Criminalità informatica La ratifica della Convenzione ... · della Convenzione Cybercrime del Consiglio d’Europa LEGGE 18 MARZO 2008, N. 48 Ratifica ed esecuzione della Convenzione

DIRITTO PENALE E PROCESSO N. 6/2008696

LEGISLAZIONE•RIFORME

La Camera dei deputati ed il Senato della Repub-blica hanno approvato

IL PRESIDENTE DELLA REPUBBLICAPromulga

la seguente legge:

Capo IRATIFICA ED ESECUZIONE

Art. 1Autorizzazione alla ratifica

1. Il Presidente della Repubblica è autorizzato a ra-tificare la Convenzione del Consiglio d’Europa sulla cri-minalità informatica, fatta a Budapest il 23 novembre2001, di seguito denominata «Convenzione».

Art. 2Ordine di esecuzione

1. Piena e intera esecuzione è data alla Convenzio-ne, a decorrere dalla data della sua entrata in vigore inconformità a quanto disposto dall’articolo 36 della Con-venzione stessa.

Capo IIMODIFICHE AL CODICE PENALE

E AL DECRETO LEGISLATIVO 8 GIUGNO 2001,N. 231

Art. 3Modifiche al titolo VII del libro secondo del codice penale

1. All’articolo 491-bis del codice penale sono ap-portate le seguenti modificazioni:

a) al primo periodo, dopo la parola: «privato» sonoinserite le seguenti: «avente efficacia probatoria»;

b) il secondo periodo è soppresso.2. Dopo l’articolo 495 del codice penale è inserito il

seguente:

«Art. 495-bis. - (Falsa dichiarazione o attestazioneal certificatore di firma elettronica sull’identità o su qua-lità personali proprie o di altri). - Chiunque dichiara oattesta falsamente al soggetto che presta servizi di certifi-cazione delle firme elettroniche l’identità o lo stato o al-tre qualità della propria o dell’altrui persona è punitocon la reclusione fino ad un anno».

Art. 4Modifica al titolo XII del libro secondo del codice penale

1. L’articolo 615-quinquies del codice penale è sosti-tuito dal seguente:

«Art. 615-quinquies. - (Diffusione di apparecchiatu-re, dispositivi o programmi informatici diretti a danneg-giare o interrompere un sistema informatico o telemati-co). - Chiunque, allo scopo di danneggiare illecitamen-te un sistema informatico o telematico, le informazioni,i dati o i programmi in esso contenuti o ad esso perti-nenti ovvero di favorire l’interruzione, totale o parziale,o l’alterazione del suo funzionamento, si procura, produ-ce, riproduce, importa, diffonde, comunica, consegna o,comunque, mette a disposizione di altri apparecchiature,dispositivi o programmi informatici, è punito con la re-clusione fino a due anni e con la multa sino a euro10.329».

Art. 5Modifiche al titolo XIII del libro secondo del codice penale

1. L’articolo 635-bis del codice penale è sostituitodal seguente:

«Art. 635-bis. - (Danneggiamento di informazioni,dati e programmi informatici). - Salvo che il fatto costi-tuisca più grave reato, chiunque distrugge, deteriora,cancella, altera o sopprime informazioni, dati o pro-grammi informatici altrui è punito, a querela della perso-na offesa, con la reclusione da sei mesi a tre anni.

Se ricorre la circostanza di cui al numero 1) del se-condo comma dell’articolo 635 ovvero se il fatto è com-

Criminalità informatica

La ratifica della Convenzione Cybercrimedel Consiglio d’Europa LEGGE 18 MARZO 2008, N. 48

Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica,fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno. (G.U. 4 aprile 2008, n. 80, Supplemento ordinario)

DIRITTO PENALE E PROCESSO N. 6/2008 697


messo con abuso della qualità di operatore del sistema, lapena è della reclusione da uno a quattro anni e si proce-de d’ufficio».

2. Dopo l’articolo 635-bis del codice penale sono in-seriti i seguenti:

«Art. 635-ter. - (Danneggiamento di informazioni,dati e programmi informatici utilizzati dallo Stato o da al-tro ente pubblico o comunque di pubblica utilità). - Sal-vo che il fatto costituisca più grave reato, chiunque com-mette un fatto diretto a distruggere, deteriorare, cancella-re, alterare o sopprimere informazioni, dati o programmiinformatici utilizzati dallo Stato o da altro ente pubblicoo ad essi pertinenti, o comunque di pubblica utilità, è pu-nito con la reclusione da uno a quattro anni.

Se dal fatto deriva la distruzione, il deterioramento,la cancellazione, l’alterazione o la soppressione delleinformazioni, dei dati o dei programmi informatici, lapena è della reclusione da tre a otto anni.

Se ricorre la circostanza di cui al numero 1) del se-condo comma dell’articolo 635 ovvero se il fatto è com-messo con abuso della qualità di operatore del sistema, lapena è aumentata.

Art. 635-quater. - (Danneggiamento di sistemiinformatici o telematici). - Salvo che il fatto costituiscapiù grave reato, chiunque, mediante le condotte di cuiall’articolo 635-bis, ovvero attraverso l’introduzione o latrasmissione di dati, informazioni o programmi, distrug-ge, danneggia, rende, in tutto o in parte, inservibili siste-mi informatici o telematici altrui o ne ostacola grave-mente il funzionamento è punito con la reclusione dauno a cinque anni.

Se ricorre la circostanza di cui al numero 1) del se-condo comma dell’articolo 635 ovvero se il fatto è com-messo con abuso della qualità di operatore del sistema, lapena è aumentata.

Art. 635-quinquies. - (Danneggiamento di sistemiinformatici o telematici di pubblica utilità). - Se il fattodi cui all’articolo 635-quater è diretto a distruggere, dan-neggiare, rendere, in tutto o in parte, inservibili sistemiinformatici o telematici di pubblica utilità o ad ostaco-larne gravemente il funzionamento, la pena è della re-clusione da uno a quattro anni.

Se dal fatto deriva la distruzione o il danneggia-mento del sistema informatico o telematico di pubblicautilità ovvero se questo è reso, in tutto o in parte, inser-vibile, la pena è della reclusione da tre a otto anni.

Se ricorre la circostanza di cui al numero 1) del se-condo comma dell’articolo 635 ovvero se il fatto è com-messo con abuso della qualità di operatore del sistema, lapena è aumentata».

3. Dopo l’articolo 640-quater del codice penale è in-serito il seguente:

«Art. 640-quinquies. - (Frode informatica del sog-getto che presta servizi di certificazione di firma elettro-nica). - Il soggetto che presta servizi di certificazione difirma elettronica, il quale, al fine di procurare a sé o adaltri un ingiusto profitto ovvero di arrecare ad altri dan-

no, viola gli obblighi previsti dalla legge per il rilascio diun certificato qualificato, è punito con la reclusione finoa tre anni e con la multa da 51 a 1.032 euro».

Art. 6Modifiche all’articolo 420 del codice penale

1. All’articolo 420 del codice penale, il secondo e ilterzo comma sono abrogati.

Art. 7Introduzione dell’articolo 24-bis del decreto legislativo 8 giu-

gno 2001, n. 2311. Dopo l’articolo 24 del decreto legislativo 8 giu-

gno 2001, n. 231, è inserito il seguente:«Art. 24-bis. - (Delitti informatici e trattamento il-

lecito di dati). - 1. In relazione alla commissione dei de-litti di cui agli articoli 615-ter, 617-quater, 617-quinquies,635-bis, 635-ter, 635-quater e 635-quinquies del codicepenale, si applica all’ente la sanzione pecuniaria da cen-to a cinquecento quote.

2. In relazione alla commissione dei delitti di cuiagli articoli 615-quater e 615-quinquies del codice pena-le, si applica all’ente la sanzione pecuniaria sino a tre-cento quote.

3. In relazione alla commissione dei delitti di cuiagli articoli 491-bis e 640-quinquies del codice penale,salvo quanto previsto dall’articolo 24 del presente decre-to per i casi di frode informatica in danno dello Stato odi altro ente pubblico, si applica all’ente la sanzione pe-cuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicatinel comma 1 si applicano le sanzioni interdittive previ-ste dall’articolo 9, comma 2, lettere a), b) ed e). Nei ca-si di condanna per uno dei delitti indicati nel comma 2si applicano le sanzioni interdittive previste dall’articolo9, comma 2, lettere b) ed e). Nei casi di condanna peruno dei delitti indicati nel comma 3 si applicano le san-zioni interdittive previste dall’articolo 9, comma 2, lette-re c), d) ed e)».

Capo IIIMODIFICHE AL CODICE

DI PROCEDURA PENALE E AL CODICE DI CUI AL DECRETO LEGISLATIVO

30 GIUGNO 2003, N. 196

Art. 8Modifiche al titolo III del libro terzo del codice

di procedura penale1. All’articolo 244, comma 2, secondo periodo, del

codice di procedura penale sono aggiunte, in fine, le se-guenti parole: «, anche in relazione a sistemi informaticio telematici, adottando misure tecniche dirette ad assi-curare la conservazione dei dati originali e ad impedirnel’alterazione».

2. All’articolo 247 del codice di procedura penale,dopo il comma 1 è inserito il seguente:

«1-bis. Quando vi è fondato motivo di ritenere chedati, informazioni, programmi informatici o tracce co-munque pertinenti al reato si trovino in un sistemainformatico o telematico, ancorché protetto da misuredi sicurezza, ne è disposta la perquisizione, adottando mi-sure tecniche dirette ad assicurare la conservazione deidati originali e ad impedirne l’alterazione».

