paralleli delitti di danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (corsivi aggiunti alla rubrica del nuovo art. 635-ter c.p.), nonché di sistemi informatici o telematici di pubblica utilità (corsivi aggiunti alla rubrica del nuovo art. 635-quinquies c.p., su cui cfr. infra par. 3-d). La novella è completata, sul punto, dalla contemporanea abrogazione - ad opera dell art. 6 l. 48/ dei commi secondo e terzo dell art. 420 c.p., che punivano rispettivamente la fattispecie di attentato ad impianti di pubblica utilità concernente sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti (corsivi aggiunti), nonché l ipotesi aggravata dall effettiva distruzione o [ ] danneggiamento [ ] ovvero [ ] interruzione anche parziale del funzionamento dell impianto o del sistema (corsivo aggiunto; cfr. infra par. 3-d). Completa, infine, le modifiche di diritto sostanziale punitivo l art. 7 l. 48/2008, che in adempimento degli artt. 12 e 13, par. 2, Convenzione Cybercrime - ed in conformità con l art. 9 Decisione quadro UE 2005/222/GAI contro gli attacchi informatici (8), riguardante peraltro i soli delitti di accesso abusivo ad un sistema informatico ed i danneggiamenti di dati e sistemi informatici - ha aggiunto al d.lgs. 8 giugno 2001, n. 231, un nuovo art. 24-bis che ha esteso la responsabilità amministrativa da reato delle persone giuridiche e degli enti a tutte le nuove fattispecie delittuose in materia di criminalità informatica introdotte nel nostro codice penale sia dalla legge di ratifica in esame (con esclusione del solo art. 495-bis c.p., concernente la falsa attestazione al certificatore), sia dalla precedente l. 547/1993, salva l anomala esclusione del delitto di frode informatica, di cui all art. 640-ter c.p., se non commesso in danno dello Stato o di altro ente pubblico, cui tuttora si limita la previsione dell art. 24 d.lgs. 231/2001, mantenuta stranamente nell originaria formulazione (cfr. infra par. 4). 2. Le novelle in materia di falsità informatiche e di certificazioni relative alle firme elettroniche Il primo gruppo di modifiche riguarda la materia delle falsità informatiche, cui si deve ricondurre anche la nuova disciplina penale concernente il sistema di certificazioni delle firme elettroniche. Benché si tratti di disposizioni collocate dal legislatore del 2008 in tre capi diversi del codice penale, ed anzi una addirittura nel titolo XIII fra i delitti contro il patrimonio - perché configurata come ipotesi di frode (art. 640-quinquies c.p.): il che ha determinato la sua introduzione ad opera dell art. 5, anziché dell art. 2 l. 48/ la loro stretta connessione concettuale e la comune pertinenza alla tutela della fede pubblica ne suggerisce una trattazione ravvicinata. a) Le modifiche alla definizione di documento informatico ai fini penali (art. 491-bis c.p.). Il primo intervento concerne l art. 491-bis c.p., di cui è stato soppresso (art. 3, comma 1, lett. b) l. 48/2008) il secondo periodo del comma 1, contenente la defini- Nota: (8) Pubblicata in Gazz. Uff. UE del 16 marzo 2005 L 69/67 s., stabiliva il termine del 16 marzo 2007 per la sua attuazione. Per un veloce raffronto fra le previsioni della menzionata Decisione quadro e quelle della Convenzione Cybercrime sia consentito rinviare a L. Picotti, Internet e diritto penale: il quadro attuale alla luce dell armonizzazione internazionale, in Diritto dell Internet, 2005, n. 2, 189 s. DIRITTO PENALE E PROCESSO N. 6/

7 zione normativa di documento informatico, essendosene finalmente riconosciuta la sopravvenuta inadeguatezza (9). La norma era stata introdotta dalla citata l. 547/1993 contro la criminalità informatica, per rendere più certo l ambito di estensione applicativa dei delitti di falsità documentale ai nuovi oggetti di tutela, stabilito dalla prima parte del medesimo comma 1, che richiamava tutte (e sole) le disposizioni concernenti rispettivamente gli atti pubblici e le scritture private (art. 491-bis, comma 1, primo periodo, c.p.) Il legislatore italiano aveva perciò coniato un originale nozione ad hoc, pur in assenza di specifica disciplina ed addirittura di qualsivoglia definizione giuridica di documento informatico ai fini civili od amministrativi, invertendo logicamente i rapporti fra diritto penale ed ordinamento extrapenale. Ma oggi ha finalmente abbandonato la criticata prospettiva autonomista seguita 15 anni or sono, che non trovava riscontro nell esperienza comparatistica e neppure nelle fonti internazionali, salvo l indiretto spunto proveniente dalla formulazione delle Raccomandazioni del Consiglio d Europa del Queste infatti richiamavano, a proposito della falsità informatica prevista alla lettera b) della c.d. lista minima delle incriminazioni da introdurre, generiche condotte di ingerenza in un trattamento informatico, qualificate da una sorta di clausola di equivalenza, per la quale esse secondo il diritto nazionale costituirebbero reato di falso, se riguardassero un oggetto tradizionale di questo tipo di infrazione (10). Ma come già rilevato fin dal primo commento, questa formula era meramente ipotetica, escludendo a contrario la (necessità di) coincidenza effettiva fra documento (tradizionalmente inteso) ed oggetto da tutelare nei casi di falsità informatica (11). In ogni caso, la formulazione introdotta dalla l. 547/1993 si presentava intrinsecamente inadeguata alla realtà da regolare, perché poneva l accento sul supporto - informatico anziché cartaceo - che avrebbe caratterizzato il documento informatico, concepito in troppo stretta analogia con la comune nozione di documento, elaborato da una risalente tradizione giuridica extrapenale, fino a presupporre addirittura che, al pari di questo, dovesse incorporare (o contenere, secondo la terminologia del legislatore del 1993), la dichiarazione di volontà o di scienza che lo costituisce. Tanto che la giurisprudenza, seguendo un interpretazione in chiave di accentuata continuità con il passato - cui non è stata estranea l esigenza contingente di garantire la punibilità di falsità commesse prima dell entrata in vigore della nuova disciplina - ha affermato addirittura, a più riprese, che la definizione di documento informatico introdotta ai fini penali nel 1993 non avrebbe avuto carattere innovativo o costitutivo, ma solo interpretativo od esplicativo dell estensione, anche alle nuove modalità di formazione e memorizzazione su supporti informatici, della nozione unitaria di documento (12), concepita come categoria perdurante nel tempo, di cui quello informatico rappresenterebbe al più una species, anziché un quid novum in rapporto, piuttosto, di mera analogia con il concetto tradizionale (13). Quest approccio, basato sull argomento dell eadam ratio che sorregge l estensione sostanzialmente analogica della portata della norma, seppur criticabile per l erosione dei fondamentali principi di tassatività ed irretroattività in materia penale, ha però anche fatto emergere la condivisibile esigenza di valorizzare il contenuto funzionale e normativo della nozione di documento, che rinviando alle discipline dei diversi rami dell ordinamento giuridico in cui si è sviluppato, a partire da quello civile ed amministrativo, avrebbe dovuto emanciparsi dall angusto contenuto della formula fissata dal legislatore del 1993 al solo fine di rendere applicabili le fattispecie incriminatrici in materia di falsità documentale (14). Mentre sul piano tecnico, l imponente sviluppo - rispetto ai primi anni 90 - delle comunicazioni telematiche e delle connessioni in rete, in cui i dati non devono (9) Così si legge nella Relazione d accompagnamento al d.d.l. n. 2807, 5. (10) Conseil de l Europe, Raccomandation N. R (89) 9 contre la criminalité informatique (corsivo agg.). Per una più approfondita analisi critica di questa formulazione ed alcuni spunti di comparazione giuridica, specie con la nuova legislazione tedesca in materia, si veda L. Picotti, Studi di diritto penale dell informatica, Verona, 1992, in specie 95 s.; e già Id., Problemi penalistici in tema di falsificazione di dati informatici, in Dir. inf., 1985, 939 s., nonché - con aggiornamenti ed integrazioni - in F. Ferracuti (cur.), Trattato di criminologia, medicina criminologica e psichiatria forense, vol. X, Milano, 1988, cap. 10.2, 21 s. (11) L. Picotti, Commento all art. 3 L. 23/12/1993 N. 547, in Leg. pen., 1996, 62 s., in specie 73-74; nonché Id., Reati informatici, in Enc. Giur. Treccani, vol agg. VIII, Roma 1999, 10 s.; in senso adesivo a tali critiche G. Pica, Diritto penale delle tecnologie informatiche, Torino 1999, 115 s., in specie ; Id., voce Reati informatici e telematici, in Dig. pen., vol, agg. I, Torino 2000, 521 s., in specie (12) Cass., Sez. V, 24 novembre 2003, Russello, in Foro it., 2005, II, c. 324 s., con motivazione e nota di richiami a precedenti sull asserita natura interpretativa e non innovativa, della norma in questione: fra cui Cass., Sez. V, 14 marzo maggio 2003, Sciamanna, in D&G, 2003, n. 22, 50, con nota di M. Fumo, I database informatici della PA sono pur sempre pubblici registri. Per un quadro in materia cfr. M. Grotto, Regime giuridico del falso informatico e dubbi sulla funzione interpretativa dell art. 491-bis c.p., in Dir. inf., 2006, 589 s. Ma la stessa giurisprudenza ha poi dovuto riconoscere che il concetto avrebbe quantomeno una seconda articolazione, necessariamente innovativa, perché riguardante i programmi destinati ad elaborare i dati informatici come tali (Cass., Sez. V, 21 settembre 2005, dep. 14 dicembre 2005, n /2005, CED Cass. pen. 2005, , edita in Dir. Internet, 2006, n. 3, 255 s., con nota di G. Pica, Osservazioni sui problemi del falso informatico). (13) In tal senso si rinvia sinteticamente a L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (cur.), Il diritto penale dell informatica nell epoca di Internet, Padova 2004, 61-65; più di recente M. Grotto, Regime giuridico, cit., (14) Per ulteriori notazioni critiche sui limiti sistematici anche di tale clausola, che pareva ignorare qualsiasi altra fattispecie di falsità estranea al Capo III del Titolo VII contenente i delitti contro la fede pubblica (viceversa presenti in molte altre parti del codice e nella legislazione speciale), si veda ancora L. Picotti, Commento all art. 3, cit., 91 s. 702 DIRITTO PENALE E PROCESSO N. 6/2008

