Diritto dell Informatica e delle Nuove Tecnologie

Transcript

1 A.A. 2014/15 Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni Diritto dell Informatica e delle Nuove Tecnologie Docente: Massimo Farina m.farina@unica.it Versione 2014 aggiornata a cura dell Avv.to Gianluca Satta

2 Modulo V I reati informatici 2

3 Indice I reati informatici Computer crimes Art. 635 bis c.p. Sistema normativo italiano Art. 640 ter c.p. Definizioni Il Phishing Arresto e fermo Reati informatici nelle leggi Reati informatici speciali Art. 392 c.p. Art. 615 ter c.p. Art. 615 quater c.p. Art. 615 quinquies c.p. Art. 617 quater c.p. Art. 617 quinquies c.p. Art. 171 bis L.d.A. Il file sharing Pubblicazione di immagini e musica in rete Altre sanzioni a tutela del software Pornografia minorile Art. 617 sexies c.p. Gli illeciti penali nel Cod. Privacy 3

4 TIPOLOGIE RICORRENTI DI COMPORTAMENTI RICONDUCIBILI AI COMPUTER S CRIMES a) appropriazione e sottrazione di contenuti archiviati nella struttura informatica; b) divulgazione di dati inerenti a segreti di produzione delle tecnologie informatiche; c) lesione dei diritti di utilizzazione economica del software; Computer crimes T i p o l o g i e r i c o r r e n t i d) alterazione e falsificazione dei dati documentali conservati nelle memorie elettroniche di archivi pubblici e privati; e) utilizzazione delle strutture informatiche per la commissione di truffe e di altri reati a contenuto patrimoniale; f) violazione della privacy dei terzi i cui dati sono archiviati in una banca dati; g) danneggiamenti attentati e sabotaggi delle tecnologie informatiche, hardware e software. 4

5 Computer crimes T i p o l o g i e r i c o r r e n t i DATA DIDDLING SALAMI TECHNIQUES Detta anche manipolazione dei dati, consiste nella trasformazione dei dati (eliminandone una parte o sostituendola con altri) che può essere compiuta sia al momento del loro inserimento nella memoria dell elaboratore che successivamente, solitamente da chi ben conosce il sistema. Es.: frodi alle banche; far scomparire dati personali riguardanti una determinata persona (magari dagli archivi delle forze dell ordine); sabotare processi produttivi e/o colpire il know how di aziende concorrenti; contraffare documenti pubblici o privati. Casi di sottrazione periodica di piccole somme di denaro da una grande quantità di accrediti, per poi trasferirle su un altro conto bancario. Es. frodi bancarie. 5

6 TECNICA DELLA BOTOLA TROYAN HORSE Consiste nello sfruttare le vie d accesso al programma (lasciate appositamente ai progettisti per operare modifiche o integrazioni) da parte di terzi non autorizzati, per sfruttare a fini illeciti il programma principale. Introduzione all interno di un programma di istruzioni aventi funzioni (aggiuntive a quelle del programma in cui sono state nascoste) diverse da quelle assolte dal programma che operano in contemporanea ed indipendentemente dal programma principale, così da impedire, almeno in primo momento, al titolare della licenza d uso del programma, di accorgersi della manomissione; il meccanismo potrebbe consistere nell inserimento all interno di un programma, di un altro che duplica i files del programma legittimo nascondendoli in qualche luogo recondito della memoria dell elaboratore, in attesa di essere prelevati dall hacker (= sabotatore). Es.: frodi, acquisizione di informazione sul contenuto dei sistemi altrui, come nello spionaggio industriale. 6

7 SUPERZAPPING PIGGY BACKING Deriva il suo nome da un programma di utilities (superzap) diffuso nei centri IBM, il quale aveva la funzione di consentire all operatore di intervenire aggirando qualsiasi ostacolo o blocco software, in presenza di malfunzionamenti del software ordinario. Tale programma, avente una funzione di soccorso all operatore di difficoltà nell uso del programma principale, è previsto in molti software complessi ma è ovviamente pericolosissimo se finisce in mani sbagliate, consentendo di accedere ad ogni dato e informazione memorizzata, come un passepartout. Consiste nell inserirsi abusivamente in una comunicazione telematica in corso per acquisire ad esempio la password inviata dall utente abilitato al sistema di connessione e poterla poi utilizzare abusivamente sostituendosi (impersonation) poi alla persona legittima titolare della password. 7

8 SCAVENGING (da to scavenge spazzare), consistente nel raccogliere informazione tra i materiali di scarto (informatici o anche cartacei) generati da un sistema informatico (Es.: stampe del codice). LOGIC BOMB (o back door) consistente in un programma occultato nel software di un sistema informatico altrui predisposto ad autoattivarsi al fine di consentire l accesso a persone non autorizzate o anche a distruggere il software inserito. Es: virus informatici; questa tecnica è stata utilizzata da software houses per cautelarsi contro l illecita duplicazione dei programmi e l uso degli stessi da parte di utenti non autorizzati (la cui liceità è però molto dubbia poiché l intento di autotutela può andare in realtà ben oltre i limiti, causando maggiori danni alla vittima). 8

9 Sistema normativo italiano P r o b l e m a d i i n a d e g u a t e z z a Tutela penale del software: impossibilità di affermarne la fisicità e, quindi, la includibilità tra i beni materiali di cui all art. 635 c.p. danneggiamento ovvero fra le cose mobili come previsto per il reato di furto. impraticabilità dell applicazione analogica della normativa previgente in ambito penale, così come statuisce la costituzione e secondo il principio nullum crimen, nulla poena sine lege (art. 25 Cost.) Tutela civile del software: applicazione in via analogica delle norme della L n. 633 sul diritto d autore, incontrando la difficoltà della includibilità del software tra le opere dell ingegno 9