3. All’articolo 248, comma 2, primo periodo, delcodice di procedura penale, le parole: «atti, documentie corrispondenza presso banche» sono sostituite dalleseguenti: «presso banche atti, documenti e corrispon-denza nonché dati, informazioni e programmi informa-tici».

4. All’articolo 254 del codice di procedura penalesono apportate le seguenti modificazioni:

a) il comma 1 è sostituito dal seguente:«1. Presso coloro che forniscono servizi postali, te-

legrafici, telematici o di telecomunicazioni è consentitoprocedere al sequestro di lettere, pieghi, pacchi, valori,telegrammi e altri oggetti di corrispondenza, anche seinoltrati per via telematica, che l’autorità giudiziaria ab-bia fondato motivo di ritenere spediti dall’imputato o alui diretti, anche sotto nome diverso o per mezzo di per-sona diversa, o che comunque possono avere relazionecon il reato»;

b) al comma 2, dopo le parole: «senza aprirli» sonoinserite le seguenti: «o alterarli».

5. Dopo l’articolo 254 del codice di procedura pe-nale è inserito il seguente:

«Art. 254-bis. - (Sequestro di dati informatici pres-so fornitori di servizi informatici, telematici e di teleco-municazioni). - 1. L’autorità giudiziaria, quando disponeil sequestro, presso i fornitori di servizi informatici, tele-matici o di telecomunicazioni, dei dati da questi detenu-ti, compresi quelli di traffico o di ubicazione, può stabili-re, per esigenze legate alla regolare fornitura dei medesi-mi servizi, che la loro acquisizione avvenga mediante co-pia di essi su adeguato supporto, con una procedura cheassicuri la conformità dei dati acquisiti a quelli originalie la loro immodificabilità. In questo caso è, comunque,ordinato al fornitore dei servizi di conservare e protegge-re adeguatamente i dati originali».

6. All’articolo 256, comma 1, del codice di proce-dura penale, dopo le parole: «anche in originale se così èordinato,» sono inserite le seguenti: «nonché i dati, leinformazioni e i programmi informatici, anche median-te copia di essi su adeguato supporto,».

7. All’articolo 259, comma 2, del codice di proce-dura penale, dopo il primo periodo è inserito il seguente:«Quando la custodia riguarda dati, informazioni o pro-grammi informatici, il custode è altresì avvertito dell’ob-bligo di impedirne l’alterazione o l’accesso da parte diterzi, salva, in quest’ultimo caso, diversa disposizionedell’autorità giudiziaria».


a) al comma 1, dopo le parole: «con altro mezzo»

sono inserite le seguenti: «, anche di carattere elettroni-co o informatico,»;

b) al comma 2 è aggiunto, in fine, il seguente perio-do: «Quando si tratta di dati, di informazioni o di pro-grammi informatici, la copia deve essere realizzata suadeguati supporti, mediante procedura che assicuri laconformità della copia all’originale e la sua immodifica-bilità; in tali casi, la custodia degli originali può essere di-sposta anche in luoghi diversi dalla cancelleria o dallasegreteria».

Art. 9Modifiche al titolo IV del libro quinto

del codice di procedura penale1. All’articolo 352 del codice di procedura penale,

dopo il comma 1 è inserito il seguente:«1-bis. Nella flagranza del reato, ovvero nei casi di

cui al comma 2 quando sussistono i presupposti e le altrecondizioni ivi previste, gli ufficiali di polizia giudiziaria,adottando misure tecniche dirette ad assicurare la con-servazione dei dati originali e ad impedirne l’alterazione,procedono altresì alla perquisizione di sistemi informati-ci o telematici, ancorché protetti da misure di sicurezza,quando hanno fondato motivo di ritenere che in questisi trovino occultati dati, informazioni, programmi infor-matici o tracce comunque pertinenti al reato che posso-no essere cancellati o dispersi».


a) al comma 2 sono aggiunte, in fine, le seguenti pa-role: «e l’accertamento del contenuto»;

b) al comma 3, primo periodo, le parole: «lettere,pieghi, pacchi, valori, telegrammi o altri oggetti di corri-spondenza» sono sostituite dalle seguenti: «lettere, pie-ghi, pacchi, valori, telegrammi o altri oggetti di corri-spondenza, anche se in forma elettronica o se inoltratiper via telematica,» e dopo le parole: «servizio postale»sono inserite le seguenti: «, telegrafico, telematico o ditelecomunicazione».

3. All’articolo 354, comma 2, del codice di proce-dura penale, dopo il primo periodo è inserito il seguente:«In relazione ai dati, alle informazioni e ai programmiinformatici o ai sistemi informatici o telematici, gli uffi-ciali della polizia giudiziaria adottano, altresì, le misuretecniche o impartiscono le prescrizioni necessarie ad as-sicurarne la conservazione e ad impedirne l’alterazione el’accesso e provvedono, ove possibile, alla loro immedia-ta duplicazione su adeguati supporti, mediante una pro-cedura che assicuri la conformità della copia all’origina-le e la sua immodificabilità».

Art. 10Modifiche all’articolo 132 del codice in materia

di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196

1. Dopo il comma 4-bis dell’articolo 132 del codicein materia di protezione dei dati personali, di cui al de-



creto legislativo 30 giugno 2003, n. 196, sono inseriti iseguenti:

«4-ter. Il Ministro dell’interno o, su sua delega, i re-sponsabili degli uffici centrali specialistici in materiainformatica o telematica della Polizia di Stato, dell’Ar-ma dei carabinieri e del Corpo della guardia di finanza,nonché gli altri soggetti indicati nel comma 1 dell’arti-colo 226 delle norme di attuazione, di coordinamento etransitorie del codice di procedura penale, di cui al de-creto legislativo 28 luglio 1989, n. 271, possono ordina-re, anche in relazione alle eventuali richieste avanzateda autorità investigative straniere, ai fornitori e agli ope-ratori di servizi informatici o telematici di conservare eproteggere, secondo le modalità indicate e per un perio-do non superiore a novanta giorni, i dati relativi al traf-fico telematico, esclusi comunque i contenuti delle co-municazioni, ai fini dello svolgimento delle investigazio-ni preventive previste dal citato articolo 226 delle nor-me di cui al decreto legislativo n. 271 del 1989, ovveroper finalità di accertamento e repressione di specifici rea-ti. Il provvedimento, prorogabile, per motivate esigenze,per una durata complessiva non superiore a sei mesi, puòprevedere particolari modalità di custodia dei dati e l’e-ventuale indisponibilità dei dati stessi da parte dei forni-tori e degli operatori di servizi informatici o telematiciovvero di terzi.

4-quater. Il fornitore o l’operatore di servizi informa-tici o telematici cui è rivolto l’ordine previsto dal com-ma 4-ter deve ottemperarvi senza ritardo, fornendo im-mediatamente all’autorità richiedente l’assicurazionedell’adempimento. Il fornitore o l’operatore di serviziinformatici o telematici è tenuto a mantenere il segretorelativamente all’ordine ricevuto e alle attività conse-guentemente svolte per il periodo indicato dall’autorità.In caso di violazione dell’obbligo si applicano, salvo cheil fatto costituisca più grave reato, le disposizioni dell’ar-ticolo 326 del codice penale.

4-quinquies. I provvedimenti adottati ai sensi delcomma 4-ter sono comunicati per iscritto, senza ritardo ecomunque entro quarantotto ore dalla notifica al desti-natario, al pubblico ministero del luogo di esecuzione ilquale, se ne ricorrono i presupposti, li convalida. In casodi mancata convalida, i provvedimenti assunti perdonoefficacia».

Art. 11Competenza

1. All’articolo 51 del codice di procedura penale èaggiunto, in fine, il seguente comma:

«3-quinquies. Quando si tratta di procedimenti per idelitti, consumati o tentati, di cui agli articoli 600-bis,600-ter, 600-quater, 600-quater.1, 600-quinquies, 615-ter,615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater,617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater,640-ter e 640-quinquies del codice penale, le funzioni in-dicate nel comma 1, lettera a), del presente articolo so-no attribuite all’ufficio del pubblico ministero presso il

tribunale del capoluogo del distretto nel cui ambito hasede il giudice competente».

Art. 12Fondo per il contrasto della pedopornografia su internet e

per la protezione delle infrastrutture informatiche di interessenazionale

1. Per le esigenze connesse al funzionamento delCentro nazionale per il contrasto della pedopornografiasulla rete Internet, di cui all’articolo 14-bis della legge 3agosto 1998, n. 269, e dell’organo del Ministero dell’in-terno per la sicurezza e per la regolarità dei servizi di tele-comunicazione per le esigenze relative alla protezioneinformatica delle infrastrutture critiche informatizzate diinteresse nazionale, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modifica-zioni, dalla legge 31 luglio 2005, n. 155, è istituito, nellostato di previsione del Ministero dell’interno, un fondocon una dotazione di 2 milioni di euro annui a decorreredall’anno 2008.

2. Agli oneri derivanti dal presente articolo, pari a 2milioni di euro annui a decorrere dall’anno 2008, siprovvede mediante corrispondente riduzione dello stan-ziamento iscritto, ai fini del bilancio triennale 2008-2010, nell’ambito del fondo speciale di parte correntedello stato di previsione del Ministero dell’economia edelle finanze per l’anno 2008, allo scopo parzialmenteutilizzando l’accantonamento relativo al Ministero dellagiustizia.