8 e per lo più non sono affatto incorporati o contenuti stabilmente in un supporto determinato, ma anzi hanno lo specifico pregio di poter essere riprodotti, trattati, venir trasmessi a distanza, circolare, ecc. a prescindere dalle sorti di quello in cui pur siano momentaneamente, parzialmente od anche stabilmente memorizzati (o contenuti ), hanno dato chiara dimostrazione dell inidoneità di una tutela penale concepita come avente ad oggetto i supporti (15), anziché direttamente i contenuti dichiarativi o probatori trattati con le tecnologie informatiche. Le loro specifiche caratteristiche - specie nel caso di trasmissioni via internet, satellitari, wireless, ecc. - consentono o richiedono di recuperare e trattare i contenuti informativi e dichiarativi di dati visualizzabili e riproducibili anche a stampa come atti unitari, da distinti supporti, memorie o fonti, che solo in via elettronica sono connessi in un unità logica, escludendo definitivamente che la protezione dei documenti informatici, se così li si vuole continuare a chiamare nel nostro ordinamento, possa ridursi o basarsi su quella dei relativi supporti. In ogni caso, la formulazione dell art. 7 Convenzione Cybercrime - collocato nel Capitolo I, titolo 2, riguardante le infrazioni informatiche per così dire classiche, che comprendono anche la frode informatica (art. 8) - prescrive l incriminazione della falsità informatica nei seguenti termini: l introduzione, l alterazione, la cancellazione o la soppressione intenzionali e senza diritto di dati informatici, che generino dati non autentici, nell intenzione che essi siano presi in conto o utilizzati a fini giuridici come se fossero autentici, che siano o no direttamente leggibili od intelligibili (corsivo agg.). Nell ultima parte della disposizione la Convenzione lascia agli Stati parte di esigere altresì, per la punibilità, un intenzione fraudolenta o delittuosa similare. Dunque, non occorre affatto ricondurre l oggetto della falsificazione alla nozione giuridica di documento tradizionalmente inteso, essendo essenziale soltanto che sia punita la violazione del requisito dell autenticità dei dati o del loro trattamento, quando abbiano specifica rilevanza nel traffico giuridico, a prescindere dalla loro diretta leggibilità per l uomo. Di conseguenza, appare senz altro opportuna la definitiva soppressione, da parte del legislatore italiano, della criticata nozione - esclusivamente penalistica - di documento informatico, con logico rinvio alla nozione generale nel frattempo sviluppatasi nell ordinamento extrapenale e suscettibile di ulteriore evoluzione, a partire dalla definizione offerta dall art. 1, lett. a) d.p.r. 10 novembre 1997, n. 513 (cui fa espresso richiamo la Relazione d accompagnamento al d.d.l. n del 2007), recepita poi nel T.U. in materia di documentazione amministrativa approvato con d.p.r. 28 dicembre 2000, n. 445 e confluita infine nell art. 1, lett. p) del Codice dell amministrazione digitale, approvato con d. lgs. 7 marzo 2005, n. 82 e da ultimo modificato dal d.lgs. 4 aprile 2006, n Secondo questa definizione è documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (corsivi agg.). Due sono gli essenziali elementi elastici, di cui occorre sottolineare la funzione adeguatrice alla mutevole realtà odierna: quello che rinvia all evoluzione della tecnologia informatica e quello che richiama la pluralità delle diverse fonti normative, da cui dipende la rilevanza giuridica dei singoli atti, fatti o dati oggetto di una siffatta forma di rappresentazione, senza che vi sia più alcun richiamo al relativo supporto. In tal modo la nozione può costantemente corrispondere alle esigenze dei diversi ambiti dell ordinamento giuridico, da quello civile (16), a quello amministrativo, fino a quello fiscale, penale, ecc., secondo le specifiche disposizioni rispettivamente rilevanti e modificabili, nonché l evoluzione tecnica futura. Il concetto, di natura squisitamente normativa, trova importante completamento nella disciplina delle firme elettroniche (sui cui specifici profili penali si tornerà nel successivo paragrafo), confluita nel medesimo Codice dell amministrazione digitale, che stabilisce importanti regole - basate su disposizioni comunitarie - per l attribuzione della paternità dei documenti informatici al loro autore apparente, condizione decisiva per la correlativa tutela della loro autenticità oltre che genuinità (17). (15) Nel senso criticato la Relazione d accompagnamento al d.d.l. n presentato alla Camera dei Deputati l 11marzo 1993, 9 (in Atti parlamentari - XI Legislatura), in cui si parla esplicitamente del supporto informatico quale oggetto del reato. In senso analogo si è orientata anche la dottrina italiana dell epoca: C. Sarzana di Sant Ippolito, Informatica e diritto penale, Milano 1994, 209; M. Petrone, Le recenti modifiche del codice penale in tema di documento informatico: problemi e prospettive, in Dir. inf., 1995, 259 s., in specie ; successivamente anche C. Parodi, Il documento informatico nel sistema normativo penale, in questa Rivista, 1998, n. 3, 369 s.; C. Pecorella, Il diritto penale dell informatica, Padova 2000 (rist. 2006), 145 s. (16) Ad es. con riferimento al requisito della forma scritta nelle diverse specie di atti per cui è richiesta dal codice civile (art. 20, comma 2, con riferimento all art c.c.), oppure con riferimento al valore delle riproduzioni (art c.c., modificato ai sensi dell art. 23, comma 1, Codice cit.) e copie (art. 23, comma 3, Codice cit., con riferimento agli artt 2714 e 2715 c.c.). (17) La complessa disciplina introdotta dal d.lgs. 23 gennaio 2002, n. 10, in attuazione della Direttiva 1999/93/CE del 13 dicembre 1999, porta a distinguere esplicitamente l efficacia o valore probatorio del documento informatico a seconda della tipologia della stessa firma elettronica (semplice, digitale o qualificata ): cfr. oggi l art. 20, comma 2, Codice cit., secondo cui Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale, formato nel rispetto delle regole tecniche stabilite ai sensi dell articolo 71, che garantiscano l identificabilità dell autore, l integrità e l immodificabilità del documento, si presume riconducibile al titolare del dispositivo di firma ai sensi dell articolo 21, comma 2, e soddisfa comunque il requisito della forma scritta, anche nei casi previsti, sotto pena di nullità, dall articolo 1350, primo comma, numeri da 1 a 12 del codice civile ; ed il successivo art. 21, in specie commi 1 e 2, secondo cui (segue) DIRITTO PENALE E PROCESSO N. 6/

9 Infatti le alterazioni o contraffazioni - corrispondenti alla tradizionale nozione di falsità materiale (18) - realizzate o meno con manipolazioni o tecniche informatiche, sono chiaramente individuabili e dunque eventualmente punibili, alla stregua di dette regole, anche in assenza di qualsivoglia intervento fisico sulla res (supporto) che incorpori più o meno stabilmente il contenuto dichiarativo o rappresentativo e l eventuale sottoscrizione, a prescindere dalla formulazione in una scrittura o linguaggio direttamente leggibili od intelligibili dall uomo. Accanto all opportuna abrogazione del secondo periodo del comma 1 dell art. 491-bis c.p., l art. 3, comma 1, lett. a) l. 48/2008 ha invece inteso mantenere in vita la locuzione avente efficacia probatoria, anticipandola nel primo periodo, dopo la frase d esordio: Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato. Si potrebbe ritenere che si tratti di un requisito in realtà implicito nel concetto stesso di documento informatico offerto dall esaminata definizione extrapenale, o che addirittura si ponga in contraddizione con questa, per la diversità della più generica locuzione giuridicamente rilevanti ivi contenuta. Ma proprio la disciplina extrapenale, regolando in modo differenziato il valore probatorio dei documenti informatici e mantenendo fermo il principio della libera valutabilità in giudizio anche in caso di sottoscrizione (art. 21, comma 1, Codice cit.), salvi i casi riconducibili al sistema di presunzioni in materia, ne attesta la differente efficacia che ad essi può venir riconosciuta, in funzione soprattutto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (art. 21, comma 2, Codice cit.) che li connotino, nonché delle diverse tipologie di firma elettronica di cui siano o meno muniti (cfr. art. 20, in specie comma 2 Codice dell amministrazione digitale). Dato questo articolato contesto di disciplina, che investe ogni settore del diritto - a partire da quello civile ed amministrativo - l elemento dell efficacia probatoria non va inteso in chiave meramente processuale, ma nel più ampio significato di funzione o rilevanza probatoria che assumono in concreto i dati ed i trattamenti informatici, rispondonenti - nell odierna società informatizzata - a quelle medesime esigenze di certezza ed affidamento nella rappresentazione (tramite atti, fatti e dati) dei rapporti rilevanti nel traffico giuridico (19), per cui meritano una protezione penale del tutto equivalente - non per questo identica - a quella apprestata ai documenti tradizionalmente intesi. Il requisito in questione non è dunque superfluo, dovendo invece guidare l interprete nella spesso sottile distinzione fra la molteplicità di dati e trattamenti informatici, che pur possono venire in rilievo anche a specifici fini giuridici, ma senza godere di una siffatta tutela, perché privi di funzione o rilevanza probatoria, benché possano eventualmente goderne una diversa, anche penale, qual è ad es. quella stabilita contro i danneggiamenti informatici (di cui si tratterà infra, par. 3) ovvero contro le violazioni concernenti la disciplina dei dati personali, se ne abbiano i requisiti (20). b) Il nuovo delitto di false dichiarazioni al certificatore (art. 495-bis c.p.) Completano le modifiche in materia di tutela penale della fede pubblica informatica le due nuove fattispecie incriminatrici, che - senza alcun riferimento alle previsioni della Convenzione Cybercrime - puniscono comportamenti illeciti consistenti nella violazione di regole relative alla disciplina italiana delle c.d. firme elettroniche (21), concernenti in particolare i rapporti fra gli utenti ed il soggetto che esercita servizi di certificazione. Si tratta di norme penali che vanno dunque lette in stretta connessione con le relative disposizioni extrapenali, oggi contenute nel citato Codice dell amministrazione digitale (in specie nella Sezione II del Capo I, artt. da 24 a 37). Da un lato, viene introdotto fra i delitti contro la fede pubblica, di cui al titolo VII del libro II del codice penale - ma nel capo IV dedicato alla falsità personale anziché nel III dedicato alla falsità in atti in cui si collocano quelle informatiche appena esaminate - il nuovo delitto di falsa dichiarazione o attestazione al certificatore di firma elettronica sull iden- (continua nota 17) 1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. 2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l efficacia prevista dall articolo 2702 del codice civile. L utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. (18) Come già sottolineato fin dal nostro primo commento all art bis c.p., non pone invece speciali problemi - ulteriori rispetto a quello dell individuazione della nozione di documento informatico - la condotta di falsità ideologica, che offendendo il diverso bene della veridicità del contenuto ideale del documento, non si differenzia essenzialmente da quella relativa ad un documento tradizionale, avendo come comune parametro di riferimento la realtà oggettiva esterna, che rappresenta il contenuto dell attestazione da parte del soggetto tenuto al relativo obbligo (L. Picotti, Commento all art. 3, cit., 94). (19) Per l interpretazione in tal senso della locuzione che già compariva nel secondo periodo del comma 1 art. 491-bis c.p. si rinvia ancora a L. Picotti, Commento all art. 3, cit., 76 s. (20) Per più ampi riferimenti al riguardo, che fondano ad es. la differente repressione del falso per soppressione rispetto al danneggiamento informatico, benché la condotta materiale che li integra possa essere del tutto identica, sia consentito rinviare a L. Picotti, Studi, cit., 99 s., nonché 64 s. con riguardo al corrispondente sistema penale tedesco. (21) Non è questa la sede per analizzare e considerare criticamente le tormentate scelte del legislatore nazionale al riguardo, che secondo alcuni punti di vista critici avrebbero eccessivamente reso complessa la disciplina, senza nel contempo garantire sufficiente efficienza all intero sistema. Per un quadro di sintesi si veda G. Navone, La firma digitale ed il sistema di certificazione quale nuovo strumento di pubblicità legale, in Diritto dell Internet, 2008, n. 2, 113 s., cui si rinvia anche per aggiornati richiami bibliografici in materia. 704 DIRITTO PENALE E PROCESSO N. 6/2008