10 DIRITTO PENALE DELL INFORMATICA Definizioni Complesso delle norme penali riferite all'utilizzo illecito delle tecnologie informatiche o dell'informazione REATI INFORMATICI Fatti previsti da una norma penale Fatti commessi attraverso le tecnologie dell'informazione o rivolti contro un bene informatico DEFINIZIONE ALTERNATIVA: comportamenti previsti e puniti dal codice penale o da leggi speciali in cui qualsiasi sistema informatico o telematico rappresenti un elemento determinante ai fini della qualificazione del fatto di reato. 10

11 R e a t i i n f o r m a t i c i ( i n s e n s o l a t o ) Tutti i reati a forma libera teoricamente consumabili con lo strumento informatico possono essere considerati reati informatici in senso lato. ESEMPIO Definizioni La diffamazione (art. 595 c.p.) via internet o l ingiuria (art. 594 c.p.) via e mail; Il favoreggiamento personale (art. 378 c.p.) cancellazione, dalla memoria del computer, delle tracce di un precedente reato commesso da altri L associazione a delinquere (art. 416 c.p.) finalizzata alla commissione di reati informatici; L estorsione (art. 629 c.p.) tramite minaccia telematica; La sostituzione di persona (art. 494 c.p.) in una comunicazione telematica. 11

12 Definizioni R e a t i i n f o r m a t i c i ( i n s e n s o s t r e t t o ) LEGGE 23 dicembre 1993, n. 547 Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Introduzione nel codice penale di una serie di ipotesi di reato di natura informatica e telematica Modifiche al codice di procedura penale ed al D.Lgs. 196/03: prova elettronica, modifica dell art. 132, D.Lgs. 196/03, modifica dell art. 51 c.p.p. LEGGE 18 MARZO 2008, N. 48 Ratifica ed esecuzione della Convenzione di Budapest sulla criminalità informatica 12

13 Definizioni I l r e a t o CONDOTTA UMANA POSITIVA (azione) ELEMENTI ESSENZIALI ELEMENTO OGGETTIVO EVENTO RAPPORTO DI CAUSALITÀ NEGATIVA (omissione) REATO DOLO ELEMENTI ACCIDENTALI ELEMENTO SOGGETTIVO COLPA CIRCOSTANZE (ATTENUANTI E AGGRAVANTI) RESPONSABILITÀ 13

14 Arresto e fermo D e f i n i z i o n i Arresto e fermo Sono provvedimenti limitativi della libertà personale temporanei e precautelari in quanto rappresentano un anticipazione di quella tutela predisposta mediante le misure cautelari dalle quali si differenziano per il connotato dell urgenza e l assenza di un provvedimento dell Autorità Giudiziaria che interviene solo successivamente nelle forme della convalida. Tanto l arresto quanto il fermo sono vietati quando il soggetto abbia agito in presenza di una causa di giustificazione o di non punibilità (art. 385 c.p.p.) 14

15 Arresto e fermo TEMPORANEA PRIVAZIONE DELLA LIBERTÀ PERSONALE CHE LA P.G. DISPONE A CARICO DI A r r e s t o "chi viene colto nell atto di commettere il reato" (c.d. flagranza propria) chi, subito dopo il reato, è inseguito dalla polizia giudiziaria, dalla persona offesa o da altre persone ovvero è sorpreso con cose o tracce dalle quali appaia che egli abbia commesso il reato immediatamente prima" (c.d. flagranza impropria) (art. 382 c.p.p.). Il tutto con la finalità di impedire che il reato venga portato a conseguenze ulteriori ed assicurare l autore alla giustizia 15

16 POLIZIA GIUDIZIARIA Arresto e fermo C h i p r o c e d e a l l a r r e s t o ARRESTO OBBLIGATORIO (art. 380 c.p.p.): Deve procedere all arresto di chiunque sia colto in flagranza di delitti non colposi, consumati o tentati, per i quali la legge stabilisce la pena dell ergastolo o della reclusione non inferiore nel minimo a cinque anni e nel massimo a venti anni oppure di reati espressamente elencati, individuati per le loro caratteristiche di salvaguardia dell ordine costituzionale, della sicurezza collettiva e dell ordinato vivere civile ARRESTO FACOLTATIVO (art. 381 c.p.p.): Può procedere all arresto di chiunque sia colto in flagranza di delitti non colposi, consumati o tentati, per i quali la legge stabilisce la pena della reclusione superiore nel massimo a tre anni ovvero di un delitto colposo per il quale la legge stabilisce la pena della reclusione non inferiore nel massimo a cinque anni oppure di reati espressamente menzionati. Il ricorso all arresto facoltativo deve essere giustificato dalla gravità del fatto ovvero dalla pericolosità del soggetto desunta dalla sua personalità o dalle circostanze del fatto. PRIVATI ARRESTO FACOLTATIVO (art. 383 c.p.p.): Può procedere all arresto quando l arresto è obbligatorio per la P.G. e si versi in flagranza di un reato perseguibile d ufficio. Chi vi procede "deve senza ritardo consegnare l arrestato e le cose costituenti il corpo del reato alla polizia giudiziaria la quale redige il verbale della consegna e ne rilascia copia. 16