3. Il Ministro dell’economia e delle finanze è auto-rizzato ad apportare, con propri decreti, le occorrenti va-riazioni di bilancio.

Capo IVDISPOSIZIONI FINALI

Art. 13Norma di adeguamento

1. L’autorità centrale ai sensi degli articoli 24, para-grafo 7, e 27, paragrafo 2, della Convenzione è il Mini-stro della giustizia.

2. Il Ministro dell’interno, di concerto con il Mini-stro della giustizia, individua il punto di contatto di cuiall’articolo 35 della Convenzione.

Art. 14Entrata in vigore

1. La presente legge entra in vigore il giorno succes-sivo a quello della sua pubblicazione nella Gazzetta Uffi-ciale.

La presente legge, munita del sigillo dello Stato,sarà inserita nella Raccolta ufficiale degli atti normatividella Repubblica Italiana. È fatto obbligo a chiunquespetti di osservarla e di farla osservare come legge delloStato.





L’obiettivo di dare piena attuazione alla Convenzio-ne Cybercrime, attraverso la “frettolosa” legge diratifica 48/2008, appare solo parzialmente rag-giunto sul piano del diritto penale sostanziale. Muo-vendo dalle incriminazioni già introdotte dalla l.547/1993 contro la criminalità informatica ed ope-rando alcuni interventi rispondenti a mere esigenzedi riforma del diritto interno - soppressione della de-finizione di “documento informatico” ai fini penali(art. 491-bis c.p.), introduzione di due nuovi delit-ti in materia di firme elettroniche (artt. 495-bis e640-quinquies c.p.) - il legislatore ha riformulatosoltanto i reati di danneggiamento informatico: daldelitto-ostacolo concernente i “dispositivi” maligni(art. 615-quinquies c.p.), alle ben quattro ipotesiincriminatrici distinte a seconda che riguardino da-ti “privati” (art. 635-bis c.p.) o di “pubblica uti-lità” (art. 635-ter c.p.), sistemi informatici “priva-ti” (art. 635-quater c.p.) o di “pubblica utilità”(art. 635-quinquies c.p.). La novella estende infinea tutti i reati informatici la responsabilità “ammi-nistrativa” delle persone giuridiche (ex d.lgs.231/2001). Ma il complesso che ne risulta presentaincongruenze tecniche e sistematiche.

1. Introduzione: iter di approvazione della legge e sguardo d’insieme dei profili sostanziali

La l. 18 marzo 2008 n. 48, che si commenta, è stataapprovata sul finire della scorsa legislatura (1), dopo ildecreto di scioglimento anticipato delle Camere, intempi eccezionalmente rapidi e con il consenso presso-ché unanime di maggioranza ed opposizione, che ha re-so possibile un’improvvisa accelerazione del suo iter par-lamentare. Dopo la presentazione del disegno di leggegovernativo nel giugno 2007, che recuperava - con no-tevoli sviste ed approssimazioni - una parte dei risultaticui era giunta la precedente commissione interministe-riale incaricata di redigerlo (2), ben poco cammino erainvero stato fatto nelle due sole sedute preliminari delleCommissioni Giustizia ed Affari esteri della Camera, te-nutesi nell’autunno di quell’anno (3).

Poi, in un sol giorno (19 febbraio 2008), è statoconcluso l’esame in sede referente e trasmesso il testo al-l’aula, con un unico emendamento (4); ed il giorno suc-cessivo vi è stata l’approvazione e trasmissione al Sena-to, che a sua volta esauriva in poche ore, fra passaggionelle commissioni ed in aula, sia l’esame che il voto fi-nale, intervenuto senza modifiche il 27 febbraio 2008.

Maggior tempo occorreva per la promulgazione de-finitiva e la pubblicazione nella Gazzetta ufficiale (5).

In tanta fretta, non c’è da stupirsi se - nonostante la

“delicatezza” della materia, sottolineata dal relatore al Se-nato, nominato peraltro il medesimo giorno ed autoriz-zato alla sola relazione orale (6) - sono state approvatenorme con formulazioni delle cui “incongruenze” i parla-mentari stessi si sono dichiarati consapevoli, salvo trin-cerarsi dietro l’auspicio che la magistratura le avrebbe sa-pute superare in sede interpretativa, essendo da tutticonsiderata preminente l’esigenza di non apportare mo-difiche che rallentassero od impedissero l’approvazionefinale, nel condiviso “fine di consentire l’adeguamento del-l’ordinamento italiano alla normativa internazionale” (7)mediante l’autorizzazione alla ratifica della ConvezioneCybercrime del Consiglio d’Europa, aperta alla firma aBudapest il 23 novembre 2001 e già allora sottoscrittadall’Italia.

PROFILI DI DIRITTO PENALE SOSTANZIALELorenzo Picotti

Note:

(1) La legge è stata approvata definitivamente dal Senato della Repub-blica nella seduta del 27 febbraio 2008 e quindi pubblicata in Gazz. Uff.il 4 aprile 2008, n. 80, Suppl. ord., entrando in vigore - ai sensi del suo art.14 - il giorno successivo. Non risulta tuttora depositato l’atto formale diratifica. Va in questa sede segnalata la pessima qualità della traduzione(non ufficiale)in italiano della Convenzione, allegata al testo legislativo,che addirittura tradisce il significato di alcuni termini tecnici di fonda-mentale importanza: quale ad es. il concetto di “traffic data” (nel testo uf-ficiale inglese) e “données relatives au trafic” (in quello francese), definitoesplicitamente dalla lett. d) dell’art. 1 Convenzione, ma tradotto con laforviante locuzione “trasmissione di dati” [sic!]; altrettanto dicasi perquello di “devices” (nel testo ufficiale inglese) e “dispositifs” (in quello fran-cese), il cui complesso contenuto è ricavabile dalla formulazione dell’art.6 (cfr. infra, par. 3-a), ma tradotto riduttivamente come “apparecchiatu-re”.

(2) Per riferimenti critici al tortuoso cammino dei lavori per la predispo-sizione del disegno di legge di ratifica si veda già C. Sarzana di Sant’Ippo-lito, Sicurezza informatica e lotta alla cybercriminalità: confusione di compe-tenze e sovrapposizione di iniziative amministrative e legislative, in Dir. Inter-net, 2005, n. 5, 437 s., in specie 441-444.

(3) Il d.d.l. governativo n. 2087 è stato presentato alla Camera dei De-putati il 19 giugno 2007 ed assegnato alle Commissioni Giustizia (2^) edAffari esteri e comunitari (3^), che ne hanno iniziato l’esame il 25 set-tembre ed il 3 ottobre 2007, riprendendolo poi solo il 19 febbraio 2008 econcludendolo in un giorno, quando è stato trasmesso all’aula con tutti ipareri favorevoli (si veda il relativo resoconto in www.camera.it - A.C.2807).

(4) Relativo all’art. 4 della legge, portante la nuova formulazione dell’art.615-quinquies c.p., da cui - su proposta condivisa del “Comitato dei di-ciotto” - è stato espunto dagli elementi del reato il fine specifico di “pro-fitto”, per lasciare solo lo “scopo di danneggiare illecitamente” così da colpi-re soltanto chi voglia “assaltare o aggredire un sistema” non anche “le azien-de e le altre realtà che producono software per la sicurezza” (intervento del-l’on. Pietro Folena in appoggio alla proposta annunciata dal Relatore perla III Commissione Affari esteri, on. Pietro Zacchera), nel resoconto cit.

(5) Cfr. nota 1.

(6) Cfr. resoconto della seduta del 27 febbraio 2008 (durata dalle 14.10alle 14.40) delle Commissioni riunite Giustizia (2^) ed Affari esteri (3^)del Senato, reperibile al sito ufficiale www.senato.it (atto n. 2012).

(7) Cfr. intervento del Relatore sen. Felice Casson in replica ai rilievi delsen. Centaro, in resoconto della seduta del 27 febbraio 2008 cit. alla no-ta precedente.

Ma la “piena ed intera esecuzione”, che ai sensi del-l’art. 2 l. 48/2008 le è stata formalmente data - ed avràpieno effetto per i profili di diritto internazionale soltan-to dal momento del formale deposito dell’atto di ratifica- non trova soddisfacente riscontro nelle norme sostan-ziali e processuali ora introdotte nel nostro ordinamento.

Limitandosi in questa sede alle prime - artt. da 3 a 7costituenti il Capo II della legge in esame - si riscontra,in primo luogo, l’inserimento o la modifica di fattispeciepenali che non appaiono affatto esecutive della Conven-zione, rispondendo piuttosto ad autonome scelte del le-gislatore nazionale, il quale sembra aver colto l’occasio-ne della legge in questione per rivedere alcune parti con-troverse della disciplina già vigente in materia. Emble-matica è al riguardo la modifica dell’art. 491-bis c.p.,contenente la definizione di “documento informatico”(cfr. infra par. 2-a); ma ancor più autonoma rispetto alleesigenze di armonizzazione connesse alla ratifica è l’in-troduzione dei due nuovi delitti di cui all’art. 495-bis c.p.,che punisce la “falsa dichiarazione o attestazione al cer-tificatore di firma elettronica” (cfr. infra par. 2-b), ed al-l’art. 640-quinquies c.p., che punisce la “frode informati-ca del soggetto che presta servizi di certificazione di fir-ma elettronica” (cfr. infra par. 2-c).