10 tità o qualità personali proprie o di altri (nuovo art. 495-bis c.p.). Dall altro è collocato addirittura fra i delitti contro il patrimonio mediante frode di cui al capo II del titolo XIII della parte speciale del codice penale, il nuovo reato proprio di frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art quinquies c.p.: cfr. infra sub c). Nel primo caso, ora in esame, si tratta invece di un reato comune, realizzabile da chiunque rilasci al certificatore una dichiarazione od attestazione falsa ideologicamente (perché non veridica) o materialmente (perché non genuina) sull identità o lo stato o altre qualità personali, visto che nel certificato qualificato - necessario per generare la firma digitale - si devono rilevare, secondo le regole tecniche stabilite con appositi decreti ministeriali, oltre alla validità del certificato stesso, gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d uso (art. 24, comma 4, Codice dell amministrazione digitale). Si deve ritenere che siano oggetto dell obbligo di veridica dichiarazione od attestazione penalmente sanzionato non solo tutti i dati elencati come obbligatori dai commi 1 e 2 dell art. 28 Codice cit., ma anche quelli meramente facoltativi, di cui al comma 3, che riguardano informazioni rilevanti, ed anzi assai importanti nel traffico giuridico, quali le qualifiche specifiche del titolare (appartenenza ad ordini o collegi professionali, qualifica di pubblico ufficiale, iscrizione ad albi o possesso di altre abilitazioni professionali, poteri di rappresentanza), i limiti d uso del certificato, i limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato (22). Pur essendo rimessa al titolare od al terzo interessato la facoltà di richiedere che il certificato contenga le predette informazioni, vi è infatti un generale obbligo di comunicare tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto di tutte le informazioni di cui all intero art. 28 cit., siano esse obbligatorie ovvero facoltative. Ed è anzi proprio in relazione a queste ultime che appare importante la previsione sanzionatoria che si commenta, potendo altrimenti restare la loro falsa attestazione o dichiarazione del tutto priva di sanzione penale, mentre in relazione alle altre potrebbe ipotizzarsi anche il delitto di cui all art. 494 c.p., se non quelli di cui agli artt. 495 e 496, ove si voglia ritenere sussistente una qualifica pubblicistica del certificatore ai fini penali. Il nuovo delitto è punito con la sanzione relativamente lieve della reclusione fino ad un anno, pari a quella della menzionata sostituzione di persona di cui all art. 494 c.p., quindi inferiore a quella della falsa attestazione o dichiarazione a un pubblico ufficiale sull identità o qualità personali proprie o di altri, di cui all art. 495 c.p., dopo il quale è stato immediatamente inserito e che sembra costituirne il paradigma normativo, come emerge anche dalla rubrica di quello nuovo, formulata in termini identici salvo che per la diversa qualità del destinatario della falsa attestazione: non pubblico ufficiale, ma certificatore di firma elettronica. Mentre però il delitto di cui all art. 495 c.p. si deve altresì consumare in un atto pubblico (comma 1) od in una dichiarazione destinata a essere riprodotta in un atto pubblico (comma 2 della stessa norma), quello di nuovo conio prevede soltanto che la dichiarazione o attestazione falsa sia al soggetto che presta servizi di certificazione delle firme elettroniche. Si potrebbe dedurre da questa scelta la volontà legislativa di escludere ogni qualificazione pubblicistica dall attività di certificazione delle firme elettroniche, che può essere, ed anzi è di regola esercitata da soggetti privati, come testualmente prevede, anche nel caso di certificatori accreditati, l art. 29, comma 3, Codice dell amministrazione digitale. Nondimeno qualche dubbio permane, perché essa appare non solo regolata da norme di diritto pubblico e da atti autoritativi - quali sono ad es. i provvedimenti dell autorità di controllo (individuata nel CNIPA: Centro Nazionale per l Informatica nella Pubblica Amministrazione), che può anche disporre il divieto di prosecuzione dell attività e la rimozione dei suoi effetti: art. 27, comma 4, Codice cit. - ma anche caratterizzata dal suo svolgersi per mezzo di poteri certificativi tipici della Nota: (22) Ai sensi dell art. 28 cit. i certificati qualificati devono contenere almeno le seguenti informazioni: a. indicazione che il certificato elettronico rilasciato è un certificato qualificato; b. numero di serie o altro codice identificativo del certificato; c. nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; d. nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato; e. dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare; f. indicazione del termine iniziale e finale del periodo di validità del certificato; g. firma elettronica qualificata del certificatore che ha rilasciato il certificato realizzata in conformità alle regole tecniche ed idonea a garantire l integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo. In aggiunta alle elencate informazioni (di cui al comma 1), in base al capoverso fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale. Infine, nel comma 3, sono elencate le informazioni facoltative, stabilendosi che Il certificato qualificato può contenere (corsivo agg.), ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto: a. le qualifiche specifiche del titolare, quali l appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza; b. i limiti d uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell art. 30, comma 3; c. limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili. La norma si conclude comunque con un obbligo generale di comunicazione del seguente tenore: Il titolare, ovvero il terzo interessato se richiedente ai sensi del comma 3, comunicano tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto delle informazioni di cui al presente articolo (corsivi agg.). DIRITTO PENALE E PROCESSO N. 6/

11 pubblica funzione amministrativa in senso oggettivo, ai sensi dell art. 357, comma 2, c.p. Ed alla stregua della menzionata disciplina giuridica, l attività dei certificatori presenta chiare finalità di interesse pubblico, con connotazioni e contenuti pubblicistici, specie se si tratta di quella dei certificatori qualificati ed accreditati che vengono in rilievo nelle incriminazioni in esame, poiché richiede, oltre a requisiti soggettivi per l esercizio, condizioni organizzative e modalità predeterminate di svolgimento dell attività, nonché controlli penetranti da parte della pubblica autorità, cui competono specifiche funzioni di vigilanza, per l appunto, sui certificatori qualificati ed accreditati (ex art. 29 Codice dell amministrazione digitale), fino al potere di disporre, se del caso, il menzionato divieto di prosecuzione dell attività e la rimozione dei suoi effetti (art. 27, comma 4, Codice cit.). Scopo della disciplina, infatti, è la pubblicità legale da garantire alle chiavi pubbliche - necessarie per apporre la firma digitale ai documenti informatici - mediante certificazione della loro titolarità in capo ad un determinato soggetto, con tenuta obbligatoria dei relativi elenchi accessibili al pubblico. Per cui, come è stato rilevato anche da un punto di vista extrapenale, vi è una molteplicità di profili ed interessi da proteggere, e non si può formulare una risposta unitaria o monistica al quesito sulla sua natura (23). In definitiva, non si può escludere che rispetto a singoli atti e adempimenti, attinenti in particolare al rilascio e alla gestione dei certificati qualificati, possano convergere discipline differenziate anche sotto il profilo penale. La nuova fattispecie è del resto punita più gravemente di quella di cui all art. 496 c.p., che sanziona con la reclusione fino ad un anno ovvero con la sola multa fino ad euro 516 la falsa dichiarazione sulla identità o su qualità personali proprie o di altri da parte di chi - fuori dei casi indicati negli articoli precedenti : e dunque anche fuori dell ipotesi speciale in esame - interrogato su tali circostanze renda mendaci dichiarazioni a un pubblico ufficiale o a un incaricato di pubblico servizio, nell esercizio delle funzioni o del servizio (corsivi agg.). Non si giustificherebbe una punizione più severa di quella applicabile alla condotta da ultimo richiamata, che va posta in essere nei confronti di un pubblico ufficiale o di un incaricato di pubblico servizio nell esercizio delle funzioni o del servizio, se la qualifica soggettiva del certificatore, cui siano rese le false attestazioni o dichiarazioni in esame, o meglio la sua attività, fosse di natura esclusivamente privatistica, pur non richiedendo la legge, quale elemento del reato, che il certificatore rivesta necessariamente una qualifica pubblicistica. Sul piano dell interpretazione sistematica bisogna del resto considerare anche il menzionato delitto proprio della frode del certificatore, di cui al nuovo art quinquies c.p., che appresso si esaminerà, e che implicitamente esclude, alla stregua del principio di specialità (art. 15 c.p.), l applicabilità del delitto di cui all art. 323 c.p. (abuso d ufficio che procuri un ingiusto vantaggio patrimoniale o cagioni un danno ingiusto), peraltro punito in modo solo lievemente più grave della predetta frode. c) Il nuovo delitto di frode informatica del certificatore (art. 640-quinquies c.p.) Già si è visto come l art. 5, ultimo comma, l. 48/2008 configuri un nuovo reato proprio del fornitore dei servizi di certificazione di firma elettronica nel caso in cui violi gli obblighi previsti della legge per il rilascio di un certificato qualificato, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri un danno. La sanzione, della reclusione fino a tre anni e della multa da 51 a 1032 euro, è identica a quella della comune truffa patrimoniale, dopo la quale è collocata, e solo leggermente meno grave di quella dell abuso d ufficio, con cui il delitto potrebbe apparentemente concorrere. Sicuramente non può dirsi che il legislatore abbia realizzato il dichiarato intento di introdurre una nuova figura di truffa, fondato dalla Relazione d accompagnamento al d.d.l. n sul solo rilievo che non sarebbe stata sufficiente la fattispecie di frode informatica di cui all art. 640-bis c.p., in quanto nel caso dell attività di certificazione potrebbero non ricorrere le condotte di alterazione del funzionamento di un sistema o di intervento senza diritto su dati, informazioni o programmi (24). Non solo un rilievo meramente negativo non giustifica la creazione, denominazione e collocazione del nuovo delitto quale ipotesi qualificata di truffa, di cui non è comprensibile il fondamento; ma l intento dichiarato è anche palesemente smentito dal fatto che la stessa fattispecie legale è priva di qualsiasi requisito di fraudolenza, che dovrebbe invece caratterizzare le condotte di truffa, consistendo piuttosto nella mera violazione degli obblighi extrapenali, stabiliti in particolare dall art. 32, commi 2 ss., Codice dell amministrazione digitale (25). (23) Per una simile conclusione problematica, al termine di una recente analisi del sistema, cfr. G. Navone, La firma digitale, cit., 119. (24) Relazione al d.d.l. 2807, cit., 5. (25) Estremamente ampio è il ventaglio degli obblighi gravanti sui certificatori, che oltre ad essere tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi (incorrendo altrimenti nella responsabilità civile aggravata ex art. 30 dello stesso Codice), quando rilasciano certificati qualificati devono altresì: provvedere con certezza alla identificazione della persona che fa richiesta della certificazione; rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle regole tecniche di cui all art. 71, nel rispetto del d.lgs. 30 giugno 2003, n. 196, e successive modificazioni; specificare, nel certificato qualificato su richiesta dell istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi; attenersi alle regole tecniche di cui all art. 71; informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per ac- (segue) 706 DIRITTO PENALE E PROCESSO N. 6/2008