17 Anche fuori dei casi di flagranza, quando sussistono specifici elementi che, anche in relazione alla impossibilità di identificare l indiziato, fanno ritenere fondato il pericolo di fuga. di un delitto commesso per finalità di terrorismo, anche internazionale, o di eversione dell ordine democratico TEMPORANEA PRIVAZIONE DELLA LIBERTÀ PERSONALE CHE IL P.M. DISPONE A CARICO DELLA PERSONA GRAVEMENTE INDIZIATA Arresto e fermo F e r m o "di un delitto per il quale la legge stabilisce la pena dell ergastolo o della reclusione non inferiore nel minimo a due anni e superiore nel massimo a sei anni ovvero di un delitto concernente le armi da guerra e gli esplosivi o di un delitto commesso per finalità di terrorismo, anche internazionale, o di eversione dell ordine democratico. Il tutto con la finalità di impedire che l indagato possa darsi alla fuga soprattutto quando, mancando il presupposto della flagranza, non può procedersi all arresto Al fermo può procedere anche la P.G. quando ancora non vi sia stata l assunzione della direzione delle indagini da parte del P.M. o "qualora sia successivamente individuato l indiziato ovvero sopravvengano specifici elementi, quali il possesso di documenti falsi, che rendano fondato il pericolo che l indiziato sia per darsi alla fuga e non sia possibile, per la situazione di urgenza, attendere il provvedimento del pubblico ministero". 17

18 Reati informatici n e l C o d i c e P e n a l e art. 392 c.p, comma III art. 491-bis c.p. ESERCIZIO ARBITRARIO DELLE PROPRIE FALSITÀ IN DOCUMENTI INFORMATICI RAGIONI CON VIOLENZA SU UN BENE INFORMATICO art. 615-ter c.p. ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO E TELEMATICO art. 615-quater c.p DETENZIONE E DIFFUSIONE ABUSIVA DI CODICI DI ACCESSO A SISTEMI INFORMATICI O TELEMATICI art. 617-quater c.p. INTERCETTAZIONE, IMPEDIMENTO O INTERRUZIONE ILLECITA DI COMUNICAZIONI INFORMATICHE O TELEMATICHE art. 617-quinquies c.p. INSTALLAZIONE DI APPARECCHIATURE ATTE AD INTERCETTARE, IMPEDIRE OD INTERROMPERE COMUNICAZIONI INFORMATICHE O TELEMATICHE 18

19 Reati informatici n e l C o d i c e P e n a l e art. 617-sexies FALSIFICAZIONE, ALTERAZIONE O SOPPRESSIONE DEL CONTENUTO DI COMUNICAZIONI INFORMATICHE O TELEMATICHE art. 635-bis c.p. DANNEGGIAMENTO DI SISTEMI INFORMATICI E TELEMATICI art. 640-ter c.p. FRODE INFORMATICA art. 600-ter c.p PORNOGRAFIA MINORILE art. 600-quater c.p DETENZIONE DI MATERIALE PORNOGRAFICO 19

20 Reati informatici n e l l e l e g g i s p e c i a l i Art. 167 Codice Privacy TRATTAMENTO ILLECITO DI DATI Art. 169 Codice Privacy MISURE DI SICUREZZA Art. 168 Codice Privacy FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE Art. 170 Codice Privacy INOSSERVANZA DI PROVVEDIMENTI DEL GARANTE Art. 171/171-bis/171-ter Legge sul Diritto d Autore DUPLICAZIONE ABUSIVA E COMMERCIALIZZAZIONE DI SOFTWARE CONTRAFFATTO 20

21 Art. 392 c.p. L'esercizio arbitrario delle proprie ragioni con violenza sulle cose [su un bene informatico] I. Chiunque al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito, a querela della persona offesa, con la multa fino a euro 516. II. Dei delitti contro l'amministrazione della giustizia Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata, trasformata, o ne è mutata la destinazione. III. Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato, cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico. Programmatore che include una logic bomb ( bomba a tempo o backdoor ) nel software per il mancato pagamento di costi o canoni. 21

22 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico Dei delitti contro la persona I. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. II. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. 22

23 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico A s p e t t i p r o c e s s u a l i e c a s i s t i c a PENA I comma: reclusione fino a 3 anni; II comma: reclusione da 1 a 5 anni; III comma: reclusione da 3 a 8 anni. PROCEDIBILITÀ Querela di parte nell'ipotesi semplice, d'ufficio nelle ipotesi aggravate Penetrazione abusiva dall esterno in un sistema aziendale mediante la decodifica della password di accesso al sistema Accesso del dipendente all interno di un sistema senza esserne autorizzato Accesso del dipendente al sistema aziendale non rispettandone le condizioni e rimanendo inserito o collegato oltre i limiti previsti 23

24 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico A s p e t t i p e c u l i a r i d e l l a f a t t i s p e c i e Accesso ad un sistema informatico e telematico Attività di introduzione in un sistema, a prescindere dal superamento di chiavi fisiche o logiche poste a protezione di quest ultimo Accesso ad un sistema informatico e telematico Complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all uomo, attraverso l utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un attività di codificazione e decodificazione dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da ingenerare informazioni costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l utente Cass. N. 2672/

25 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico M i s u r e d i s i c u r e z z a??? TRIBUNALE DI TORINO, SENT. 7/02/98: soltanto le misure di sicurezza logiche, anche se facilmente aggirabili TRIBUNALE DI ROMA, SENT. 4/04/00: sono le misure logiche realmente efficaci CASS. PEN. V SEZ. PENALE, SENT. N /00: anche le cosiddette protezioni esterne Inoltre chiarisce Punisce non solo chi si introduce abusivamente in un sistema informatico o telematico ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo. Non si tratta perciò di un illecito caratterizzato dall effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Si tratta di un illecito caratterizzato dalla contravvenzione alle disposizioni del titolare, come avviene nella violazione di domicilio. 25