In secondo luogo, quanto alle norme di diritto pe-nale sostanziale effettivamente introdotte o modificateper dare esecuzione alla Convenzione, esse si riducono aquelle contenute negli artt. 4 e 5 l. 48/2008, che presen-tano rilevanti manchevolezze tecniche e sistematiche.

La prima disposizione ha sostituito l’originaria for-mulazione dell’art 615-quinquies c.p., con una nuova ti-pizzazione del delitto che avrebbe dovuto renderlo piùaderente al testo dell’art. 6 Convenzione Cybercrime -secondo cui deve sanzionarsi penalmente il c.d. “abusodi dispositivi” - punendo più ampiamente la “diffusionedi apparecchiature, dispositivi e programmi informaticidiretti a danneggiare o interrompere un sistema infor-matico o telematico” (cfr. infra par. 3-a).

La seconda disposizione, composta di numerosicommi, ha invece riscritto l’intero ‘sistema’ delle fatti-specie di danneggiamento informatico, non solo modifi-cando la preesistente incriminazione del “danneggia-mento di informazioni, dati e programmi informatici”(corsivo aggiunto alla rubrica dell’art. 635-bis c.p., su cuicfr. infra par. 3-b), ma introducendo accanto ad essa ad-dirittura tre nuove ipotesi delittuose, consistenti rispetti-vamente nel “danneggiamento di sistemi informatici otelematici” (corsivo aggiunto alla rubrica del nuovo art.635-quater c.p., su cui cfr. infra par. 3-c) e nei due ‘paral-leli’ delitti di “danneggiamento di informazioni, dati eprogrammi informatici utilizzati dallo Stato o da altroente pubblico o comunque di pubblica utilità” (corsivi ag-giunti alla rubrica del nuovo art. 635-ter c.p.), nonché di“sistemi informatici o telematici di pubblica utilità” (corsi-vi aggiunti alla rubrica del nuovo art. 635-quinquies c.p.,su cui cfr. infra par. 3-d).

La novella è completata, sul punto, dalla contem-

poranea abrogazione - ad opera dell’art. 6 l. 48/2008 - deicommi secondo e terzo dell’art. 420 c.p., che punivanorispettivamente la fattispecie di “attentato ad impiantidi pubblica utilità” concernente “sistemi informatici o te-lematici di pubblica utilità, ovvero dati, informazioni oprogrammi in essi contenuti o ad essi pertinenti” (corsi-vi aggiunti), nonché l’ipotesi aggravata dall’effettiva “di-struzione o […] danneggiamento […] ovvero […] inter-ruzione anche parziale del funzionamento dell’impiantoo del sistema” (corsivo aggiunto; cfr. infra par. 3-d).

Completa, infine, le modifiche di diritto sostanziale“punitivo” l’art. 7 l. 48/2008, che in adempimento degliartt. 12 e 13, par. 2, Convenzione Cybercrime - ed inconformità con l’art. 9 Decisione quadro UE2005/222/GAI contro gli attacchi informatici (8), ri-guardante peraltro i soli delitti di accesso abusivo ad unsistema informatico ed i danneggiamenti di dati e siste-mi informatici - ha aggiunto al d.lgs. 8 giugno 2001, n.231, un nuovo art. 24-bis che ha esteso la responsabilità“amministrativa” da reato delle persone giuridiche e de-gli enti a tutte le nuove fattispecie delittuose in materiadi criminalità informatica introdotte nel nostro codicepenale sia dalla legge di ratifica in esame (con esclusionedel solo art. 495-bis c.p., concernente la falsa attestazio-ne al certificatore), sia dalla precedente l. 547/1993, sal-va l’anomala esclusione del delitto di frode informatica,di cui all’art. 640-ter c.p., se non “commesso in danno del-lo Stato o di altro ente pubblico”, cui tuttora si limita la pre-visione dell’art. 24 d.lgs. 231/2001, mantenuta strana-mente nell’originaria formulazione (cfr. infra par. 4).

2. Le novelle in materia di falsità informatiche e di certificazioni relative alle firme elettroniche

Il primo gruppo di modifiche riguarda la materiadelle falsità informatiche, cui si deve ricondurre anche lanuova disciplina penale concernente il sistema di certi-ficazioni delle firme elettroniche. Benché si tratti di di-sposizioni collocate dal legislatore del 2008 in tre capi di-versi del codice penale, ed anzi una addirittura nel titoloXIII fra i delitti contro il patrimonio - perché configura-ta come ipotesi di “frode” (art. 640-quinquies c.p.): il cheha determinato la sua introduzione ad opera dell’art. 5,anziché dell’art. 2 l. 48/2008 - la loro stretta connessioneconcettuale e la comune pertinenza alla tutela della ‘fe-de pubblica’ ne suggerisce una trattazione ravvicinata.a) Le modifiche alla definizione di “documento informatico” ai fini penali (art. 491-bis c.p.).

Il primo intervento concerne l’art. 491-bis c.p., dicui è stato soppresso (art. 3, comma 1, lett. b) l. 48/2008)il secondo periodo del comma 1, contenente la defini-



Nota:

(8) Pubblicata in Gazz. Uff. UE del 16 marzo 2005 L 69/67 s., stabiliva iltermine del 16 marzo 2007 per la sua attuazione. Per un veloce raffrontofra le previsioni della menzionata Decisione quadro e quelle della Con-venzione Cybercrime sia consentito rinviare a L. Picotti, Internet e dirittopenale: il quadro attuale alla luce dell’armonizzazione internazionale, in Dirit-to dell’Internet, 2005, n. 2, 189 s.

zione normativa di “documento informatico”, essendo-sene finalmente riconosciuta la “sopravvenuta inadegua-tezza” (9).

La norma era stata introdotta dalla citata l.547/1993 contro la criminalità informatica, per renderepiù certo l’ambito di estensione applicativa dei delitti di“falsità documentale” ai nuovi oggetti di tutela, stabilitodalla prima parte del medesimo comma 1, che richiama-va tutte (e sole) le disposizioni “concernenti rispettivamen-te gli atti pubblici e le scritture private” (art. 491-bis, comma1, primo periodo, c.p.)

Il legislatore italiano aveva perciò coniato un’“ori-ginale” nozione ad hoc, pur in assenza di specifica disci-plina ed addirittura di qualsivoglia definizione giuridicadi “documento informatico” ai fini civili od amministra-tivi, invertendo logicamente i rapporti fra diritto penaleed ordinamento extrapenale. Ma oggi ha finalmente ab-bandonato la criticata prospettiva “autonomista” seguita15 anni or sono, che non trovava riscontro nell’espe-rienza comparatistica e neppure nelle fonti internaziona-li, salvo l’indiretto spunto proveniente dalla formulazio-ne delle Raccomandazioni del Consiglio d’Europa del1989.

Queste infatti richiamavano, a proposito della “fal-sità informatica” prevista alla lettera b) della c.d. lista mi-nima delle incriminazioni da introdurre, generiche con-dotte di “ingerenza” in un trattamento informatico, qua-lificate da una sorta di clausola di equivalenza, per laquale esse “secondo il diritto nazionale costituirebberoreato di falso, se riguardassero un oggetto tradizionale diquesto tipo di infrazione” (10).

Ma come già rilevato fin dal primo commento, que-sta formula era meramente ipotetica, escludendo a con-trario la (necessità di) coincidenza effettiva fra docu-mento (tradizionalmente inteso) ed ‘oggetto’ da tutelarenei casi di falsità informatica (11). In ogni caso, la for-mulazione introdotta dalla l. 547/1993 si presentava in-trinsecamente inadeguata alla realtà da regolare, perchéponeva l’accento sul “supporto” - “informatico” anzichécartaceo - che avrebbe caratterizzato il “documentoinformatico”, concepito in troppo stretta analogia con lacomune nozione di “documento”, elaborato da una risa-lente tradizione giuridica extrapenale, fino a presuppor-re addirittura che, al pari di questo, dovesse “incorpora-re” (o “contenere”, secondo la terminologia del legisla-tore del 1993), la dichiarazione di volontà o di scienzache lo costituisce.

Tanto che la giurisprudenza, seguendo un’interpre-tazione in chiave di accentuata continuità con il passato- cui non è stata estranea l’esigenza contingente di ga-rantire la punibilità di falsità commesse prima dell’entra-ta in vigore della nuova disciplina - ha affermato addirit-tura, a più riprese, che la definizione di documento infor-matico introdotta ai fini penali nel 1993 non avrebbeavuto carattere innovativo o costitutivo, ma solo “inter-pretativo” od esplicativo dell’estensione, anche allenuove modalità di formazione e memorizzazione su sup-

porti informatici, della nozione unitaria di “documento”(12), concepita come categoria perdurante nel tempo, dicui quello “informatico” rappresenterebbe al più una spe-cies, anziché un quid novum in rapporto, piuttosto, di me-ra analogia con il concetto tradizionale (13).

Quest’approccio, basato sull’argomento dell’eadamratio che sorregge l’estensione sostanzialmente analogicadella portata della norma, seppur criticabile per l’erosio-ne dei fondamentali principi di tassatività ed irretroatti-vità in materia penale, ha però anche fatto emergere lacondivisibile esigenza di valorizzare il contenuto funzio-nale e normativo della nozione di “documento”, che rin-viando alle discipline dei diversi rami dell’ordinamentogiuridico in cui si è sviluppato, a partire da quello civileed amministrativo, avrebbe dovuto emanciparsi dall’an-gusto contenuto della formula fissata dal legislatore del1993 al solo “fine” di rendere applicabili le fattispecie in-criminatrici in materia di falsità documentale (14).

