UNIVERSITA DEGLI STUDI DI GENOVA FACOLTA DI GIURISPRUDENZA ----------------------------------------------------------------------------------- CORSO DI LAUREA MAGISTRALE IN GIURISPRUDENZA TESI DI LAUREA in Diritto dell Informatica Profili di illiceità dell utilizzo della posta elettronica nell ordinamento giuridico italiano: responsabilità per phishing Relatore: Prof.ssa Elena Bassoli Candidato: Sonia Ratto ---------------------------- --------------------------- Anno Accademico 2009/2010
CAPITOLO PRIMO LA DISCIPLINA DEI REATI INFORMATICI 1. La legge 547/93 e la repressione penale della criminalità informatica A partire dalla fine degli anni 80 si è assistito al crescente sviluppo della tecnologia informatica e telematica, sia per uso commerciale che privato. Parallelamente a tale evoluzione, si è dovuto prendere atto della nascita e diffusione di molteplici nuove forme di aggressioni informatiche commesse sia tramite l utilizzo di sistemi informatici, sia a danno degli stessi 1. Nel nostro ordinamento non esisteva ancora una specifica normativa in materia di reati informatici per cui, di fronte a condotte criminose di questo tipo, si cercavano di 1 I settori maggiormente a rischio erano quelli assicurativo, bancario e finanziario, industriale, dei trasporti, della pubblica amministrazione e sanità. F. LISI, G. MURANO, A. NUZZOLO, I reati informatici. La disciplina penale nella società dell informazione. Profili procedurali, Maggioli, 2004, pag. 68. 1
applicare le norme penali preesistenti. Tale operazione però, era passibile di violare i principi di tassatività e legalità del diritto penale 2. In questo contesto il nostro ordinamento si trovava pressoché privo di un apparato sanzionatorio per le nuove forme di reato emerse e, proprio per colmare tale lacuna, il legislatore è intervenuto con la legge 23 dicembre 1993, n. 547 3. La scelta operata è stata quella di introdurre i reati informatici nella nostra legislazione inserendo le nuove norme incriminatrici 2 Il tentativo era quello di applicare in via estensiva e analogica le norme penali preesistenti, in particolar modo quelle relative a furto, danneggiamento, frode e truffa. Il divieto di analogia in malam partem nel diritto penale rendeva però molto difficile questa operazione. D. OBIZZI, I reati commessi su Internet: computer crimes e cybercrimes, in http://www.fog.it//corsoinformatica/reat.htm. 3 La cui adozione si rese necessaria anche per uniformare il diritto italiano a quello degli altri paesi europei ed extraeuropei già dotati di una specifica normativa in materia di criminalità informatica e poter così consentire la cooperazione internazionale, in particolar modo ai fini dell estradizione dove viene richiesta la cd. doppia incriminazione. Infatti, in mancanza di una normativa sui reati informatici, il nostro ordinamento non avrebbe potuto garantire la propria cooperazione agli altri Stati che invece disponevano già di una disciplina in materia. F. LISI, G. MURANO, A. NUZZOLO, I reati informatici. La disciplina penale nella società dell informazione. Profili procedurali, Maggioli, 2004, pag. 71. 2
all interno del codice penale, affiancandoli alle tipologie di illeciti già presenti che più vi si avvicinavano 4. La legge 547/93 è intervenuta punendo le aggressioni alla riservatezza di dati e comunicazioni informatiche, le aggressioni all integrità di dati e sistemi informatici, nonché le frodi informatiche. Tra le più importanti novità introdotte vi sono l art. 615 ter c.p. che punisce chiunque acceda abusivamente ad un sistema informatico o telematico protetto da misure di sicurezza 5 ; l art. 615 quater che punisce l abusiva acquisizione e diffusione di codici di accesso ai sistemi stessi 6 ; l art. 615 quinquies che sanziona la diffusione di programmi diretti a danneggiare o interrompere un sistema informatico; l art. 635 bis che introduce il reato di danneggiamento degli stessi sistemi e l art. 640 ter che introduce il reato di frode 4 Il legislatore infatti non ha optato per una legge penale speciale ma per una modifica del codice penale, in quanto i reati informatici non costituiscono forme di aggressione a nuovi beni giuridici, ma a beni giuridici già tutelati all interno dello stesso codice. F. LISI, G. MURANO, A. NUZZOLO, I reati informatici. La disciplina penale nella società dell informazione. Profili procedurali, Maggioli, 2004, pag. 69. 5 Di questo si parlerà nel terzo capitolo. 6 Di questo si parlerà nel terzo capitolo. 3
informatica 7. Inoltre la legge 547/93 ha esteso i reati in tema di falso anche al documento informatico, equiparando così il falso informatico al falso documentale 8. 2. La convenzione di Budapest del 2001 La consapevolezza della rilevanza internazionale del cyber crime ha fatto sorgere, poco tempo dopo, l esigenza di una più intensa repressione della criminalità informatica, portando all approvazione, da parte del Consiglio d Europa, della convenzione di Budapest del 23 novembre 2001 9. Con la convenzione sono stati indicati agli Stati membri i principi ai quali ispirarsi per la lotta al cyber crime, in modo da giungere 7 Di questo si parlerà nel terzo capitolo. 8 Per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli art. 491 bis c.p. poi modificato dalla legge 48/2008 (vedi il paragrafo 3). 9 La convenzione è stata il frutto di diversi anni di lavoro da parte di un comitato di esperti istituito nel 1996 dal Comitato europeo per i problemi criminali. D. OBIZZI, I reati commessi su Internet: computer crimes e cybercrimes, in http://www.fog.it//corsoinformatica/reat.htm. 4