26 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico B e n e t u t e l a t o BENE TUTELATO INTRODUZIONE DEL CONCETTO DI DOMICILIO INFORMATICO È lo spazio ideale di pertinenza della persona ALTRI ORIENTAMENTI: Integrità del sistema Riservatezza dei dati Cass. N. 3067/99: a nulla rileva il contenuto dei dati racchiusi nel sistema purché attinente alla sfera di pensiero o all attività, lavorativa o non, dell utente 26

27 Art. 615-ter c.p. Accesso abusivo ad un sistema informatico e telematico R e a t o d i p e r i c o l o Esigenza di anticipare la soglia di tutela di interessi considerati, dal legislatore, particolarmente rilevanti. REATO DI PERICOLO La messa in pericolo del bene è punita come reato autonomo e non a titolo di tentativo La condotta posta in essere dall'agente pone soltanto in pericolo il bene-interesse tutelato dalla norma, senza produrgli alcun danno 27

28 Accesso Abusivo Accesso Abusivo Accesso abusivo ad un sistema informatico e telematico La manipolazione del sistema è elemento costitutivo non necessario Tutela della persona L accesso abusivo può avvenire anche senza l utilizzo di carte di credito Frode informatica (art. 640-ter c.p.) C O N C O R S O C O N C O R S O Indebito utilizzo di carte di credito o di pagamento (art. 12 D.L. 143/91) Art. 615-ter c.p. R a p p o r t i c o n a l t r e f i g u r e La manipolazione del sistema è elemento costitutivo necessario Tutela del patrimonio L accesso abusivo può avvenire soltanto con l utilizzo di carte di credito 28

29 Art. 615-quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Dei delitti contro la persona I. Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro. II. La pena è della reclusione da uno a due anni e della multa da euro a euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater. [ ]1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema [ ] 29

30 Art. 615-quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Dei delitti contro la persona I mezzi di accesso di più larga diffusione sono i codici e le parole chiave La parola chiave è una sequenza numerica o alfanumerica, come le password ed i Personal Identification Number Il reato consiste nel procurarsi codici o altri strumenti di accesso con qualsiasi modalità. Anche quando l informazione viene fraudolentemente carpita con inganni verbali e quando si prende conoscenza diretta di documenti cartacei ove tali dati sono stati riportati o osservando e memorizzando la digitazione di tali codici Anche l acquisizione di un codice d accesso effettuata da un operatore di rete abilitato ad agire sulla medesima Anche la comunicazione delle chiavi di accesso ad un sistema da parte dell utente di un servizio ad un terzo non legittimato 30

31 Art. 615-quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici B e n e t u t e l a t o BENE TUTELATO DOMICILIO INFORMATICO TUTELA DELLA RISERVATEZZA DELLA SFERA INDIVIDUALE PROCEDIBILITÀ Querela di parte nell'ipotesi semplice, d'ufficio nelle ipotesi aggravate La semplice integrazione delle condotte descritte è sufficiente per la consumazione del reato Dolo specifico: la condotta dev essere posta in essere al fine di procurare a se o ad altri un profitto o di arrecare ad altri un danno Cass. N. 5688/05: integra la condotta chi si procura abusivamente il numero seriale di un apparecchio cellulare di altri e attraverso la clonazione si connette abusivamente alla rete telefonica mobile 31

32 Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Sentenza Tribunale di Torino 30 settembre 2002 Individua la fattispecie di cui all articolo 615 quater la condotta di colui che si procura abusivamente, al fine di ottenere per sé un profitto o arrecare ad altri un danno, dei mezzi idonei all accesso ad un sistema telematico protetto da misure di sicurezza,. E inapplicabile alla fattispecie la norma di cui all articolo 615 ter, in quanto manca l idoneità dei codici digitati dall imputato all accesso ad un sistema informatico. Cassazione penale n. 4389/98 L articolo 615 quater si applica anche all ipotesi di detenzione o di diffusione abusiva delle cosiddette pic-cards, schede informatiche che consentono di vedere programmi televisivi criptati attraverso la decodifica di segnali trasmessi secondo modalità tecniche di carattere telematico. Art. 615-quater c.p. C a s i s t i c a p a r t i c o l a r e 32

33 Art. 615-quinquies c.p. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico M o d i f i c a t o d a l l a L. 1 8 m a r z o , n. 4 8 Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro NOTA: fattispecie riferita alla diffusione di particolari programmi informatici chiamati comunemente "virus", appositamente progettati o costruiti al fine di danneggiarne altri o addirittura l'intero sistema in cui questi sono contenuti 33

34 Art. 615-quinquies c.p. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico M o d i f i c a t o d a l l a L. 1 8 m a r z o , n. 4 8 La semplice integrazione delle condotte descritte è sufficiente per la consumazione del reato PROCEDIBILITÀ: d'ufficio Dolo specifico: la condotta dev essere posta in essere allo scopo di danneggiare illecitamente un sistema informatico o telematico o di favorire l interruzione [ ] del suo funzionamento Introduzione dall esterno di un programma virus all interno di un sistema dell azienda Dipendente infedele che utilizza il sistema dell azienda per diffondere un programma virus verso sistemi esterni 34

35 Art. 617-quater c.p. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche I. Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe è punito con la reclusione da sei mesi a quattro anni II. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma III. Tuttavia si procede d'ufficio e la pena è delle reclusione da uno a cinque anni se il fatto è commesso : 1. in danno di un sistema informatico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2. da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3. da chi esercita anche abusivamente la professione di investigatore privato 35