Mentre sul piano tecnico, l’imponente sviluppo - ri-spetto ai primi anni ‘90 - delle comunicazioni telemati-che e delle connessioni in rete, in cui i dati non devono



Note:

(9) Così si legge nella Relazione d’accompagnamento al d.d.l. n. 2807, 5.

(10) Conseil de l’Europe, Raccomandation N. R (89) 9 contre la criminalitéinformatique (corsivo agg.). Per una più approfondita analisi critica diquesta formulazione ed alcuni spunti di comparazione giuridica, speciecon la nuova legislazione tedesca in materia, si veda L. Picotti, Studi di di-ritto penale dell’informatica, Verona, 1992, in specie 95 s.; e già Id., Proble-mi penalistici in tema di falsificazione di dati informatici, in Dir. inf., 1985, 939s., nonché - con aggiornamenti ed integrazioni - in F. Ferracuti (cur.),Trattato di criminologia, medicina criminologica e psichiatria forense, vol. X,Milano, 1988, cap. 10.2, 21 s.

(11) L. Picotti, Commento all’art. 3 L. 23/12/1993 N. 547, in Leg. pen.,1996, 62 s., in specie 73-74; nonché Id., Reati informatici, in Enc. Giur.Treccani, vol agg. VIII, Roma 1999, 10 s.; in senso adesivo a tali criticheG. Pica, Diritto penale delle tecnologie informatiche, Torino 1999, 115 s., inspecie 119-124; Id., voce Reati informatici e telematici, in Dig. pen., vol,agg. I, Torino 2000, 521 s., in specie 537-539.

(12) Cass., Sez. V, 24 novembre 2003, Russello, in Foro it., 2005, II, c.324 s., con motivazione e nota di richiami a precedenti sull’asserita natu-ra “interpretativa” e non innovativa, della norma in questione: fra cuiCass., Sez. V, 14 marzo 2003-12 maggio 2003, Sciamanna, in D&G,2003, n. 22, 50, con nota di M. Fumo, I database informatici della PA sonopur sempre pubblici registri. Per un quadro in materia cfr. M. Grotto, Regi-me giuridico del falso informatico e dubbi sulla funzione interpretativa dell’art.491-bis c.p., in Dir. inf., 2006, 589 s.Ma la stessa giurisprudenza ha poi dovuto riconoscere che il concettoavrebbe quantomeno una seconda “articolazione”, necessariamente in-novativa, perché riguardante i “programmi destinati ad elaborare” i da-ti informatici come tali (Cass., Sez. V, 21 settembre 2005, dep. 14 di-cembre 2005, n. 45313/2005, CED Cass. pen. 2005, 232735, edita inDir. Internet, 2006, n. 3, 255 s., con nota di G. Pica, Osservazioni sui pro-blemi del falso informatico).

(13) In tal senso si rinvia sinteticamente a L. Picotti, Sistematica dei reatiinformatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id.(cur.), Il diritto penale dell’informatica nell’epoca di Internet, Padova 2004,61-65; più di recente M. Grotto, Regime giuridico, cit., 615-619.

(14) Per ulteriori notazioni critiche sui limiti sistematici anche di taleclausola, che pareva ignorare qualsiasi altra fattispecie di falsità estraneaal Capo III del Titolo VII contenente i delitti contro la fede pubblica (vi-ceversa presenti in molte altre parti del codice e nella legislazione specia-le), si veda ancora L. Picotti, Commento all’art. 3, cit., 91 s.

e per lo più non sono affatto “incorporati” o “contenuti”stabilmente in un supporto determinato, ma anzi hannolo specifico pregio di poter essere riprodotti, trattati, ve-nir trasmessi a distanza, circolare, ecc. a prescindere dallesorti di quello in cui pur siano momentaneamente, par-zialmente od anche stabilmente memorizzati (o “conte-nuti”), hanno dato chiara dimostrazione dell’inidoneitàdi una tutela penale concepita come avente ad oggetto i“supporti” (15), anziché direttamente i contenuti di-chiarativi o probatori trattati con le tecnologie informa-tiche.

Le loro specifiche caratteristiche - specie nel caso ditrasmissioni via internet, satellitari, wireless, ecc. - con-sentono o richiedono di “recuperare” e “trattare” i con-tenuti informativi e dichiarativi di dati visualizzabili e ri-producibili anche a stampa come atti unitari, da distinti“supporti”, memorie o fonti, che solo in via elettronicasono connessi in un’unità logica, escludendo definitiva-mente che la protezione dei “documenti informatici”, secosì li si vuole continuare a chiamare nel nostro ordina-mento, possa ridursi o basarsi su quella dei relativi “sup-porti”.

In ogni caso, la formulazione dell’art. 7 Convenzio-ne Cybercrime - collocato nel Capitolo I, titolo 2, riguar-dante le “infrazioni informatiche” per così dire ‘classi-che’, che comprendono anche la “frode informatica”(art. 8) - prescrive l’incriminazione della “falsità infor-matica” nei seguenti termini: “l’introduzione, l’alterazio-ne, la cancellazione o la soppressione intenzionali e sen-za diritto di dati informatici, che generino dati non au-tentici, nell’intenzione che essi siano presi in conto outilizzati a fini giuridici come se fossero autentici, chesiano o no direttamente leggibili od intelligibili” (corsi-vo agg.). Nell’ultima parte della disposizione la Conven-zione lascia agli Stati parte di esigere altresì, per la puni-bilità, un’intenzione “fraudolenta” o “delittuosa simila-re”.

Dunque, non occorre affatto ricondurre l’oggettodella “falsificazione” alla nozione giuridica di “documen-to” tradizionalmente inteso, essendo essenziale soltantoche sia punita la violazione del requisito dell’“autenti-cità” dei dati o del loro trattamento, quando abbianospecifica rilevanza nel traffico giuridico, a prescinderedalla loro diretta “leggibilità” per l’uomo.

Di conseguenza, appare senz’altro opportuna la de-finitiva soppressione, da parte del legislatore italiano,della criticata nozione - esclusivamente ‘penalistica’ - di“documento informatico”, con logico rinvio alla nozio-ne generale nel frattempo sviluppatasi nell’ordinamentoextrapenale e suscettibile di ulteriore evoluzione, a parti-re dalla definizione offerta dall’art. 1, lett. a) d.p.r. 10 no-vembre 1997, n. 513 (cui fa espresso richiamo la Rela-zione d’accompagnamento al d.d.l. n. 2087 del 2007),recepita poi nel T.U. in materia di documentazione am-ministrativa approvato con d.p.r. 28 dicembre 2000, n.445 e confluita infine nell’art. 1, lett. p) del Codice del-l’amministrazione digitale, approvato con d. lgs. 7 marzo

2005, n. 82 e da ultimo modificato dal d.lgs. 4 aprile2006, n. 159.

Secondo questa definizione è “documento informa-tico: la rappresentazione informatica di atti, fatti o datigiuridicamente rilevanti” (corsivi agg.). Due sono gli es-senziali elementi elastici, di cui occorre sottolineare lafunzione adeguatrice alla mutevole realtà odierna: quel-lo che rinvia all’evoluzione della tecnologia “informati-ca” e quello che richiama la pluralità delle diverse fontinormative, da cui dipende la rilevanza “giuridica” deisingoli “atti, fatti o dati” oggetto di una siffatta forma di“rappresentazione, senza che vi sia più alcun richiamo alrelativo supporto.

In tal modo la nozione può costantemente corri-spondere alle esigenze dei diversi ambiti dell’ordinamen-to giuridico, da quello civile (16), a quello amministrati-vo, fino a quello fiscale, penale, ecc., secondo le specifi-che disposizioni rispettivamente rilevanti e modificabili,nonché l’evoluzione tecnica futura.

Il concetto, di natura squisitamente normativa, tro-va importante completamento nella disciplina delle “fir-me elettroniche” (sui cui specifici profili penali si tor-nerà nel successivo paragrafo), confluita nel medesimoCodice dell’amministrazione digitale, che stabilisce im-portanti regole - basate su disposizioni comunitarie - perl’attribuzione della paternità dei “documenti informati-ci” al loro autore apparente, condizione decisiva per lacorrelativa tutela della loro “autenticità” oltre che “ge-nuinità” (17).



Note:

(15) Nel senso criticato la Relazione d’accompagnamento al d.d.l. n. 2773presentato alla Camera dei Deputati l’11marzo 1993, 9 (in Atti parla-mentari - XI Legislatura), in cui si parla esplicitamente del “supporto infor-matico” quale “oggetto del reato”. In senso analogo si è orientata anche ladottrina italiana dell’epoca: C. Sarzana di Sant’Ippolito, Informatica e di-ritto penale, Milano 1994, 209; M. Petrone, Le recenti modifiche del codicepenale in tema di documento informatico: problemi e prospettive, in Dir. inf.,1995, 259 s., in specie 262-263; successivamente anche C. Parodi, Il do-cumento informatico nel sistema normativo penale, in questa Rivista, 1998, n.3, 369 s.; C. Pecorella, Il diritto penale dell’informatica, Padova 2000 (rist.2006), 145 s.