12 Se da un lato non è richiesto alcun requisito di artificiosità o di simulazione di una falsa apparenza, dall altro non è neppure richiesto un qualsivoglia evento consumativo di lesione patrimoniale, come è invece quello duplice di ingiusto profitto con altrui danno, previsto dal comune art. 640 c.p. e riprodotto anche nelle figure qualificate di cui all art. 640-bis (truffa aggravata per il conseguimento di erogazioni pubbliche), che al medesimo fatto tipico rimanda, nonché all 640-ter (frode informatica), che richiede gli identici eventi consumativi. La fattispecie di nuovo conio è invece formulata con la diversa tecnica del dolo specifico, ed il fine di procurare a sé o ad altri un ingiusto profitto è previsto in termini addirittura alternativi rispetto a quello di arrecare ad altri di danno, in nessun caso connotato in termini patrimoniali. La mera strumentalità della violazione di uno degli obblighi extrapenali sopra menzionati al perseguimento di un generico interesse di parte (profitto proprio o di terzi ovvero danno di altri) è dunque sufficiente alla consumazione del fatto tipico, con forte anticipazione della sua soglia di punibilità (26). Si deve concludere, che al di là della sua formale denominazione e collocazione, e dei dichiarati intenti legislativi, la fattispecie incriminatrice in esame è assai lontana dal paradigma di un delitto patrimoniale ed assai vicina, invece, nella sua struttura, ad un incriminazione meramente sanzionatoria della violazione di obblighi extrapenali, gravanti in specie su soggetti qualificati, secondo il paradigma dell abuso d ufficio, di cui all art. 323 c.p. sopra menzionato, che è sì punito con una pena di poco superiore - solo nel minimo edittale di sei mesi di reclusione, assente nel delitto in esame, che però richiede una multa congiunta alla pena detentiva, non prevista nel delitto contro la pubblica amministrazione - ma richiede altresì l oggettivo verificarsi dell evento consumativo di ingiusto vantaggio patrimoniale o di danno ingiusto. In altri termini, pur mancando una formale qualifica pubblicistica del certificatore, la realizzazione del descritto fatto è assai simile a quella del delitto proprio del pubblico ufficiale, rispetto a cui anzi anticipa la soglia di punibilità: fermi, dunque, i dubbi sull effettiva natura, ai fini penali, dei servizi di certificazione delle firme elettroniche e delle differenti attività in cui si articolano, emerge la scarsa attenzione del nostro legislatore al contesto sistematico nel quale interviene, moltiplicando fattispecie incriminatrici senza adeguata precisione né piena consapevolezza tecnico-giuridica. 3. Le novelle in materia di delitti contro la sicurezza e l integrità di dati e sistemi La maggior parte delle nuove fattispecie di diritto penale sostanziale riguarda la materia dei danneggiamenti informatici, bipartiti - in conformità con le scelte del legislatore sopranazionale - fra danneggiamenti di dati (art. 4 Convenzione Cybercrime, cui corrisponde sostanzialmente l art. 4 Decisione quadro 222/2005/GAI) e danneggiamenti di sistemi (art. 5 Convenzione Cybercrime, cui corrisponde sostanzialmente l art. 3 Decisione quadro 222/2005/GAI). Entrambi, poi, per scelta autonoma del legislatore nazionale, sono distinti anche fra danneggiamenti su dati e sistemi privati e su dati e sistemi di pubblica utilità. Questa astratta esigenza di simmetria, esplicitamente perseguita dai redattori della legge (27), ha fatto sì che il codice penale italiano conosca ora ben quattro nuovi delitti di danneggiamento informatico, che si aggiungono al danneggiamento comune di cose, assorbendo solo in parte le ipotesi prima delinea- (continua nota 25) cedervi e sulle caratteristiche e sulle limitazioni d uso delle firme emesse sulla base del servizio di certificazione; non rendersi depositari di dati per la creazione della firma del titolare; procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo quanto previsto dalle regole tecniche di cui all art. 71; garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati; assicurare la precisa determinazione della data e dell ora di rilascio, di revoca e di sospensione dei certificati elettronici; tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari; non copiare, né conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione; predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all uso del certificato, compresa ogni limitazione dell uso, l esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell accordo tra il richiedente il servizio ed il certificatore; utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato. I certificatori sono inoltre responsabili dell identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi e devono raccogliere i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l informativa prevista dall art. 13 del d.lgs. 30 giugno 2003, n I dati infine non possono essere raccolti o elaborati per fini diversi senza l espresso consenso della persona cui si riferiscono. (26) Sulle caratteristiche strutturali delle fattispecie a dolo specifico, che determinano una peculiare tipizzazione dello stesso fatto oggettivo costitutivo del reato, incidente sul momento consumativo e sulle caratteristiche dell offesa al bene giuridico, e solo di riflesso sull oggetto e l intensità dell elemento soggettivo, sia consentito rinviare a L. Picotti, Il dolo specifico. Un indagine sugli elementi finalisitici delle fattispecie penali, Milano (27) Cfr. Relazione al d.d.l. 2807, cit., 5. DIRITTO PENALE E PROCESSO N. 6/

13 te dai commi 2 e 3 dell art. 420 c.p., contestualmente abrogati. Prima di esaminare questo insieme di reati, occorre però considerare la riformulazione della fattispecie prodromica alla tutela della sicurezza ed integrità dei dati e dei sistemi informatici, rappresentata dal delitto di cui all art. 615-quinquies c.p., che completa questo vero e proprio microsistema posto a tutela di tale nuovo bene giuridico (28), benché le relative fattispecie siano distribuite fra i delitti contro il patrimonio, per quanto concerne le quattro di danneggiamento, e contro l inviolabilità del domicilio, per quanto concerne quest ultima. a) La riformulazione del delitto di diffusione di dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quinquies c.p.) L art. 615-quinquies c.p. ha rappresentato una delle più innovative fattispecie create dal legislatore del 1993, in quanto - per contrastare i nuovi fenomeni dei programmi virus o maligni, che si affacciavano all inizio degli anni 90 - la sua formulazione è stata del tutto indipendente dai modelli di reato vigenti, a differenza di quanto è avvenuto per la maggior parte delle altre norme redatte invece seguendo molto strettamente criteri di analogia con quelle più simili già esistenti (si pensi all artt. 635-bis sul danneggiamento informatico, rispetto all art. 635 c.p. sul danneggiamento comune di cose; od all art. 640-ter sulla frode informatica, rispetto all art. 640 c.p. sulla truffa comune), se non meramente estensive di formule definitorie (come nel caso della corrispondenza estesa a quella informatica e telematica dall ultimo comma dell art. 616 c.p.) ovvero creative di nuove nozioni, che consentissero l applicazione più estesa di norme comunque esistenti (come nell esaminato caso delle falsità informatiche, ex art. 491-bis c.p.) (29). La previsione di uno specifico intervento penale, che anticipasse la soglia di punibilità rispetto all effettivo danneggiamento di dati o di sistemi, era andata oltre le stesse Raccomandazioni del Consiglio d Europa del 1989, prendendo spunto dall esperienza legislativa olandese e di alcuni degli Stati americani in materia (30). Accanto a tali meriti, la fattispecie presentava però anche gravi carenze, innanzitutto di collocazione sistematica nell ambito dei delitti contro l inviolabilità del domicilio (Sezione IV del Capo III del Titolo XII - dedicato ai delitti contro la persona - della parte speciale del codice), tuttora mantenuta pur trattandosi di delitto prodromico al danneggiamento, come emerge dal testo stesso della norma, e non all accesso abusivo di cui al nuovo art. 615-ter c.p., cui è invece dedicato il coevo ed immediatamente precedente art. 615-quater, che punisce la detenzione e diffusione abusiva di codici di accesso (corsivo agg.) (31). Inoltre, e soprattutto, era criticabile la formulazione alquanto complessa e, nel contempo, insufficiente a delimitare con precisione i contenuti d illiceità penale del fatto. Sotto il profilo della condotta mancava l incriminazione di chi si procura o riproduce, invece prevista nel citato art. 615-quater c.p., forse per non anticipare eccessivamente la soglia della punibilità, ma in palese contraddizione con l esigenza stessa di creare un reato ostacolo o di mero pericolo, che per essere efficace si sarebbe dovuto riferire ad uno stadio preventivo rispetto alla diffusione o comunque circolazione di siffatti programmi, non bastando - proprio per le loro caratteristiche replicanti e di autoesecuzione, una volta installati nel sistema o nel programma bersaglio - l anticipazione della punibilità rispetto al solo evento finale di danneggiamento effettivo di sistemi o di dati: essa avrebbe anzi potuto considerarsi in questi termini superflua, stante la già autonoma punibilità del tentativo di danneggiamento informatico, ex artt. 56 e 635-bis c.p., salvo quanto di seguito si osserverà. Sotto il profilo della definizione dell oggetto della condotta, descritto con riguardo allo scopo od effetto del programma maligno, vi era un apprezzabile estensione al profilo funzionale della mera alterazione del funzionamento, ulteriore rispetto al vero e proprio danneggiamento, cui si limitava la formulazione dell art. 635-bis c.p (32). Ma nel contempo si apriva un ampio margine di ambiguità circa i precisi limiti fra lecito ed illecito penale, considerando l esigenza (e la prassi) di creare sperimentalmente e soprattutto utilizzare programmi di contrasto ai programmi-virus ovvero per aggredire sistemi da cui partano attacchi informatici, con condotte che potrebbero astrattamente ricadere nell ambito applicativo della fattispecie incriminatrice, pur non dovendolo (33), data la mancanza di un fine tipizzato come illecito, capa- (28) Per l enucleazione del bene giuridico dell integrità e sicurezza informatica quale nuovo interesse meritevole di tutela penale, nato dall applicazione e diffusione delle nuove tecnologie nei rapporti economici e sociali, cfr. L. Picotti, Sistematica, cit., 70 s. (29) Per tali suddistinzioni si veda già L. Picotti, voce Reati informatici, cit., 3-6; e più approfonditamente Id., Sistematica, cit., 47 s. (30) Si tratta dell art. 350 a c.p. dei Paesi Bassi, introdotto dalla l. 23 dicembre 1992, che punisce il fatto anche a titolo di colpa. Per riferimenti comparatistici, anche alla legislazione svizzera e statunitense, si veda C. Pecorella, Il diritto penale, cit., 238 s. (31) La critica è condivisa in dottrina: cfr. F. Mantovani, Diritto penale. Parte sp., vol. I, Delitti contro la persona, 2^ ed., Padova 2005, 506; G. Pica, Diritto penale, cit., 109; C. Pecorella, Il diritto penale, cit., 235. (32) Sugli incerti rapporti tra veri e propri danneggiamenti ed aggressioni invece al mero funzionamento, nonché fra manipolazioni ed alterazioni di dati e sistemi informatici, rispetto alla distinzione tradizionale fra violenza e frode, si rinvia a L. Picotti, Sistematica, cit., 71-74; più in generale sulla caotizzante difformità di linguaggio del legislatore del 1993, emergente in specie dal raffronto fra artt. 392, comma 3, 420, comma 2, 615-ter, comma 3, 635-bis c.p., si vedano le taglienti critiche di F. Mantovani, Diritto penale. Parte sp., vol. I, cit., 506 e passim. (33) Conclusione pacifica in dottrina. Per rilievi critici nella direzione indicata cfr. già C. Sarzana, Comunità virtuale e diritto: il problema dei Bulletin Board System, in questa Rivista, 1995, 375 s.; P. Galdieri, Teoria e pratica nell interpretazione del reato informatico, Milano 1997, DIRITTO PENALE E PROCESSO N. 6/2008