all armonizzazione delle normative dei vari paesi aderenti e fornire così un livello minimo di tutela uniforme ai beni giuridici lesi dalle condotte di criminalità informatica e garantire la collaborazione e cooperazione internazionale 10. Per raggiungere tali obiettivi, la convenzione fornisce una serie di definizioni di carattere generale e descrive le tipiche condotte criminose che la legislazione di ogni singolo Stato è tenuta a sanzionare 11. Agli stessi viene anche richiesto, dopo aver acquisito le prove della commissione di un reato informatico, di adottare le misure idonee a garantire la conservazione e l integrità dei dati informatici per il tempo necessario all accertamento della responsabilità dei criminali informatici. Per rendere più efficace la repressione del cyber crime la convenzione chiede anche agli Stati membri l inserimento di regole uniformi in materia di perquisizione, 10 G. AMATO, V. DESTITO, G. DEZZANTI, C. SANTORIELLO, I reati informatici, Cedam, 2010, pag. 3. 11 Ad esempio vengono date le definizioni di sistema informatico e dato informatico e descritte le condotte di accesso abusivo, intercettazione illegale, frode informatica, pornografia infantile. 5
sequestro e accesso a sistemi e dati informatici e di intercettazione di comunicazioni telematiche 12. 3. La legge 48/2008 di ratifica della convenzione di Budapest La convenzione di Budapest è stata ratificata dall Italia solo nel 2008, con la legge n. 48 che ha apportato importanti modifiche sia alle norme penali in materia di reati informatici che, in particolar modo, alle norme del diritto processuale penale in materia di indagini relative agli stessi 13. Oggetto materiale dei reati informatici è il sistema informatico 14 con il quale si intende qualsiasi apparecchiatura o gruppo di 12 G. AMATO, V. DESTITO, G. DEZZANTI, C. SANTORIELLO, I reati informatici, Cedam, 2010, pag. 7. 13 Come già avvenuto con la l. 547/93, anche con la l. 48/2008 il legislatore non ha creato un nuovo settore del diritto penale, ma ha inserito le norme all interno del c.p., del c.p.p. e di altre leggi. Infatti non è possibile individuare un unico e nuovo bene giuridico da tutelare, in quanto i crimini informatici colpiscono diversi beni giuridici già identificati e tutelati dalle norme preesistenti. G. AMATO, V. DESTITO, G. DEZZANTI, C. SANTORIELLO, I reati informatici, Cedam, 2010, pag. 10-12. 14 La cui definizione era assente nella legge 547/93 ma che invece la convenzione di Budapest ha definito all art. 1. 6
apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l elaborazione automatica dei dati 15. Per quanto riguarda le novità introdotte dalla legge 48/2008, in primo luogo essa è intervenuta sulla disciplina in tema di falsità informatiche, eliminando la definizione di documento informatico contenuta nella legge 547/93 16 e introducendo il reato di falsa dichiarazione o attestazione al certificatore di firma elettronica sulla 15 Nei casi di apparecchiature collegate tra loro, ad esempio i personal computer all interno di una stessa azienda, si sarà in presenza di un unico sistema informatico e non una pluralità di essi. Pertanto, se la condotta criminosa dovesse interessare diversi computer, si realizzerà un unico illecito penale. G. AMATO, V. DESTITO, G. DEZZANTI, C. SANTORIELLO, I reati informatici, Cedam, 2010, pag. 14. 16 La definizione data dalla l. 547/93 (vedi la nota 8) avente ad oggetto i supporti anziché i contenuti dichiarativi o probatori trattati con le tecnologie informatiche, creava più problemi di quanti ne risolvesse. Mediante l abolizione di tale definizione, quindi, si è reso possibile un implicito richiamo alla corretta nozione di documento informatico derivante da molteplici norme di carattere extrapenale: il d.p.r. 513/97, il Testo Unico della Documentazione Amministrativa (d.p.r. 445/2000) ed il Codice dell Amministrazione Digitale (d.l.gs. 82/2005). Secondo tali norme, infatti, il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. D. OBIZZI, I reati commessi su Internet: computer crimes e cybercrimes, in http://www.fog.it//corsoinformatica/reat.htm. 7
propria o altrui identità 17. Relativamente ai certificatori di firma elettronica è stato anche introdotto il reato di frode informatica dei soggetti che prestano tale servizio 18. In secondo luogo sono state apportate modifiche alle norme in tema di danneggiamento informatico 19 e di diffusione di dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico 20. Relativamente alla procedura penale, la legge 48/2008 ha introdotto significative novità soprattutto in tema di ispezioni, perquisizioni e sequestri, stabilendo specifiche modalità di svolgimento da parte della polizia giudiziaria quando tali operazioni abbiano ad oggetto dati, informazioni o programmi informatici e prescrivendo determinate regole per assicurare la conservazione dei dati originali e la conformità delle copie. 17 Art. 495 bis c.p. 18 Art. 640 quinquies c.p. 19 Art. da 635 bis a 635 quinquies c.p. 20 Art. 615 quinquies c.p. 8