(16) Ad es. con riferimento al requisito della “forma scritta” nelle diver-se specie di atti per cui è richiesta dal codice civile (art. 20, comma 2, conriferimento all’art. 1350 c.c.), oppure con riferimento al valore delle ri-produzioni (art. 2172 c.c., modificato ai sensi dell’art. 23, comma 1, Co-dice cit.) e copie (art. 23, comma 3, Codice cit., con riferimento agli artt2714 e 2715 c.c.).

(17) La complessa disciplina introdotta dal d.lgs. 23 gennaio 2002, n.10, in attuazione della Direttiva 1999/93/CE del 13 dicembre 1999,porta a distinguere esplicitamente l’efficacia o “valore probatorio” deldocumento informatico a seconda della “tipologia” della stessa firmaelettronica (semplice, “digitale” o “qualificata”): cfr. oggi l’art. 20, com-ma 2, Codice cit., secondo cui “Il documento informatico sottoscritto confirma elettronica qualificata o con firma digitale, formato nel rispetto delle re-gole tecniche stabilite ai sensi dell’articolo 71, che garantiscano l’identificabi-lità dell’autore, l’integrità e l’immodificabilità del documento, si presume ri-conducibile al titolare del dispositivo di firma ai sensi dell’articolo 21, comma2, e soddisfa comunque il requisito della forma scritta, anche nei casi previsti,sotto pena di nullità, dall’articolo 1350, primo comma, numeri da 1 a 12 delcodice civile”; ed il successivo art. 21, in specie commi 1 e 2, secondo cui

(segue)

Infatti le “alterazioni” o “contraffazioni” - corri-spondenti alla tradizionale nozione di falsità “materiale”(18) - realizzate o meno con manipolazioni o ‘tecniche’informatiche, sono chiaramente individuabili e dunqueeventualmente punibili, alla stregua di dette regole, an-che in assenza di qualsivoglia intervento fisico sulla res(supporto) che ‘incorpori’ più o meno stabilmente ilcontenuto dichiarativo o rappresentativo e l’eventualesottoscrizione, a prescindere dalla formulazione in unascrittura o linguaggio “direttamente leggibili od intelligibili”dall’uomo.

Accanto all’opportuna abrogazione del secondo pe-riodo del comma 1 dell’art. 491-bis c.p., l’art. 3, comma1, lett. a) l. 48/2008 ha invece inteso mantenere in vitala locuzione “avente efficacia probatoria”, anticipandolanel primo periodo, dopo la frase d’esordio: “Se alcuna del-le falsità previste dal presente capo riguarda un documentoinformatico pubblico o privato”.

Si potrebbe ritenere che si tratti di un requisito inrealtà implicito nel concetto stesso di “documento infor-matico” offerto dall’esaminata definizione extrapenale, oche addirittura si ponga in contraddizione con questa,per la diversità della più generica locuzione “giuridica-mente rilevanti” ivi contenuta.

Ma proprio la disciplina extrapenale, regolando inmodo differenziato il “valore probatorio” dei documentiinformatici e mantenendo fermo il principio della “libe-ra valutabilità in giudizio” anche in caso di sottoscrizio-ne (art. 21, comma 1, Codice cit.), salvi i casi riconduci-bili al sistema di presunzioni in materia, ne attesta la dif-ferente “efficacia” che ad essi può venir riconosciuta, infunzione soprattutto delle “caratteristiche oggettive diqualità, sicurezza, integrità e immodificabilità” (art. 21,comma 2, Codice cit.) che li connotino, nonché dellediverse tipologie di firma elettronica di cui siano o menomuniti (cfr. art. 20, in specie comma 2 Codice dell’am-ministrazione digitale).

Dato questo articolato contesto di disciplina, cheinveste ogni settore del diritto - a partire da quello civileed amministrativo - l’elemento dell’“efficacia probato-ria” non va inteso in chiave meramente processuale, manel più ampio significato di funzione o rilevanza probatoriache assumono in concreto i dati ed i trattamenti infor-matici, rispondonenti - nell’odierna società informatiz-zata - a quelle medesime esigenze di certezza ed affida-mento nella ‘rappresentazione’ (tramite atti, fatti e dati)dei rapporti rilevanti nel traffico giuridico (19), per cuimeritano una protezione penale del tutto “equivalente” -non per questo identica - a quella apprestata ai docu-menti tradizionalmente intesi.

Il requisito in questione non è dunque superfluo,dovendo invece guidare l’interprete nella spesso sottiledistinzione fra la molteplicità di dati e trattamenti infor-matici, che pur possono venire in rilievo anche a speci-fici fini giuridici, ma senza godere di una siffatta tutela,perché privi di funzione o rilevanza probatoria, benchépossano eventualmente goderne una diversa, anche pe-

nale, qual è ad es. quella stabilita contro i danneggia-menti informatici (di cui si tratterà infra, par. 3) ovverocontro le violazioni concernenti la disciplina dei datipersonali, se ne abbiano i requisiti (20).b) Il nuovo delitto di false dichiarazioni al certificatore (art. 495-bis c.p.)

Completano le modifiche in materia di tutela pe-nale della fede pubblica “informatica” le due nuove fat-tispecie incriminatrici, che - senza alcun riferimento al-le previsioni della Convenzione Cybercrime - punisconocomportamenti illeciti consistenti nella violazione di re-gole relative alla disciplina italiana delle c.d. firme elet-troniche (21), concernenti in particolare i rapporti fragli utenti ed il soggetto che esercita servizi di certifica-zione. Si tratta di norme penali che vanno dunque lettein stretta connessione con le relative disposizioni extra-penali, oggi contenute nel citato Codice dell’ammini-strazione digitale (in specie nella Sezione II del Capo I,artt. da 24 a 37).

Da un lato, viene introdotto fra i delitti contro lafede pubblica, di cui al titolo VII del libro II del codi-ce penale - ma nel capo IV dedicato alla “falsità per-sonale” anziché nel III dedicato alla “falsità in atti” incui si collocano quelle “informatiche” appena esami-nate - il nuovo delitto di “falsa dichiarazione o atte-stazione al certificatore di firma elettronica sull’iden-



Note:

(continua nota 17)

“1. Il documento informatico, cui è apposta una firma elettronica, sul pianoprobatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratte-ristiche oggettive di qualità, sicurezza, integrità e immodificabilità. 2. Il docu-mento informatico, sottoscritto con firma digitale o con un altro tipo di firmaelettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice ci-vile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, sal-vo che questi dia la prova contraria.”

(18) Come già sottolineato fin dal nostro primo commento all’art. 491-bis c.p., non pone invece speciali problemi - ulteriori rispetto a quello del-l’individuazione della nozione di documento informatico - la condotta difalsità ideologica, che offendendo il diverso bene della “veridicità” delcontenuto ideale del documento, non si differenzia essenzialmente daquella relativa ad un documento tradizionale, avendo come comune pa-rametro di riferimento la realtà oggettiva esterna, che rappresenta il con-tenuto dell’“attestazione” da parte del soggetto tenuto al relativo obbligo(L. Picotti, Commento all’art. 3, cit., 94).

(19) Per l’interpretazione in tal senso della locuzione che già comparivanel secondo periodo del comma 1 art. 491-bis c.p. si rinvia ancora a L. Pi-cotti, Commento all’art. 3, cit., 76 s.

(20) Per più ampi riferimenti al riguardo, che fondano ad es. la differenterepressione del falso per soppressione rispetto al danneggiamento infor-matico, benché la condotta materiale che li integra possa essere del tuttoidentica, sia consentito rinviare a L. Picotti, Studi, cit., 99 s., nonché 64 s.con riguardo al corrispondente sistema penale tedesco.

(21) Non è questa la sede per analizzare e considerare criticamente le tor-mentate scelte del legislatore nazionale al riguardo, che secondo alcunipunti di vista critici avrebbero eccessivamente reso complessa la discipli-na, senza nel contempo garantire sufficiente efficienza all’intero sistema.Per un quadro di sintesi si veda G. Navone, La firma digitale ed il sistema dicertificazione quale nuovo strumento di pubblicità legale, in Diritto dell’Inter-net, 2008, n. 2, 113 s., cui si rinvia anche per aggiornati richiami biblio-grafici in materia.

tità o qualità personali proprie o di altri” (nuovo art.495-bis c.p.).

Dall’altro è collocato addirittura fra i “delitti controil patrimonio mediante frode” di cui al capo II del titoloXIII della parte speciale del codice penale, il nuovo rea-to proprio di “frode informatica del soggetto che prestaservizi di certificazione di firma elettronica” (art. 640-quinquies c.p.: cfr. infra sub c).

Nel primo caso, ora in esame, si tratta invece di unreato comune, realizzabile da chiunque rilasci al certifi-catore una “dichiarazione” od “attestazione” falsa ideolo-gicamente (perché non veridica) o materialmente (per-ché non genuina) sull’identità o lo stato o altre qualitàpersonali, visto che nel “certificato qualificato” - neces-sario per generare la firma digitale - si devono rilevare,secondo le regole tecniche stabilite con appositi decretiministeriali, oltre alla validità del certificato stesso, “glielementi identificativi del titolare” e del certificatore egli eventuali limiti d’uso (art. 24, comma 4, Codice del-l’amministrazione digitale).