14 ce di selezionare i fatti di reato da quelli non punibili: tanto che parte della dottrina aveva richiesto la trasformazione della fattispecie in delitto a dolo specifico (34), pur se sarebbe stato meglio valorizzare il requisito di antigiuridicità speciale espresso dall avverbio illecitamente, riferito in modo anomalo allo scopo od effetto di danneggiamento dei programmi stessi, anziché alle condotte (come è per l avverbio abusivamente previsto dal citato art. 615-quater c.p.). Il legislatore del 2008 non è riuscito a dare un adeguata risposta a tali questioni. Nel modificare la norma, con il presunto intento di renderla perfettamente adeguata alle previsioni della Convenzione, l ha senz altro estesa sotto il profilo oggettivo ed ha, nel contempo, riformulato anche l elemento soggettivo richiesto nei termini del dolo specifico (35): ma nonostante il frettoloso emendamento inserito nel corso dei lavori preparatori (36), con cui si è cercato di porre un tampone alla ancor più grave indeterminatezza della formulazione del disegno di legge originario, non è stata affatto raggiunta una formulazione tecnicamente e contenutisticamente adeguata, che oltre ad offrire rimedio alle difficoltà interpretative sollevate dalla norma del 1993 desse altresì corretta attuazione alle previsioni della Convenzione Cybercrime. L art. 6 di quest ultima, sotto la rubrica abuso di dispositivi, comprende in effetti un ampia gamma di condotte, che vanno dalla produzione alla vendita, al procurarsi per utilizzare, fino all importazione, distribuzione ed ogni altra forma di messa a disposizione (par. 1.a) (37), aventi per oggetto (punto i) un dispositivo, ivi compreso un programma informatico, principalmente concepito o adattato per permettere la commissione di uno dei reati informatici previsti dagli artt. 2-5 della stessa Convenzione (corsivo agg.). Al successivo punto ii) la Convenzione indica invece oggetti che meglio sono riconducibili all ambito di previsione del nostro art. 615-quater c.p., in quanto finalizzati al solo accesso abusivo: vale a dire: una parola chiave o un codice d accesso, o dati simili che permettono l accesso ad un sistema informatico o ad una sua parte. In entrambi i casi è prevista, oltre al dolo, la necessità di una specifica intenzione che siano utilizzati (anche da altri) per commettere uno dei predetti reati. Ed in aggiunta, nel par. 2, è ribadito espressamente che - in assenza del menzionato fine delittuoso - non devono essere incriminate le condotte sopra enunciate, come nel caso di test autorizzato o di protezione di un sistema informatico. La nuova formulazione dell art. 615-quinquies c.p., che in forza dell art. 4 l. 48/2008 ne ha sostituito la rubrica ed il testo (38), non si è affatto allineata compiutamente a queste direttive. Sul piano degli elementi oggettivi, vi è stata la condivisibile estensione delle condotte punibili (39), mediante l aggiunta delle nuove locuzioni si procura, produce, riproduce, importa prima di quelle originariamente previste di chi diffonde, comunica, [o] consegna, ed il completamento con quella finale di chiusura o, comunque, mette a disposizione di altri, in piena conformità con il disposto del citato art. 6 Convenzione Cybercrime. Ma quanto all oggetto di tali condotte, pur essendo stati aggiunti, sia alla rubrica che al testo della fattispecie - prima del termine originariamente unico: programmi - i sostantivi apparecchiature e dispositivi (40) (oltre all aggettivo informatici ) è stata lasciata solo nella rubrica la loro qualificazione di dannosità, con l originaria formula che siano diretti a danneggiare o interrompere un sistema informatico o telematico (corsivo agg.). Questo essenziale requisito di tipicità dell oggetto della condotta è invece scomparso nel testo della nuova norma, essendo stato trasformato in mero oggetto del c.d. dolo specifico dell agente tutto il contenuto della complessa proposizione, che prima serviva alla qualificazione di dannosità o pericolosità oggettive dei programmi - come loro scopo od effetto : è ora il fine o scopo dell agente, che deve essere di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento (corsivi agg.). Trasformato nel contenuto della finalità soggettiva dell agente, la tipizzazione degli elementi oggettivi di (34) Fautore di tale soluzione G. Pica, Diritto penale, cit., 103 s. (35) Relazione al d.d.l., cit., p. 6. (36) Cfr. supra nota 4. (37) Alla lett. b) del par. 1 è prevista altresì l incriminazione del mero possesso di tali programmi o dati, nell intenzione di farne uso per commettere i reati informatici previsti dagli artt. 2-5 Convenzione, ma vi è la possibilità che il diritto interno richieda in tal caso che la detenzione riguardi un certo numero di siffatti elementi. Più in generale è consentito dal par. 3 di formulare riserva di non applicare tutte le incriminazioni di cui al par. 1 (lett. a e b), purché siano comunque punite le condotte vendita, distribuzione ed ogni altra forma di messa a disposizione dei dispositivi di cui alla lettera a), punto ii. (38) Identica è rimasta la pena della reclusione fino a due anni e, congiuntamente, della multa sino a euro (39) Sulla distinzione fra le condotte di diffusione (da intendere quale messa a disposizione di una pluralità di destinatari indeterminati ) e di comunicazione (da intendere invece quale messa a disposizione di un singolo od anche più destinatari, però determinati ), che si può desumere dalle precise definizioni offerte dalla legislazione in materia di protezione dei dati personali, di cui alla legge 31 dicembre 1996, n. 675, oggi sostituita dal c.d. codice della privacy, approvato con d.lgs. 30 giugno 2003, n. 196, in specie art. 4, comma 1, lett. m) ed l), si veda già L. Picotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inf., 1999, 283 s., in specie , e da ultimo, con riguardo allo specifico delitto di diffusione di pornografia minorile Id., Commento all art. 600-ter, III comma c.p., in A. Cadoppi (cur.), Commentario delle norme contro la violenza sessuale e contro la pedofilia, 4^ ed., Padova 2006, in specie 194 s. (40) L incerta terminologia sembra riflettere le già menzionate gravi imprecisioni della traduzione (non ufficiale) in italiano della Convenzione, allegata alla legge di ratifica come già al relativo disegno di legge: cfr. supra, nota 1. DIRITTO PENALE E PROCESSO N. 6/

15 descrizione del reato è stata radicalmente impoverita e tutto il peso della delimitazione dei comportamenti leciti da quelli penalmente illeciti è stato spostato sul predetto dolo specifico. La stessa locuzione illecitamente - rimasta nella norma, ma nei termini di qualificazione dello scopo di danneggiare od alterare - ha perso incidenza oggettiva, accentuando anziché colmando la disomogeneità dalla fattispecie gemella di cui all art. 615-quater c.p., in cui l avverbio abusivamente è invece elemento di diretta qualificazione della condotta oggettiva, in conformità con le previsioni dell art. 6 Convenzione Cybercrime, sopra riportato. La nuova formulazione dell art. 615-quinquies c.p. è dunque andata nella direzione diametralmente opposta a quella tracciata dalla Convenzione, che richiederebbe di arricchire la qualificazione oggettiva di antigiuridicità speciale del fatto, in conformità con la clausola generale senza diritto che compare in questa come in tutte le altre previsioni incriminatrici da essa previste (41). Viceversa l attuale fattispecie del codice italiano finisce per tipizzare condotte in sé perfettamente lecite, dal punto di vista oggettivo, ed anzi usuali nell attività di ogni operatore commerciale o privato ( procurarsi, produrre, riprodurre, importare, diffondere, comunicare, consegnare, mettere a disposizione di altri ), riferite ad apparecchiature, dispositivi e programmi informatici a loro volta non connotati in alcun modo come in sé dannosi o pericolosi. È solo il fine dell agente (c.d. dolo specifico) che rende penalmente illecito il fatto. Una tale tecnica di tipizzazione appare inaccettabile, sotto il profilo della buona legislazione prima ancora che sotto quello della legittimità costituzionale, ledendo i principi cardine di certezza, tassatività ed offensività delle fattispecie incriminatrici (42), oltre alle esigenze parimenti costituzionali di corretta conformazione al diritto internazionale. Come si era già sottolineato commentando l art. 6 Convenzione Cybercrime (43) ed emerge dalle argomentazioni espresse nel Rapporto esplicativo ufficialmente annesso al testo della Convenzione (44), la formula da essa adottata ( dispositivo o programma informatico principalmente concepito o adattato per permettere la commissione ecc.) aveva rappresentato una via di mezzo fra le due possibilità estreme di incriminare soltanto dispositivi di per sé esclusivamente illeciti e come tali concepiti fin dall origine, ovvero qualsiasi dispositivo o programma utilizzabile, di fatto, anche per fini non leciti. La Convenzione ha consapevolmente voluto evitare quest ultima prospettiva, che è stata invece seguita dal legislatore italiano, perché si sarebbe corso il rischio di una penalizzazione eccessiva, che avrebbe potuto estendersi ad ogni dispositivo a doppio uso (lecito ed illecito), come sono per l appunto quelli per testare la sicurezza di un sistema o l affidabilità dei prodotti, o per l analisi di una rete. È perciò rimasto frustrato l auspicio che il legislatore nazionale precisasse meglio dello strumento convenzionale i requisiti oggettivi di tipicità, stabilendo una soglia più determinata, sotto il profilo della loro pericolosità, dei programmi e dispositivi integranti il fatto punibile (45), essendosi addirittura operata l opposta scelta di imperniare sul solo elemento finalistico l intera illiceità penale del fatto. Ma tale scelta non può non creare grandi incertezze negli operatori, nonché difficoltà nell accertamento della responsabilità penale, in pregiudizio sia delle esigenze della difesa, sia di quelle dell accusa, di cui viene aggravato