36 Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche A s p e t t i p e c u l i a r i d e l l a f a t t i s p e c i e COMUNICAZIONI INFORMATICHE O TELEMATICHE: trasmissioni di dati, immagini, simboli, programmi e ogni altra informazione attraverso sistemi informatici o telematici. IMPEDIRE LA COMUNICAZIONE INFORMATICA O TELEMATICA: frapporre ostacoli, sia hardware che software, alla normale libera operazione di trasferimento di una qualsiasi informazione con sistemi informatici o telematici RIVELARE: portare a conoscenza, o rendere noto, senza averne facoltà o diritto, e quindi abusivamente, a terzi il contenuto (dati, informazioni, programmi) di documenti informatici (su supporti magnetici o simili) destinati a rimanere segreti FRAUDOLENTEMENTE: macchinazione, raggiro, comportamento ingannevole volto a conseguire vantaggi per sé o altri in violazione alla legge (p.es: non risponde del reato chi, per caso, prenda cognizione o interrompa comunicazioni, come interferenza telematica dovuta al guasto di linee PROCEDIBILITÀ: reato semplice a querela, reato aggravato d'ufficio Art. 617-quater c.p. 36

37 Art. 617-quinquies c.p. Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche I. Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi è punito con la reclusione da uno a quattro anni II. La pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato 37

38 Art. 617-quinquies c.p. Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche A s p e t t i p e c u l i a r i d e l l a f a t t i s p e c i e PROCEDIBILITÀ: d'ufficio Le apparecchiature atte ad intercettare sono quelle, sotto il profilo tecnico, effettivamente idonee ad intercettare, impedire od interrompere le comunicazioni informatiche o telematiche 38

39 Art. 617-sexies c.p. Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche I. Chiunque, al fine di procurare a se o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. II. La pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato 39

40 Art. 617-sexies c.p. Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche A s p e t t i p e c u l i a r i d e l l a f a t t i s p e c i e PROCEDIBILITÀ: d'ufficio FALSIFICAZIONE DI UNA COMUNICAZIONE INFORMATICA O TELEMATICA COMUNQUE INTERCETTATA: riprodurne in maniera parziale o totale il contenuto in modo ingannevole SOPPRIMERE LA COMUNICAZIONE INFORMATICA O TELEMATICA: eliminarla, cancellarla dalla memoria, totalmente o parzialmente ALTERARE UNA COMUNICAZIONE INFORMATICA O TELEMATICA: renderla totalmente o parzialmente diversa, come se fosse un'altra 40

41 Art. 635-bis c.p. Danneggiamento di informazioni, dati e programmi informatici M o d i f i c a t o d a l l a L. 1 8 m a r z o , n. 4 8 I. Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. II. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d ufficio. Dolo generico è sufficiente la coscienza e volontà di distruggere, deteriorare Art. 635, comma II, n. 1: con violenza alla persona o con minaccia Si procede d ufficio Trattamento sanzionatorio più grave 41

42 Danneggiamento di informazioni, dati e programmi informatici A s p e t t i p r o c e s s u a l i d e l l a f a t t i s p e c i e PROCEDIBILITÀ Querela di parte nell'ipotesi semplice, d'ufficio nelle ipotesi aggravate Sono stati recentemente introdotti: NOTA Art. 635-bis c.p. 635-ter: che punisce il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità. 635-quater e 635-quinquies: che puniscono rispettivamente il danneggiamento di sistemi informatici o telematici ed il danneggiamento di sistemi informatici o telematici di pubblica utilità. 42

43 Art. 640-ter c.p. Frode informatica I. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a euro. II. La pena è della reclusione da uno a cinque anni e della multa da 309 euro a euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. [ 1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico (1) o col pretesto di far esonerare taluno dal servizio militare ] 43

44 A s p e t t i p r o c e s s u a l i e p e c u l i a r i t à d e l l a f a t t i s p e c i e PROCEDIBILITÀ Querela di parte nell'ipotesi di frode semplice, d'ufficio nelle ipotesi di frode aggravata Art. 640-ter c.p. Frode informatica PECULIARITÀ ALTERARE UN SISTEMA INFORMATICO: agire con qualsiasi mezzo fraudolento sia a livello hardware che software al fine di rendere il funzionamento incapace di operare secondo le capacità proprie (es: asportare un file indispensabile al funzionamento del sistema operativo; modifica della password all'insaputa dell'utente autorizzato); INTERVENIRE SENZA DIRITTO SUL SOFTWARE, SUI DATI O INFORMAZIONI: manipolare con qualsiasi mezzo (hardware o software) il contenuto senza essere autorizzati 44

45 BENE TUTELATO IL PATRIMONIO SIMILITUDINE CON LA TRUFFA Art. 640 c.p.: Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito Artifizi e raggiri contro il sistema informatico: 1) Alterazione del funzionamento 2) Intervento senza diritto sui dati contenuti nel sistema informatico Art. 640-ter c.p. Frode informatica B e n e t u t e l a t o Cass. n. 3065/99: stessi elementi costitutivi della truffa ma l attività fraudolenta [ ] non investe la persona [ ], bensì il sistema informatico Dolo specifico: la condotta dev essere posta in essere al fine di procurare a se o ad altri un ingiusto profitto con danno altrui 45

46 Invio massiccio di messaggi di posta elettronica (spamming) per carpire informazioni personali o dati riservati con la finalità di accedere ai conti correnti (postali o bancari) sui quali si interviene abusivamente disponendo, all insaputa del titolare. Nell ordinamento giuridico italiano non esiste alcuna legge che preveda una definizione del phishing né che prescriva sanzioni a carico dei phisher. ACCESSO ABUSIVO A SISTEMA INFORMATICO Il Phishing D e f i n i z i o n e FRODE INFORMATICA PHISHING RICICLAGGIO ILLECITO TRATTAMENTO DI DATI TRUFFA 46