Si deve ritenere che siano oggetto dell’obbligo diveridica dichiarazione od attestazione penalmente san-zionato non solo tutti i dati elencati come “obbligatori”dai commi 1 e 2 dell’art. 28 Codice cit., ma anche quel-li meramente “facoltativi”, di cui al comma 3, che ri-guardano informazioni rilevanti, ed anzi assai importan-ti nel traffico giuridico, quali le qualifiche specifiche deltitolare (appartenenza ad ordini o collegi professionali,qualifica di pubblico ufficiale, iscrizione ad albi o posses-so di altre abilitazioni professionali, poteri di rappresen-tanza), i limiti d’uso del certificato, i limiti del valore de-gli atti unilaterali e dei contratti per i quali il certificatopuò essere usato (22).

Pur essendo rimessa al titolare od al terzo interessa-to la facoltà di richiedere che il certificato contenga lepredette informazioni, vi è infatti un generale obbligo dicomunicare tempestivamente al certificatore il modifi-carsi o venir meno delle circostanze oggetto di tutte leinformazioni di cui all’intero art. 28 cit., siano esse ob-bligatorie ovvero facoltative. Ed è anzi proprio in rela-zione a queste ultime che appare importante la previsio-ne sanzionatoria che si commenta, potendo altrimentirestare la loro falsa attestazione o dichiarazione del tuttopriva di sanzione penale, mentre in relazione alle altrepotrebbe ipotizzarsi anche il delitto di cui all’art. 494c.p., se non quelli di cui agli artt. 495 e 496, ove si vogliaritenere sussistente una qualifica pubblicistica del certifi-catore ai fini penali.

Il nuovo delitto è punito con la sanzione relativa-mente lieve della “reclusione fino ad un anno”, pari aquella della menzionata “sostituzione di persona” di cuiall’art. 494 c.p., quindi inferiore a quella della “falsa atte-stazione o dichiarazione a un pubblico ufficiale sull’iden-tità o qualità personali proprie o di altri”, di cui all’art.495 c.p., dopo il quale è stato immediatamente inseritoe che sembra costituirne il paradigma normativo, comeemerge anche dalla rubrica di quello nuovo, formulata

in termini identici salvo che per la diversa qualità del de-stinatario della falsa attestazione: non “pubblico ufficia-le”, ma “certificatore di firma elettronica”.

Mentre però il delitto di cui all’art. 495 c.p. si devealtresì consumare “in un atto pubblico” (comma 1) od“in una dichiarazione destinata a essere riprodotta in unatto pubblico” (comma 2 della stessa norma), quello dinuovo conio prevede soltanto che la dichiarazione o at-testazione falsa sia “al soggetto che presta servizi di certi-ficazione delle firme elettroniche”.

Si potrebbe dedurre da questa scelta la volontà legi-slativa di escludere ogni qualificazione pubblicistica dal-l’attività di certificazione delle firme elettroniche, chepuò essere, ed anzi è di regola esercitata da “soggetti” pri-vati, come testualmente prevede, anche nel caso di cer-tificatori “accreditati”, l’art. 29, comma 3, Codice del-l’amministrazione digitale.

Nondimeno qualche dubbio permane, perché essaappare non solo regolata da “norme di diritto pubblico eda atti autoritativi” - quali sono ad es. i provvedimentidell’autorità di controllo (individuata nel CNIPA: Cen-tro Nazionale per l’Informatica nella Pubblica Ammini-strazione), che può anche disporre il divieto di prosecu-zione dell’attività e la rimozione dei suoi effetti: art. 27,comma 4, Codice cit. - ma anche caratterizzata dal suosvolgersi per mezzo di “poteri certificativi” tipici della



Nota:

(22) Ai sensi dell’art. 28 cit. “i certificati qualificati devono contenere al-meno le seguenti informazioni: a. indicazione che il certificato elettroni-co rilasciato è un certificato qualificato; b. numero di serie o altro codiceidentificativo del certificato; c. nome, ragione o denominazione socialedel certificatore che ha rilasciato il certificato e lo Stato nel quale è stabi-lito; d. nome, cognome o uno pseudonimo chiaramente identificato co-me tale e codice fiscale del titolare del certificato; e. dati per la verificadella firma, cioè i dati peculiari, come codici o chiavi crittografiche pub-bliche, utilizzati per verificare la firma elettronica corrispondenti ai datiper la creazione della stessa in possesso del titolare; f. indicazione del ter-mine iniziale e finale del periodo di validità del certificato; g. firma elet-tronica qualificata del certificatore che ha rilasciato il certificato realizza-ta in conformità alle regole tecniche ed idonea a garantire l’integrità e laveridicità di tutte le informazioni contenute nel certificato medesimo”.In aggiunta alle elencate informazioni (di cui al comma 1), in base al ca-poverso “fatta salva la possibilità di utilizzare uno pseudonimo, per i tito-lari residenti all’estero cui non risulti attribuito il codice fiscale, si deveindicare il codice fiscale rilasciato dall’autorità fiscale del Paese di resi-denza o, in mancanza, un analogo codice identificativo, quale ad esempioun codice di sicurezza sociale o un codice identificativo generale”. Infine,nel comma 3, sono elencate le informazioni facoltative, stabilendosi che“Il certificato qualificato può contenere (corsivo agg.), ove richiesto dal ti-tolare o dal terzo interessato, le seguenti informazioni, se pertinenti alloscopo per il quale il certificato è richiesto: a. le qualifiche specifiche deltitolare, quali l’appartenenza ad ordini o collegi professionali, la qualificadi pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioniprofessionali, nonché poteri di rappresentanza; b. i limiti d’uso del certifi-cato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri dirappresentanza di cui alla lettera a) ai sensi dell’art. 30, comma 3; c. limi-ti del valore degli atti unilaterali e dei contratti per i quali il certificatopuò essere usato, ove applicabili”. La norma si conclude comunque conun obbligo generale di comunicazione del seguente tenore: “Il titolare,ovvero il terzo interessato se richiedente ai sensi del comma 3, comunica-no tempestivamente al certificatore il modificarsi o venir meno delle circostan-ze oggetto delle informazioni di cui al presente articolo” (corsivi agg.).

pubblica funzione amministrativa in senso oggettivo, aisensi dell’art. 357, comma 2, c.p.

Ed alla stregua della menzionata disciplina giuridi-ca, l’attività dei certificatori presenta chiare finalità diinteresse pubblico, con connotazioni e contenuti pubbli-cistici, specie se si tratta di quella dei certificatori qualifi-cati ed accreditati che vengono in rilievo nelle incrimi-nazioni in esame, poiché richiede, oltre a requisiti sog-gettivi per l’esercizio, condizioni organizzative e moda-lità predeterminate di svolgimento dell’attività, nonchécontrolli penetranti da parte della pubblica autorità, cuicompetono specifiche funzioni di vigilanza, per l’appun-to, sui certificatori qualificati ed accreditati (ex art. 29Codice dell’amministrazione digitale), fino al potere didisporre, se del caso, il menzionato divieto di prosecuzio-ne dell’attività e la rimozione dei suoi effetti (art. 27,comma 4, Codice cit.). Scopo della disciplina, infatti, èla “pubblicità legale” da garantire alle chiavi pubbliche -necessarie per apporre la firma digitale ai documentiinformatici - mediante “certificazione” della loro titola-rità in capo ad un determinato soggetto, con tenuta ob-bligatoria dei relativi elenchi accessibili al pubblico. Percui, come è stato rilevato anche da un punto di vista ex-trapenale, vi è una molteplicità di profili ed interessi daproteggere, e non si può formulare una risposta unitariao monistica al quesito sulla sua natura (23).

In definitiva, non si può escludere che rispetto asingoli atti e adempimenti, attinenti in particolare al ri-lascio e alla gestione dei certificati “qualificati”, possanoconvergere discipline differenziate anche sotto il profilopenale.

La nuova fattispecie è del resto punita più gravemen-te di quella di cui all’art. 496 c.p., che sanziona con la re-clusione fino ad un anno ovvero con la sola multa finoad euro 516 la “falsa dichiarazione sulla identità o su qua-lità personali proprie o di altri” da parte di chi - “fuori deicasi indicati negli articoli precedenti”: e dunque anche fuoridell’ipotesi speciale in esame - “interrogato” su tali circo-stanze renda “mendaci dichiarazioni a un pubblico ufficia-le o a un incaricato di pubblico servizio, nell’esercizio dellefunzioni o del servizio” (corsivi agg.).

Non si giustificherebbe una punizione più severa diquella applicabile alla condotta da ultimo richiamata,che va posta in essere nei confronti di un pubblico uffi-ciale o di un incaricato di pubblico servizio “nell’eserci-zio delle funzioni o del servizio”, se la qualifica soggettivadel certificatore, cui siano rese le false attestazioni o di-chiarazioni in esame, o meglio la sua attività, fosse di na-tura esclusivamente privatistica, pur non richiedendo lalegge, quale elemento del reato, che il certificatore rive-sta necessariamente una qualifica pubblicistica.

Sul piano dell’interpretazione sistematica bisognadel resto considerare anche il menzionato delitto propriodella “frode” del certificatore, di cui al nuovo art. 640-quinquies c.p., che appresso si esaminerà, e che implicita-mente esclude, alla stregua del principio di specialità(art. 15 c.p.), l’applicabilità del delitto di cui all’art. 323

c.p. (abuso d’ufficio che procuri un ingiusto vantaggiopatrimoniale o cagioni un danno ingiusto), peraltro pu-nito in modo solo lievemente più grave della predetta“frode”. c) Il nuovo delitto di frode informatica del certificatore (art. 640-quinquies c.p.)