l onere probatorio, dipendendo la condanna o meno dell imputato dall aleatoria prova del singolo elemento finalistico, formulato a sua volta in termini estremamente ampi e complessi (46). b) I ritocchi al delitto di danneggiamento di dati informatici (art. 635-bis c.p.) Il più ampio intervento della novella ha riguardato i danneggiamenti informatici, a partire da alcuni ritocchi all ipotesi base di cui all art. 635-bis c.p., rispetto alla rubrica ed al testo inseriti dalla l. 547/1993 contro la criminalità informatica. L innovazione maggiore è stata la previsione della procedibilità a querela della persona offesa, in sintonia con il comune regime dell ipotesi base del danneggiamento di cose, di cui all art. 635, comma 1, c.p., essendo evidentemente state ritenute non più sussistenti le ragioni che avevano fatto preferire la procedibilità d ufficio da parte del legislatore del 1993: da un lato, la percezione in termini di maggior gravità del fatto realizzato su dati e sistemi informatici, perché capaci di contenere e trattare grandi quantità di informazioni, anche di elevatissimo valore; dall altro, l intento di agevolare la persecuzione delle nuove tipologie di reato, di cui era (e resta) certamente assai elevata la cifra oscura, nell interesse collettivo di rafforzarne la repressione penale contrastando la tendenza delle vittime a non ricorrere alla giustizia per la cattiva pubblicità derivante alla propria (41) Per il loro ruolo, nella prospettiva dello strumento internazionale, si veda il citato Rapport esplicatif, sub n. 38, nonché i nostri rilievi in L. Picotti, Internet e diritto penale, cit., 197. (42) Sui limiti, anche di rango costituzionale, del ricorso alla tecnica del c.d. dolo specifico, la dottrina italiana si è da lungo tempo impegnata, a partire dal fondamentale contributo di F. Bricola, Teoria generale del reato, in Noviss. Dig. It., vol. XIX, Torino 1973, p. 87 s. In argomento sia consentito rinviare ancora a L. Picotti, Il dolo specifico, cit., in particolare 547 s., ed ai relativi riferimenti bibliografici, cui adde più di recente G. Marinucci, E. Dolcini, Corso di diritto penale, vol. 1, 3 ^ ed., Milano 2001, 572 s., con ulteriori richiami. (43) L. Picotti, Internet e diritto penale, cit., 199 s. (44) Cfr. Rapport explicatif, in specie sub n , leggibile (oltre che in francese) anche in inglese al sito (45) L. Picotti, Internet e diritto penale, cit (46) Sui rapporti che devono connotare, anche dal punto di vista tecnico della formulazione della fattispecie legale, la descrizione della condotta o fatto-base e quella del fine dell agente, costitutivo del c.d. dolo specifico, vedi ancora L. Picotti, Il dolo specifico, cit., in particolare p. 505 s., nonché i riferimenti di cui alla precedente nota DIRITTO PENALE E PROCESSO N. 6/2008

16 immagine dall emergere della scarsa affidabilità e sicurezza dei sistemi tecnologici adottati. La pena prevista per l ipotesi base dell art. 635-bis c.p. - da sei mesi a tre anni di reclusione - è però rimasta identica a quella stabilita per le ipotesi aggravate di danneggiamento comune di cose, tuttora procedibili d ufficio (art. 635, comma 2, c.p.): per cui si è rotta la sostanziale equiparazione fra danneggiamento informatico e danneggiamento aggravato, che sembrava aver guidato il legislatore del 1993 nella scelta sia del regime sanzionatorio, che di quello di procedibilità. E l aporia sistematica non sembra spiegabile con la sola espunzione, dagli oggetti passivi delle condotte punite dall art. 635-bis c.p, dei sistemi informatici e telematici, che sono ora oggetto di quelle punite dall art. 635-quater c.p., essendo con la pena edittale che il legislatore esprime il livello di gravità del reato. In ogni caso tale seconda modifica è stata necessaria per rendere autonomo e punibile con la più grave pena base della reclusione da uno a cinque anni il danneggiamento di sistemi (art. 635-quater c.p., su cui cfr. infra, sub c), procedibile d ufficio come tutte le altre nuove ipotesi di danneggiamento, sia di dati che di sistemi informatici di pubblica utilità, che hanno però una pena base più elevata (da uno a quattro anni di reclusione, ex artt. 635-ter e 635-quinquies c.p., su cui cfr. infra, sub d). La procedibilità a querela può certamente costituire un utile filtro per selezionare i fatti ritenuti meritevoli di criminalizzazione in concreto alla stregua della volontà punitiva della persona offesa (47), perché - al di là della gravità della sanzione edittale - la protezione penale dell interesse di cui essa è titolare può essere lasciata alla sua libera disponibilità. Si pone, però, allora il problema di individuare con precisione chi sia da considerare persona offesa. Nel caso del delitto in esame essa dovrebbe desumersi dal requisito dell altruità dei dati danneggiati. Ma come già segnalato, non è affatto facile stabilirne la portata concreta (48). I dati, al pari delle informazioni e dei programmi, per la loro immaterialità non possono giuridicamente essere oggetto di possesso, come lo sono le cose : e dunque non si può desumere da questo requisito quello negativo di altruità, come accade nei delitti contro il patrimonio (49), fra cui è collocato il danneggiamento comune (di cose) di cui all art. 635 c.p. La cerchia degli aventi diritto all integrità dei dati, delle informazioni e dei programmi dovrà piuttosto essere determinata alla stregua della pluralità di interessi giuridicamente rilevanti, di natura obbligatoria, anziché reale, che su di essi possono convergere (50). Prendendo come riferimento il diverso ambito della legislazione in materia di protezione dei dati personali, che ha il pregio di fornire, con notevole precisione sistematica, la definizione di concetti nuovi, ragionevolmente applicabili all intero ambito del diritto dell informatica, per un evidente esigenza di unitarietà e coerenza dell ordinamento giuridico, se non ostino specifiche ragioni contrarie (51), dovrà considerarsi innanzitutto la figura dell interessato definito come la persona cui i dati si riferiscono (art. 4, comma 1, lett. i), d.lgs. 196/2003, c.d. Codice della privacy), quindi quelle del titolare nonché del responsabile del trattamento (come definiti rispettivamente dal citato art. 4, comma 1, lett. f), lett. g) e lett. a) d.lgs. 196/2003), ovvero anche del sistema come tale, che ne è parimenti pregiudicato. Nel caso di danneggiamento di programmi possono altresì essere considerate persone offese il concessionario e forse anche il legittimo utilizzatore, oltre che il concedente e proprietario; e potrebbero ancora esser tale l operatore del sistema, legittimato agli interventi che subiscano pregiudizio dal danneggiamento stesso (si pensi a files di backup o di controllo, creati talora in modo molto complesso per determinate operazioni di manutenzione o aggiornamento, ecc.), nonché gli stessi partners commerciali o di lavoro di un impresa o di un professionista, rispetto a dati ed informazioni non ad essi stessi riferibili, ma da essi forniti per determinate finalità operative, contrattuali, ecc. Tale pur veloce disamina evidenzia l opportunità - trascurata purtroppo dal nostro legislatore - di inserire nella fattispecie, accanto od anzi in luogo del poco chiaro requisito dell altruità, una clausola di antigiuridicità speciale, quale quella prevista, con l identica locuzione: senza diritto (52), sia dalla Convenzione Cybercrime che dalla Decisione quadro, nei rispettivi artt. 4. (47) Cfr. in generale sulle funzioni dell istituto, anche da un punto di vista di politica criminale, F. Giunta, Interessi privati e deflazione nell uso della querela, Padova (48) L.Picotti, voce Reati informatici, cit., 19 (49) Va sottolineato che se nel delitto di peculato (art. 314 c.p.), che essenzialmente offende il patrimonio della pubblica amministrazione (V. Scordamaglia, voce Peculato, in Enc. Dir., vol. XXXII, Milano 1982, 554 s., in specie 559), la riforma portata con la l. 26 aprile 1990, n. 86 ha aggiunto al presupposto del possesso quello della più generica disponibilità, risulta confermata l accezione più ristretta in cui va inteso il primo termine, vista la volontà di allargare, in questo caso, la prospettiva di tutela al più ampio profilo dell attività funzionale dei soggetti pubblici, garantendo la repressione dei loro abusi, a salvaguardia del buon andamento e dell imparzialità della pubblica amministrazione (cfr. per tutti S. Seminara, in A. Crespi, G. Forti, G. Zuccalà (cur.), Commentario breve al codice penale, 5^ ed., Padova 2008, sub art. 314, 751 s.). (50) Per la conclusione che soggetto passivo del delitto di danneggiamento di cui all art. 635 c.p. sia il titolare di un diritto di godimento sulla cosa cfr. comunque già F. Bricola, voce Danneggiamento (dir.pen. ), in Enc. Dir., vol.xi, Milano 1962, p. 599 s., in specie p (51) Per l esigenza di creare ed utilizzare categorie concettuali comuni nel diritto (penale) dell informatica, valide in una prospettiva sistematica più ampia delle singole discipline di settore, cfr. L. Picotti, I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l offesa dei beni giuridici, in Scritti per Federico Stella, a cura di M. Bertolino, G. Forti, vol. II, Napoli 2007, 1267 s., in specie 1304 s. (52) L art. 1, lett. d) Decisione quadro 2005/222/GAI definisce esplicitamente questo requisito come l accesso o l interferenza non autorizzati da parte di chi ha il diritto di proprietà o altro diritto sul sistema o una sua parte, ovvero non consentiti ai sensi della legislazione nazionale. La Convenzione Cybercrime non contiene invece alcuna definizione al ri- (segue) DIRITTO PENALE E PROCESSO N. 6/

17 Nello stesso senso si era del resto già orientato il legislatore tedesco, quando nel 1986 introdusse nel codice penale, con la Seconda legge contro la criminalità economica (2.WiKG), il delitto di alterazione di dati informatici ( 303 a StGB), rinunciando all aggettivo altrui ( fremde ), che qualifica invece le cose oggetto del danneggiamento comune ( 303 StGB), per imperniare sull avverbio rechtswidrig ( antigiuridicamente o contro diritto ) la necessaria distinzione fra condotte penalmente lecite ovvero illecite sui dati (53), rinviando alle regole extrapenali, anche di fonte contrattuale o consuetudinaria, che disciplinando la disponibilità dei nuovi beni da proteggere forniscono altresì i criteri per dirimere gli inevitabili conflitti di interessi. I rapporti di possibile interferenza con le nuove fattispecie di danneggiamento di sistemi nonché di dati di pubblica utilità spiegano invece l opportuna clausola di riserva ( salvo che il fatto non costituisca più grave reato ), aggiunta in apertura del primo comma: clausola peraltro applicabile anche con riferimento ad eventuali altri delitti, come ad es. quelli di falsità per soppressione (ex artt. 476, 485 e 490, in relazione all esaminato art. 491-bis c.p.) ovvero contro la privacy (ex art. 167, comma 2, d.lgs.196/2003). Quanto alla definizione del fatto tipico, va osservato che sono state inserite nel primo comma dell art bis c.p., accanto alle già esistenti e tradizionali ipotesi di distruzione e deterioramento, anche quelle di cancellazione, alterazione e soppressione, esplicitamente menzionate dall art. 4 sia della Convenzione Cybercrime che della Decisione quadro 2005/222/GAI, e del resto specificamente riferibili al peculiare oggetto passivo costituito da informazioni, dati o programmi informatici. Non si vede però perché non sia