47 Il Phishing L e f a s i p r i n c i p a l i 1. Il phisher spedisce al malcapitato utente un messaggio simile, nella grafica e nel contenuto, a quello di una istituto di credito. 2. L' contiene spesso avvisi di problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro. 3. L' invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione. 4. Il link fornito non conduce al sito web ufficiale della banca ma ad un clone del sito ufficiale, situato su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari. 5. Le informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle sue mani. 6. Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro. 47

48 Il Phishing E s e m p i o 48

49 Il Phishing E s e m p i o 49

50 Il Phishing I l l e c i t o t r a t t a m e n t o d i d a t i ( f a t t i s p e c i e p e n a l e ) Art. 167, comma II, Codice Privacy Punisce con la reclusione da uno a 3 anni chiunque proceda al trattamento di dati personali in violazione di quanto disposto dagli articoli [ ] 11 [ ] - al fine di trarne per sè o per altri profitto o di recare ad altri un danno - se dal fatto deriva nocumento Art. 11, lett. a), Codice Privacy 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; 50

51 Il PHISHING realizza perfettamente la condotta descritta nell art. 167 IL PHISHER RACCOGLIE I DATI DELL UTENTE E LI UTILIZZA IN VIOLAZIONE ALL ART. 11 (TRATTAMENTO LECITO E SECONDO CORRETTEZZA) Il Phishing I l l e c i t o t r a t t a m e n t o d i d a t i ( f a t t i s p e c i e p e n a l e ) IL FINE DI TRARRE PROFITTO È SEMPRE PRESENTE NEL PHISHING (TECNICA FINALIZZATA AD ESTORCERE DENARO) IL NOCUMENTO È PRESENTE DAL MOMENTO IN CUI SI SOTTRAE IL DANARO DELITTO, PROCEDIBILE D UFFICIO TERMINE MASSIMO DI PRESCRIZIONE (SETTE ANNI E MEZZO) LA FATTISPECIE EX ART. 167 HA NATURA RESIDUALE: SALVO CHE IL FATTO COSTITUISCA PIÙ GRAVE REATO 51

52 Il Phishing I l l e c i t o t r a t t a m e n t o d i d a t i ( f a t t i s p e c i e p e n a l e ) ASPETTI PROCESSUALI (art. 280 c.p.p.) esclusa la possibilità, prima dell eventuale udienza di convalida, di misure cautelari indicate nel Libro IV del codice di procedura penale (ad es. custodia cautelare in carcere, arresti domiciliari, divieto temporaneo di esercitare determinate attività professionali o imprenditoriali) (266 c.p.p.) esclusa la possibilità di procedere ad intercettazioni telefoniche od ambientali (consentite per delitti non colposi puniti con una pena che superi 5 anni) (132 codice privacy - mod. L. 155/2005) possibilità di richiedere l acquisizione dei dati di traffico telematico relativi ai soggetti che hanno messo in opera le attività di phishing. 52

53 Il Phishing I l l e c i t o c i v i l e Art. 122, comma II, Codice Privacy È vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. VIOLAZIONE EX ART «abbonato» il codice intende «qualunque persona fisica o giuridica, ente od associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico» Art. 15, Codice Privacy Chiunque cagioni un danno per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art del codice civile. 53

54 RESPONSABILITÀ PER GLI ISTITUTI DI CREDITO? Il Phishing I l l e c i t o c i v i l e ART. 15 Codice Privacy: chiunque cagioni un danno per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art del codice civile. ART. 31 Codice Privacy: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.. QUID IURIS per gli istituti di credito che permettono (non impediscono) a terzi estranei di accedere alle informazioni relative a propri clienti? 54

55 Il Phishing I l l e c i t o c i v i l e L art. 31 Codice Privacy obbliga le banche (titolari) a custodire e controllare i dati dei clienti (interessati) in modo da ridurre al minimo il rischio di accessi non autorizzati. L obbligo di custodia è commisurato al progresso tecnico (pericolo di rischi sempre nuovi) La mancata vigilanza diretta ad impedire il PHISHING è attività di trattamento dalla quale deriva un danno al cliente La banca dovrà dimostrare di aver posto in essere tutte le misure idonee ad evitare il verificarsi del danno (art c.c.) 55

56 Il Phishing Sentenza del Tribunale di Palermo, 11 giugno 2011, n Il caso: due clienti di un istituto di credito, in possesso di un conto corrente con operabilità online, e dal quale era stato effettuato un bonifico non autorizzato. [ ] Va, parimenti, ritenuta applicabile al caso di specie la previsione di cui all'art. 15 del d. Lgs. n. 196/2003, la quale statuisce che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Invero, la società convenuta non impedendo a terzi di introdursi illecitamente nel sistema ha cagionato un danno ai propri risparmiatori, quale titolare del trattamento dei dati personali. Ed ancora l'art. 31 del d. Lgs. n. 196/2003 impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta [ ]. [ ] l'istituto avrebbe dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire danni, come quelli verificatisi in capo agli attori, non essendo sufficiente la non violazione di nonne di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore, atteso che la prestazione inerisce all'esercizio di un'attività professionale. Nel caso in esame, nessuna prova è stata fornita ed il sistema adottato dalla convenuta appare inadeguato se raffrontato con quello adoperato da altri operatori, cui successivamente la stessa società convenuta si è conformata. 56

57 Il Phishing T r u f f a Art. 640 Truffa Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. [ ] Il delitto è punibile a querela della persona offesa [ ]. Art. 640 Truffa (fattispecie aggravata) [ ] La pena è della reclusione da uno a cinque anni e della multa da. 309 a : 2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario [ ]. Il delitto è punibile d ufficio. Il Phishing consiste in un raggiro artificioso del destinatario dell , che apparentemente è inviata dal proprio istituto di credito e lo induce al collegamento telematico I messaggi sono scritti in italiano scorretto ma ormai capita spesso di ricevere testi elaborati da traduttori automatici Il nome a dominio del sito clone è assai differente da quello ufficiale dell istituto di credito 57

58 Il Phishing T r u f f a La fattispecie ex art. 167 ha natura residuale: salvo che il fatto costituisca più grave reato La truffa è più grave dell illecito trattamento di dati? ILLECITO TRATTAMENTO: reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. TRUFFA: reclusione da sei mesi a tre anni e con la multa da. 51 a DELITTO PROCEDIBILE D UFFICIO DELITTO PROCEDIBILE SU QUERELA DELLA PERSONA OFFESA (????) (fattispecie semplice) DELITTO PROCEDIBILE D UFFICIO (fattispecie aggravata) 58

59 Il Phishing T r u f f a : c h i è l a p e r s o n a o f f e s a? TITOLARE DEL CONTO ISTITUTO DI CREDITO È, SENZA DUBBIO, PERSONA OFFESA È, UGUALMENTE, PERSONA OFFESA Adozione di misure straordinarie per informare i clienti sull inopportunità di divulgare informazioni relative al proprio conto corrente 59

60 Il Phishing T r u f f a a g g r a v a t a [ ] La pena è della reclusione da uno a cinque anni e della multa da. 309 a : 2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario [ ]. Spesso i messagi inviati dal PHISHER manifestano pericoli e rischi legati alla sicurezza della rete: p.es. divattizione del conto La fattispecie è più grave del 167 Codice Privacy È procedibile d ufficio e non si pongono problemi relativi all individuazione della persona offesa 60

61 Art. 640 ter Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da.51 a euro. [ ] Il delitto è punibile a querela della persona offesa [ ]. Art. 640 ter (fattispecie aggravata) [ ] La pena è della reclusione da uno a cinque anni e della multa da. 309 a : 2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario [ ]. Il delitto è punibile d ufficio. I reati informatici F r o d e i n f o r m a t i c a Artifizi e raggiri contro il sistema informatico: 1. Alterazione del funzionamento; 2. Intervento senza diritto (sine titulo) sui dati contenuti nel sistema informatico Analogie con il reato di truffa: 1. Identico trattamento sanzionatorio Il Phishing 2. Analoga suddivisione tra ipotesi semplice ed aggravata 3. Analogo sistema di procedibilità nell ipotesi semplice ed aggravata. Cass. n. 3065/99: stessi elementi costitutivi della truffa ma l attività fraudolenta [ ] non investe la persona [ ], bensì il sistema informatico 61

62 Art. 615 ter Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. [ ] Il delitto è punibile a querela della persona offesa [ ]. Art. 615 ter (fattispecie aggravata) [ ] La pena è della reclusione da uno a cinque anni: [ ] 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l interruzione totale o parziale del suo funzionamento [ ]. Il delitto è punibile d ufficio. I reati informatici Il Phishing A c c e s s o a b u s i v o a s i s t e m a i n f o r m a t i c o Il Phisher che utilizza abusivamente l account del malcapitato configura la fattispecie di accesso abusivo a sistema informatico Se il sistema si danneggia o si blocca si ricade nella fattispecie aggravata 62

63 Il Phishing A c c e s s o a b u s i v o v s. f r o d e i n f o r m a t i c a Accesso abusivo TUTELA DELLA PERSONA Frode informatica TUTELA DEL PATRIMONIO CONCORSO MATERIALE: è configurabile in quanto le condotte contengono elementi differenti La manipolazione del sistema informatico è elemento costitutivo soltanto nella fattispecie di frode informatica CONCORSO FORMALE: è escluso in quanto sussistono due momenti concettualmente slegati Introduzione all interno del sistema (accesso abusivo) Manipolazione dei dati contenuti nell account (frode informatica) 63

64 Il Phishing E s e m p i 64

65 Il Phishing 65

66 Il Phishing 66

67 Il Phishing 67

68 Il Phishing Login2Servlet?function=loginPage 68

69 Il Phishing 69

70 Il Phishing 70

71 Il Phishing 71

72 Il Phishing 72

73 Reati informatici nelle leggi speciali L. n. 633/1941 Illeciti sul software (art. 171/174-quinquies) Illecito Penale artt. 171/174-quinquies LDA Violazione del diritto Patrimoniale (art. 171, I comma) REATO AUTONOMO multa da. 50,00 a. 2000,00 TULLE LE FATTISPECIE SONO PERSEGUIBILI D UFFICIO Violazione del diritto Morale (art. 171, III comma) FATTISPECIE AGGRAVANTE DELLA VIOLAZIONE DEL DIRITTO PATRIMONIALE reclusione fino ad un anno o multa non inferiore a. 500,00 73

74 Reati informatici nelle leggi speciali L. n. 633/1941 Illeciti sul software (art. 171/174-quinquies) Precisazione Se le violazioni hanno natura colposa È prevista soltanto la pena pecuniaria sanzione amministrativa fino a 1.032,00 euro (art. 172 L.d.A.) 74

75 Art. 171-bis L.d.A. Duplicazione abusiva di software Duplicazione abusiva di programmi per elaboratore o distribuzione, vendita, detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non contrassegnati dalla S.I.A.E. È PREVISTO UNO SPECIFICO FINE DELITTUOSO scopo di lucro ante legge n. 248/00 cd legge antipirateria per trarne profitto post legge n. 248/00 cd legge antipirateria concreto incremento patrimoniale positivo qualsiasi vantaggio o utilità economica 75

76 Art. 171-bis L.d.A. Duplicazione abusiva di software I. Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità. II. Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64- quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, e soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità. 76