altresì stata aggiunta alla locuzione deteriora - tradizionalmente riferita alle cose materiali - quella più ampia e forse più adeguata: danneggia, che compare in entrambi gli strumenti richiamati, e che del resto è poi stata utilizzata dallo stesso legislatore italiano nel successivo art quater c.p. (in cui non è stato usato invece il verbo deteriora : infra, sub c). Dunque non si può condividere la soppressione dell ipotesi di chiusura prima espressa - in sintonia con la formula dell art. 635 c.p. - dalla locuzione rende, in tutto o in parte, inservibili tali beni, che il legislatore del 2008 ha riservato alle sole fattispecie di danneggiamento di sistemi (art. 635-quater e 635-quinquies c.p.: infra sub c e d). In realtà anche i dati ed a maggior ragione le informazioni ed i programmi sono suscettibili di esser resi inservibili e dunque giuridicamente danneggiati, con interventi di alterazione o manipolazione riguardanti il solo software, che non intaccano l integrità dei supporti o dell hardware (54). Tanto che l art. 4 Decisione quadro prevede espressamente l ipotesi - se si vuole meno grave - del rendere inaccessibili i dati, non recepita invece dalla novella. Se il legislatore italiano avesse voluto circoscrivere l ambito del penalmente rilevante, per la possibile tenuità od irrilevanza di singole ipotesi marginali di danneggiamento di dati, anziché ridurre l ambito delle tipologie di condotte da incriminare avrebbe dovuto piuttosto avvalersi della facoltà, prevista da entrambi gli strumenti menzionati, di considerare penalmente rilevanti soltanto i casi gravi (art. 4 Decisone quadro cit.) o che determinano danni seri (art. 4, par. 2, Convenzione Cybercrime). Opportuna appare invece la modifica del secondo comma dell art. 635-bis c.p., rispondente alla necessità di porre rimedio - con l occasione della ratifica della Convenzione Cybercrime - alla svista del legislatore del 1993, che aveva indiscriminatamente richiamato, come circostanze aggravanti speciali comportanti la pena della reclusione da uno a quattro anni, tutte quelle di cui al secondo comma dell art. 635, oltre a quella nuova e specifica dell essere il fatto commesso con abuso della qualità di operatore del sistema. Ferma quest ultima ipotesi, è rimasto ora solo il richiamo al numero 1) di quelle di cui al capoverso dell art. 635, riguardante la commissione del fatto con violenza alla persona o minaccia, mentre sono state escluse tutte le altre ipotesi, relative a situazioni di conflitti di lavoro (n. 2), punibili nella prospettiva dell ordinamento corporativo da cui muoveva il codice Rocco del 1930, ma ormai di marginale rilevanza penale alla stregua del diritto di sciopero costituzionalmente garantito, o addirittura logicamente incompatibili rispetto ai danneggiamenti informatici (nn. 3-5: su edifici pubblici, su opere destinate all irrigazione, su viti ed altri alberi). c) Il nuovo delitto di danneggiamento di sistemi informatici (art. 635-quater c.p.) Come si è visto nel commento al riformulato art. 635-bis c.p., per adeguarsi alle previsioni della Convenzione Cybercrime (art. 5), pressoché coincidenti sul punto con quelle della Decisione quadro 2005/222/GAI (art. 3), il legislatore italiano ha escluso dall originaria fattispecie la menzione dei sistemi informatici e telematici, per creare un autonomo e più grave delitto, che pu- (continua nota 52) guardo, ma nel Rapport esplicatif, cit., n. 38, si precisa che la locuzione rimanda alla violazione di regole giuridiche extrapenali ovvero di condizioni desumibili dal contesto in cui opera l agente, relative non solo alla presenza delle cause di giustificazione classiche (quali il consenso dell avente diritto, la legittima difesa, lo stato di necessità), ma anche alla competenza del soggetto ad agire, o ad altri principi stabiliti dal diritto interno, che consentono un opportuno raccordo con le previsioni della fonte internazionale. (53) Sul punto sia consentito rinviare, anche per i necessari richiami bibliografici sul ricco dibattito che al riguardo si svolse nella dottrina tedesca, alla più estesa indagine svolta in L. Picotti, Studi, cit., (54) Con riferimento ad un caso giurisprudenziale che aveva suscitato un primo dibattito dottrinale in materia, cfr. L. Picotti, La rilevanza penale degli atti di sabotaggio ad impianti di elaborazione dati (nota a Trib. Firenze, 27 gennaio 1986), Pasqui, in Dir. inf., 1986, 969 s. 712 DIRITTO PENALE E PROCESSO N. 6/2008

18 nisce ora il loro danneggiamento con la reclusione da uno a cinque anni (art. 635-quater, comma 1, c.p.). Nel comma 2 di detta nuova norma è stata poi prevista una circostanza aggravante, identica nella formulazione a quella di cui all esaminato comma 2 dell art bis, ma punita con un aumento di pena non specificato, e quindi pari ad un terzo, in forza della regola generale di cui all art. 64 c.p.: con la conseguenza che essa non costituisce - a differenza di quella - circostanza speciale ai sensi dell art. 63, comma 3, secondo periodo c.p. (55). Senza soffermarsi oltre su siffatta singolarità, che fa solo sospettare che il legislatore non consideri od armonizzi le conseguenze sistematiche dei propri interventi, preme invece rilevare che la fattispecie in esame si distingue dall altra non solo per il diverso oggetto materiale ( sistemi informatici o telematici altrui, anziché dati, informazioni e programmi informatici altrui ), ma anche per la ben più ampia ed articolata descrizione del fatto tipico. Sul piano di quelle che la norma definisce come condotte punibili, il nuovo reato è infatti realizzabile sia mediante quelle descritte dall art. 635-bis c.p., di cui già si è detto, sia attraverso l introduzione o la trasmissione di dati, informazioni o programmi : aggiunta che risponde all esigenza di punire le due ulteriori ipotesi (di immissione e trasmissione di dati) previste dall art. 5 Convenzione Cybercrime - oltre che dall art. 3 Decisione quadro cit. - per colpire specificamente i danneggiamenti realizzabili anche a distanza, mediante programmi virus od altri dati maligni introdotti o fatti circolare in rete. Le predette condotte sono perciò distinte normativamente, dal legislatore del 2008, da quelli che vengono evidentemente considerati eventi consumativi, descritti tuttavia (in parte) con le medesime locuzioni verbali distrugge, danneggia, rende, in tutto o in parte, inservibili, già costituenti il fatto tipico del delitto di cui all art. 635-bis c.p. Come da tempo evidenziato in dottrina a proposito del tradizionale art. 635 c.p., il verificarsi del danno consumativo del reato è in realtà da considerarsi in re ipsa nell attuazione del mezzo violento (56). Per cui l effetto ulteriore sul sistema informatico potrebbe non distinguersi dalla condotta, specie se si considera che l impedimento o turbamento del funzionamento di un sistema informatico o telematico costituisce già il più esteso concetto di violenza di cui al nuovo comma 3 dell art. 392 c.p., introdotto dalla l. 547/1993. Manca invece qui la menzione del termine deteriora, e vi è la contemporanea aggiunta di quello più generico danneggia, in modo specularmente opposto a quanto operato nella riformulazione dell art. 635-bis c.p. (cfr. supra sub b), benché entrambi i verbi siano congiuntamente previsti dagli strumenti sopranazionali. Di maggior rilievo è l aggiunta dell ulteriore e nuova ipotesi alternativa, realizzabile quando si ostacola gravemente il funzionamento del sistema: risultato che può essere l effetto di una qualsiasi delle descritte condotte, comprese quelle più neutrali della mera immissione e trasmissione di dati. La nuova previsione ricomprende logicamente anche l ipotesi più grave dell interruzione, non menzionata esplicitamente dal legislatore italiano, ma prevista dagli strumenti sopranazionali citati: per cui l allineamento alle già richiamate fonti appare nella sostanza, se non nella lettera, compiuto, perché è superata la lacuna sostanziale, già da tempo rilevata, della mancata punizione dell alterazione solo funzionale di un sistema (57).Questa in effetti riguarda casi assai frequenti in rete, quali gli attacchi a siti o portali, di durata più o meno prolungata, che normalmente non lasciano traccia o conseguenze irreparabili, ma bloccano, interrompono o rendono irregolare il funzionamento dei sistemi nonché dei trattamenti e servizi cui sono destinati. In ogni caso, anche riconoscendo che il delitto in esame si configuri quale ipotesi di danneggiamento informatico qualificato da tali specifici od ulteriori eventi consumativi, rappresentati alternativamente dal vero e proprio danneggiamento del sistema ovvero dal mero ostacolo al [suo] funzionamento, non appare concettualmente precisa, né opportuna sul piano pratico, la distinzione ipotizzata dal legislatore, che sembrerebbe ricondurre solo il delitto in esame fra i reati di evento, quasi che il già esaminato danneggiamento di dati, di cui all attuale art. 635-bis c.p., fosse un reato di mera condotta. Pur nella difficoltà di una netta distinzione fra i concetti di condotta ed evento nell ambito dei reati informatici (58), anche la prima fattispecie tipizza in realtà un delitto di evento, che può essere realizzato con (55) Sulla portata di tale disciplina si veda per tutti A. Melchionda, Le circostanze del reato, Padova 2000, 700 s. (56) Si vedano al riguardo le ancora puntuali pagine di F. Bricola, voce Danneggiamento, cit., 606. (57) Cfr. L.Picotti, voce Reati informatici, cit., (58) Anche la condotta che si svolga con tecniche o strumenti informatici è infatti - per sua struttura - in tutto od in parte automatizzata, dovendo coinvolgere un trattamento informatico, che cioè si svolge [...] secondo un programma, come si ricava anche dalla definizione normativa di cui all art. 1, lett. a) Convenzione Cybercrime, ripresa in termini pressoché identici dall art. 1, lett. a) Decisione quadro cit., per definire un sistema informatico o di informazione definizioni però non recepite nella legge di ratifica 48/2008). Nel momento in cui si manifesta nei rapporti sociali, con la vittima o con terzi anche indeterminati, può non essere agevole distinguere tale condotta informatizzata dagli effetti di modificazione della realtà oggettiva, che autonomamente determini quale sua conseguenza causale. Per ulteriori spunti al riguardo sia consentito rinviare a L. Picotti, Internet e responsabilità penali, in Pascuzzi G. (cur.), Diritto ed informatica, Milano 2002, 117 s.; per un interessante caso di accesso abusivo (art ter c.p.), realizzato a distanza tramite uno specifico programma virus denominato Vierika, per cui si è ritenuto concorrere anche la fattispecie di cui all art. 615-quinquies c.p., si veda Trib. Bologna, 22 dicembre 2005, in Dir. Internet, 2006, n. 2, 153 s., con nota di F.G. Catullo, I profili sostanziali; ed in parziale riforma Corte App. Bologna, 28 gennaio 2008 (dep. 27 marzo 2008), in che ha ritenuto sussistente solo la seconda fattispecie. DIRITTO PENALE E PROCESSO N. 6/

19 qualsiasi modalità o tecnica, trovando il suo momento consumativo nel prodursi effettivo, in diretta esecuzione della attività volontaria e consapevole del soggetto agente, di un oggettiva modificazione della realtà esterna (informatica od anche economica, comunicativa, sociale, ecc.), percepibile quale conseguenza causale della prima: come appunto i verbi distruggere, deteriorare e/o danneggiare, cancellare, alterare e sopprimere stanno a significare, anche se riferiti solo a dati, informazioni e programmi, invece cha a sistemi. d) L abrogazione del delitto di attentato informatico (art. 420, commi 2 e 3, c.p.) ed i nuovi delitti di danneggiamento di dati di pubblica utilità (art. 635-ter c.p.) e di danneggiamento di sistemi di pubblica utilità (art. 635-quinquies c.p.) Le soprastanti considerazioni sulla struttura di reati di evento e, quindi, sul momento consumativo dei delitti di danneggiamento di dati (art. 635-bis c.p.) e di sistemi informatici (art. 635-quater c.p.) trovano conferma sistematica, nonché rilievo pratico, nell esame delle due ultime fattispecie da analizzare: quelle di danneggiamento di dati di pubblica utilità (art. 635-ter c.p.) e di sistemi di pubblica utilità (art. 635-quinquies c.p.), introdotte dal medesimo art. 5 l. 48/2008, ma formulate come delitti di attentato, in quanto la loro consumazione è anticipata già al momento della commissione di un fatto diretto a porre in essere le ipotesi descritte, che non occorre dunque si realizzino compiutamente. Contemporaneamente all introduzione di tali incriminazioni, vi è stata la formale abrogazione dei commi 2 e 3 dell art. 420 c.p., in forza dell art. 6 della stessa l. 48/2008. E dal necessario raffronto fra le originarie disposizioni e le nuove, che hanno mantenuto le prime come modello, emerge che non si è trattato in realtà di un abrogazione con contestuali nuove incriminazioni (con gli effetti di cui all art. 2, commi 1 e 2 c.p.), ma piuttosto di una successione c.d. impropria di leggi penali (abrogatio legis sine abolitio criminis), da ricondurre alla disciplina dell art. 2, comma 4, c.p., essendo rimasto punibile, senza soluzione di continuità, il nucleo essenziale delle fattispecie già prima sanzionate (59). Tuttavia sono intervenute alcune significative modifiche di formulazione normativa, accanto alla ben diversa collocazione sistematica. In particolare, l art. 635-ter c.p. riprende e colloca fra i delitti contro il patrimonio, con l aggiunta dell iniziale clausola di riserva salvo che il fatto costituisca più grave reato (riferibile in specie al successivo art quinquies c.p.) la previsione dell art. 420, comma 2, c.p. (60), che puniva fra i delitti contro l ordine pubblico, di cui al titolo V del libro II del codice penale, e con la struttura tipica del delitto d attentato, chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. La nuova norma ha scorporato dall incriminazione questi ultimi oggetti passivi ( dati, informazioni o programmi informatici ), essendo gli altri ( sistemi informatici o telematici ) oggetto del successivo delitto di cui all art. 635-quinquies c.p., in conformità - almeno formale - con le fonti sovranazionali già citate, che richiedono l incriminazione distinta delle due ipotesi di danneggiamento di dati e danneggiamento di sistemi. Inoltre sono state in parte riformulate le condotte punibili, venendo mantenuto solo il verbo distruggere, mentre è stato soppresso il verbo danneggiare, che invece compariva nell art. 420, comma 2, c.p. ed è previsto anche dalle fonti sovranazionali (sull incoerenza nell uso di tale verbo, che compare negli artt quater e 635-quinquies, riferiti ai sistemi, non però nell art. 635-bis né in quello in esame, riferiti ai dati, in cui compare invece il verbo deteriorare, cfr. supra sub b e c). Oltre al verbo deteriorare, sono aggiunti i verbi cancellare, alterare o sopprimere, per conformare l incriminazione alla formulazione richiesta dalle fonti sopranazionali. Sotto questo profilo, la previsione dell art. 635-ter c.p. si allinea alla formulazione dell art. 635-bis c.p., riferita ai dati privati, salvo che per il momento consumativo e la qualità di rilievo pubblico degli oggetti passivi, su cui si tornerà. Parallelamente, il nuovo art. 635-quinquies c.p., parimenti scorporato dall abrogato comma 2 dell art. 420 c.p., si allinea alla formulazione di cui all art. 635-quater c.p., per quanto attiene all enunciazione dei verbi distruggere, danneggiare, rendere, in tutto o in parte, inservibili [...] od ostacolarne gravemente il funzionamento. Sennonché, la struttura del delitto di attentato, prescelta dal legislatore nazionale in entrambe le ipotesi, rende eccessivamente evanescenti le condotte, formulate in relazione ad eventi cui debbono essere soltanto dirette, già di difficile percezione (si pensi in particolare a quello di ostacolo al funzionamento ) ed, addirittura, di problematica distinzione rispetto alle ipotesi denominate dallo stesso legislatore come semplici condotte (cfr. supra sub b). (59) Su tale fenomeno, definito via via con maggiore chiarezza dalla giurisprudenza degli ultimi anni, cfr. già L. Picotti, La legge penale, in F. Bricola, V. Zagrebelsky (cur.), Codice penale - Giurisprudenza sistematica di diritto penale, 2^ ed., Torino 1996, vol. I, 87 s.; per un quadro d insieme, di recente si veda M. Gambardella, L abrogazione della norma incriminatrice, Napoli 2008, in specie 163 s.; nonché E. M. Ambrosetti, Abolitio criminis e modifica della fattispecie, Padova (60) Il secondo comma - oggi abrogato - estendeva la stessa pena di cui al primo comma (tuttora vigente) della reclusione da uno a quattro anni anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Ma essendo stato pure integralmente abrogato il terzo comma, contenente l ipotesi aggravata dell effettiva distruzione, danneggiamento o interruzione del funzionamento dell impianto - oltre che del sistema informatico - la fattispecie del primo comma, che è riferita ai soli impianti, non può più essere punita a titolo di ipotesi aggravata, anche se il predetto evento si verificasse, restando quest ultimo penalmente irrilevante. 714 DIRITTO PENALE E PROCESSO N. 6/2008

20 Nel secondo comma di entrambe le nuove fattispecie è infine previsto, che se si verifica realmente l evento di danneggiamento, la pena edittale è della reclusione da tre ad otto anni. Dalla formulazione della norma, che usa l espressione se dal fatto deriva, caratteristica dei c.d. reati aggravati dall evento, oltre che dall entità (esorbitante) della pena stabilita in modo indipendente - pari a più del doppio - rispetto a quella prevista dal primo comma, sembra logico ritenere che si tratti di fattispecie autonome di reato, anziché di mere circostanze aggravanti, con ogni conseguenza in ordine all inapplicabilità del giudizio di bilanciamento fra circostanze, di cui all art. 69 c.p., oltre che in materia di elemento soggettivo. La conclusione è rafforzata dal raffronto con il terzo comma che, riproducendo il contenuto del comma 2 dell art. 635-quater c.p., al cui commento si rinvia (supra sub b), configura invece sicuramente una circostanza aggravante ad efficacia comune (aumento di un terzo della pena), logicamente applicabile sia all ipotesi del primo che all ipotesi del secondo comma. Infine, quanto all elemento distintivo e fondativo di questa rilevante diversità di disciplina fra danneggiamenti di dati e sistemi pubblici, rispetto a quella dei danneggiamenti di dati e sistemi privati, il legislatore del 2008 ha usato due locuzioni differenti, senza una ragione plausibile. Nell art. 635-ter c.p. compare infatti, fin dalla rubrica, la complessa locuzione: utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, che viene, riferita a informazioni, dati o programmi informatici. Viceversa nell art quinquies c.p. si menziona - anche nella rubrica - solo la sintetica locuzione di pubblica utilità, identica a quella che compariva nell abrogato comma 2 dell art. 420 c.p. Un primo problema sorge dall uso del pronome ad essi, che sembra necessariamente riferirsi ai sostantivi Stato ed ente pubblico, peraltro già complemento d agente del verbo utilizzati. La locuzione appare così superflua, o più che altro un residuo dell originaria formulazione del comma 2 dell art. 420, dal quale è tratta, in cui però il pronome predetto si riferiva ai sistemi informatici o telematici cui dati, informazioni o programmi potevano essere pertinenti, oltre che in essi contenuti. In ogni caso la formula più generale di pubblica utilità appare idonea ad abbracciare tutte le situazioni menzionate, non richiedendo come condizione necessaria l utilizzazione effettiva da parte di un soggetto pubblico. Del resto, non è chiaro quale potrebbe essere, al di fuori delle due ipotesi dell utilizzazione e della pubblica utilità, il rapporto di pertinenza con lo Stato od un ente pubblico, specie nella già delineata situazione di grande indeterminatezza dei - molteplici - diritti ed interessi convergenti su dati, informazioni e programmi (cfr. supra sub b a proposito della nozione di altruità ). La scelta del legislatore italiano di garantire ai dati e sistemi di pubblica utilità una protezione più forte contro i danneggiamenti informatici, rispetto a quella stabilita per i dati e sistemi privati, non richiedeva affatto una differenziazione in altrettanti distinti delitti, certamente non prescritta dalle fonti sopranazionali. Ed il risultato poteva esser più semplicemente ottenuto con una circostanza aggravante speciale, analoga a quella di cui all art. 635, comma 2, n. 3 c.p., applicabile ai delitti di cui agli artt. 635-bis e 635-quater c.p.; oppure anche con la previsione di una fattispecie autonoma, per evitare il giudizio di bilanciamento ex art. 69 c.p., ma senza alcun bisogno di mantenere la struttura dei delitti di attentato, derivata dal modello di cui all art. 420 c.p., che trovava un pur controverso fondamento solo nella prospettiva di tutela di un bene collettivo come l ordine pubblico. Le nuove incriminazioni sono state invece collocate nell ambito dei comuni delitti contro il patrimonio, per cui - salva la possibilità di applicare la circostanza aggravante speciale della finalità di eversione dell ordine costituzionale ed eventualmente di terrorismo, anche internazionale, ove ne ricorrano i presupposti, tenuto anche conto delle più severe disposizioni introdotte per contrastarlo (61) - non è chiaro lo scopo di politica criminale perseguito con la fragile e complessa costruzione sistematica in esame. I livelli sanzionatori, identici fra le due fattispecie di cui agli artt. 635-ter e 635-quinquies c.p. (reclusione da uno a quattro anni di reclusione per le ipotesi base, da tre ad otto anni per le ipotesi aggravate di cui ai rispettivi capoversi), sono addirittura inferiori - nel caso di danneggiamento di sistemi di pubblica utilità - rispetto a quanto stabilito per il danneggiamento di sistemi privati (art. 635-quater c.p.: da uno a cinque anni di reclusione), perché evidentemente il legislatore ha considerato che nel primo caso, non nel secondo, si tratta di delitto a consumazione anticipata. Ma anche nel caso di danneggiamento di dati di pubblica utilità la citata pena è di poco superiore a quella stabilita per il danneggiamento di dati privati (art. 635-bis c.p.: da sei mesi a tre anni di reclusione). Per cui non è raggiunto neppure l obiettivo di un regime speciale sensibilmente più severo sul piano sanzionatorio, visto che la configurazione dei delitti in esame come comuni delitti di evento, al pari delle altre fattispecie di danneggiamento, avrebbe comunque consentito la loro punibilità anche a titolo di tentativo, invece Nota: (61) Cfr. art. 1 l. 6 febbraio 1980, n. 15, di conversione del d.l. 15 dicembre 1979, n. 25; nonché, da ultimo, l art. 270-sexies c.p., introdotto dalla l. 31 luglio 2005, n. 155, di conversione del d.l. 27 luglio 2005, n DIRITTO PENALE E PROCESSO N. 6/