77 Art. 171-bis L.d.A. Duplicazione abusiva di software L a d u p l i c a z i o n e Cassazione penale n. 473/02 La duplicazione comporta la riproduzione di più copie di un unico originale, perfettamente identiche fra loro quanto a contenuto e a caratteristiche, mentre la nozione di riproduzione ha un significato più ampio e diffusivo ed è relativa a qualsiasi attività tecnica idonea a produrre l effetto di una nuova destinazione del contenuto del supporto. 77

78 Cassazione Penale n /01 In tema di detenzione di prodotti privi di contrassegno S.I.A.E., la modifica del primo comma dell'art. 171-bis della legge 22 aprile 1941, n. 633 (apportata dall'art. 13 della legge 18 agosto 2000, n. 248) che ha sostituito al dolo specifico del "fine di lucro" quello del "fine di trarne profitto", comporta un'accezione più vasta, che non richiede necessariamente una finalità direttamente patrimoniale, ed amplia pertanto i confini della responsabilità dell'autore. Cassazione Penale n /01 Art. 171-bis L.d.A. Duplicazione abusiva di software I l p r o f i t t o Sussiste continuità normativa tra il reato di cui all'art. 171-bis della legge 22 aprile 1941, n. 633 (introdotto dall'art. 10 del D.Lgs. 29 dicembre 1992, n. 518), che sanzionava la detenzione a scopo commerciale, per fini di lucro, di copie abusivamente duplicate di programmi per elaboratori, e l'art. 13 della legge 18 agosto 2000, n. 248, che punisce chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o, ai medesimi fini, importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale i detti programmi privi del contrassegno della S.I.A.E., atteso che non vi è stato un ampliamento della tutela penale, configurando le variazioni lessicali apportate soltanto una corretta specificazione del campo di applicazione della disposizione. (La Corte ha in particolare affermato che la sostituzione della dizione "scopo di lucro" con "scopo di profitto" risulta solo tesa a superare le questioni interpretative correlate ad ipotesi di vantaggio non immediatamente patrimoniale, così come quella dell'espressione "detenzione per scopo commerciale" con "detenzione per scopo commerciale o imprenditoriale" chiarisce l'ambito della tutela di cui al D.Lgs. n. 518 del 1992, che ha introdotto il citato art. 171-bis). 78

79 Il file sharing I n q u a d r a m e n t o d e l f e n o m e n o Sistema che consente ad un utente di condividere i propri files con altri utenti che si trovano sulla stessa rete o su Internet È alla base di tutti quei programmi che permettono di scaricare files (mp3, video,programmi, immagini) dai computer di altre persone collegate ad Internet: I SOFTWARE PEER TO PEER (P2P). È attività lecita se non si condivide materiale protetto dalla legge sul diritto d autore 79

80 Sistemi client-server T i p o l o g i e d i s i s t e m i Composta da server e client ove il server contiene i files da scaricare e i client (computer degli utenti finali) si connettono al server per reperire i files ìvi archiviati Puri: l utente che intende reperire dati e informazioni deve connettersi al server sistema (diventando un nodo), segnalare la sua presenza e chiedere ciò di cui ha bisogno Sistemi peer to peer Discovery Server: l utente si connette al server del sistema, segnala la propria presenza, ottiene la lista di tutti gli altri utenti connessi, e può cercare l informazione che gli interessa direttamente visionando il contenuto dei files condivisi da altro utente in linea Sistemi misti Il file sharing combinazione tra client-server e peer to peer; ogni utente si connette ad un server centrale, comunica la propria presenza e invia la propria lista di file in condivisione. Il download avviene per il tramite del server tra i due utenti. Con questo sistema però il server è in grado di conoscere sia gli utenti connessi che le operazioni da loro effettuate 80

81 Il file sharing S a n z i o n i p e n a l i La condivisione, a fini di lucro, è punita dall art. 171 ter., comma II, lett.a) bis LDA: È punito con la reclusione da uno a quattro anni e con la multa da da euro a euro chiunque: a-bis) [ ], a fini di lucro, comunica al pubblico immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa. Comunicazione al pubblico mediante mezzi di diffusione a distanza (es. via satellite, via cavo) La condivisione, a qualsiasi scopo, è punita dall art. 171 comma I, let. a-bis) Salvo quanto previsto dall'art. 171-bis e dall'art. 171-ter, è punito con la multa da euro 51 a euro chiunque, senza averne diritto, a qualsiasi scopo e in qualsiasi forma: a-bis) mette a disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta, o parte di essa; Messa a disposizione del pubblico accesso dal luogo e dal momento scelti individualmente (on demand) 81

82 Il file sharing S a n z i o n i a m m i n i s t r a t i v e Art. 174-bis L.d.A. Ferme le sanzioni penali applicabili, la violazione delle disposizioni previste nella presente sezione è punita con la sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell opera o del supporto oggetto della violazione, in misura comunque non inferiore a euro 103,00. Se il prezzo non è facilmente determinabile, la violazione è punita con la sanzione amministrativa da euro 103,00 a euro 1032,00. La sanzione amministrativa si applica nella misura stabilita per ogni violazione e per ogni esemplare abusivamente duplicato o riprodotto. 82

83 Il file sharing S a n z i o n i c i v i l i Art. 156 L.d.A. Chi teme violazione di un dir. di utilizzazione economica o vuole impedire continuazione o ripetizione di una violazione può agire in giudizio per accertare il diritto e vietare il proseguimento della violazione Art. 158 L.d.A. Chi è leso nell esercizio di un dir. di utilizzazione economica può agire in giudizio per ottenere il risarcimento del danno e la distruzione o rimozione dello stato di fatto da cui risulta laviolazione 83