Già si è visto come l’art. 5, ultimo comma, l.48/2008 configuri un nuovo reato proprio del “fornitoredei servizi di certificazione di firma elettronica” nel casoin cui violi “gli obblighi previsti della legge per il rilascio di uncertificato qualificato”, “al fine di procurare a sé o ad altriun ingiusto profitto ovvero di arrecare ad altri un dan-no”.

La sanzione, della reclusione fino a tre anni e dellamulta da 51 a 1032 euro, è identica a quella della comu-ne truffa patrimoniale, dopo la quale è collocata, e sololeggermente meno grave di quella dell’abuso d’ufficio,con cui il delitto potrebbe apparentemente concorrere.

Sicuramente non può dirsi che il legislatore abbiarealizzato il dichiarato intento di introdurre una nuovafigura di truffa, fondato dalla Relazione d’accompagna-mento al d.d.l. n. 2807 sul solo rilievo che non sarebbestata sufficiente la fattispecie di frode informatica di cuiall’art. 640-bis c.p., in quanto nel caso dell’attività di cer-tificazione potrebbero non ricorrere le condotte di “alte-razione del funzionamento di un sistema” o di “interven-to senza diritto su dati, informazioni o programmi” (24).

Non solo un rilievo meramente ‘negativo’ non giu-stifica la creazione, denominazione e collocazione delnuovo delitto quale ipotesi qualificata di truffa, di cuinon è comprensibile il fondamento; ma l’intento di-chiarato è anche palesemente smentito dal fatto che lastessa fattispecie legale è priva di qualsiasi requisito di“fraudolenza”, che dovrebbe invece caratterizzare lecondotte di truffa, consistendo piuttosto nella mera vio-lazione degli obblighi extrapenali, stabiliti in particolaredall’art. 32, commi 2 ss., Codice dell’amministrazionedigitale (25).



Note:

(23) Per una simile conclusione problematica, al termine di una recenteanalisi del sistema, cfr. G. Navone, La firma digitale, cit., 119.

(24) Relazione al d.d.l. 2807, cit., 5.

(25) Estremamente ampio è il ventaglio degli obblighi gravanti sui certi-ficatori, che oltre ad essere tenuti “ad adottare tutte le misure organizzati-ve e tecniche idonee ad evitare danno a terzi” (incorrendo altrimenti nel-la responsabilità civile aggravata ex art. 30 dello stesso Codice), quandorilasciano “certificati qualificati” devono altresì: provvedere con certezzaalla identificazione della persona che fa richiesta della certificazione; rila-sciare e rendere pubblico il certificato elettronico nei modi o nei casi sta-biliti dalle regole tecniche di cui all’art. 71, nel rispetto del d.lgs. 30 giu-gno 2003, n. 196, e successive modificazioni; specificare, nel certificatoqualificato su richiesta dell’istante, e con il consenso del terzo interessa-to, i poteri di rappresentanza o altri titoli relativi all’attività professionaleo a cariche rivestite, previa verifica della documentazione presentata dalrichiedente che attesta la sussistenza degli stessi; attenersi alle regole tec-niche di cui all’art. 71; informare i richiedenti in modo compiuto e chia-ro, sulla procedura di certificazione e sui necessari requisiti tecnici per ac-

(segue)

Se da un lato non è richiesto alcun requisito di arti-ficiosità o di simulazione di una falsa apparenza, dall’al-tro non è neppure richiesto un qualsivoglia evento con-sumativo di lesione patrimoniale, come è invece quelloduplice di “ingiusto profitto con altrui danno”, previstodal comune art. 640 c.p. e riprodotto anche nelle figurequalificate di cui all’art. 640-bis (truffa aggravata per ilconseguimento di erogazioni pubbliche), che al medesi-mo fatto tipico rimanda, nonché all’640-ter (frode infor-matica), che richiede gli identici eventi consumativi.

La fattispecie di nuovo conio è invece formulatacon la diversa tecnica del dolo specifico, ed il fine di“procurare a sé o ad altri un ingiusto profitto” è previsto intermini addirittura alternativi rispetto a quello di “arreca-re ad altri di danno”, in nessun caso connotato in termi-ni ‘patrimoniali’.

La mera ‘strumentalità’ della violazione di uno degliobblighi extrapenali sopra menzionati al perseguimentodi un generico interesse di parte (profitto proprio o diterzi ovvero danno di altri) è dunque sufficiente allaconsumazione del fatto tipico, con forte anticipazionedella sua soglia di punibilità (26).

Si deve concludere, che al di là della sua formale de-nominazione e collocazione, e dei dichiarati intenti legi-slativi, la fattispecie incriminatrice in esame è assai lon-tana dal paradigma di un delitto patrimoniale ed assai vi-cina, invece, nella sua struttura, ad un’incriminazionemeramente “sanzionatoria” della violazione di obblighiextrapenali, gravanti in specie su soggetti qualificati, se-condo il paradigma dell’abuso d’ufficio, di cui all’art. 323c.p. sopra menzionato, che è sì punito con una pena dipoco superiore - solo nel minimo edittale di sei mesi direclusione, assente nel delitto in esame, che però richie-de una multa congiunta alla pena detentiva, non previ-sta nel delitto contro la pubblica amministrazione - marichiede altresì l’oggettivo verificarsi dell’evento consu-mativo di “ingiusto vantaggio patrimoniale” o di “dannoingiusto”.

In altri termini, pur mancando una formale qualifi-ca pubblicistica del certificatore, la realizzazione del de-scritto “fatto” è assai simile a quella del delitto proprio delpubblico ufficiale, rispetto a cui anzi “anticipa” la sogliadi punibilità: fermi, dunque, i dubbi sull’effettiva natura,ai fini penali, dei servizi di certificazione delle firme elet-troniche e delle differenti attività in cui si articolano,emerge la scarsa attenzione del nostro legislatore al con-testo sistematico nel quale interviene, moltiplicando fat-tispecie incriminatrici senza adeguata precisione né pie-na consapevolezza tecnico-giuridica.

3. Le novelle in materia di delitti contro la sicurezza e l’integrità di dati e sistemi

La maggior parte delle nuove fattispecie di dirittopenale sostanziale riguarda la materia dei danneggia-menti informatici, bipartiti - in conformità con le sceltedel legislatore sopranazionale - fra danneggiamenti di da-ti (art. 4 Convenzione Cybercrime, cui corrisponde so-

stanzialmente l’art. 4 Decisione quadro 222/2005/GAI)e danneggiamenti di sistemi (art. 5 Convenzione Cyber-crime, cui corrisponde sostanzialmente l’art. 3 Decisionequadro 222/2005/GAI). Entrambi, poi, per scelta auto-noma del legislatore nazionale, sono distinti anche fradanneggiamenti su dati e sistemi privati e su dati e siste-mi di pubblica utilità. Questa astratta “esigenza di simme-tria”, esplicitamente perseguita dai redattori della legge(27), ha fatto sì che il codice penale italiano conosca oraben quattro “nuovi” delitti di danneggiamento informa-tico, che si aggiungono al danneggiamento comune di“cose”, assorbendo solo in parte le ipotesi prima delinea-



Note:

(continua nota 25)

cedervi e sulle caratteristiche e sulle limitazioni d’uso delle firme emessesulla base del servizio di certificazione; non rendersi depositari di dati perla creazione della firma del titolare; procedere alla tempestiva pubblica-zione della revoca e della sospensione del certificato elettronico in caso dirichiesta da parte del titolare o del terzo dal quale derivino i poteri del ti-tolare medesimo, di perdita del possesso o della compromissione del di-spositivo di firma, di provvedimento dell’autorità, di acquisizione dellaconoscenza di cause limitative della capacità del titolare, di sospetti abu-si o falsificazioni, secondo quanto previsto dalle regole tecniche di cui al-l’art. 71; garantire un servizio di revoca e sospensione dei certificati elet-tronici sicuro e tempestivo nonché garantire il funzionamento efficiente,puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e re-vocati; assicurare la precisa determinazione della data e dell’ora di rila-scio, di revoca e di sospensione dei certificati elettronici; tenere registra-zione, anche elettronica, di tutte le informazioni relative al certificatoqualificato dal momento della sua emissione almeno per venti anni an-che al fine di fornire prova della certificazione in eventuali procedimentigiudiziari; non copiare, né conservare, le chiavi private di firma del sog-getto cui il certificatore ha fornito il servizio di certificazione; predisporresu mezzi di comunicazione durevoli tutte le informazioni utili ai soggettiche richiedono il servizio di certificazione, tra cui in particolare gli esattitermini e condizioni relative all’uso del certificato, compresa ogni limita-zione dell’uso, l’esistenza di un sistema di accreditamento facoltativo e leprocedure di reclamo e di risoluzione delle controversie; dette informa-zioni, che possono essere trasmesse elettronicamente, devono essere scrit-te in linguaggio chiaro ed essere fornite prima dell’accordo tra il richie-dente il servizio ed il certificatore; utilizzare sistemi affidabili per la ge-stione del registro dei certificati con modalità tali da garantire che sol-tanto le persone autorizzate possano effettuare inserimenti e modifiche,che l’autenticità delle informazioni sia verificabile, che i certificati sianoaccessibili alla consultazione del pubblico soltanto nei casi consentiti daltitolare del certificato e che l’operatore possa rendersi conto di qualsiasievento che comprometta i requisiti di sicurezza. Su richiesta, elementipertinenti delle informazioni possono essere resi accessibili a terzi che fac-ciano affidamento sul certificato. I certificatori sono inoltre responsabilidell’identificazione del soggetto che richiede il certificato qualificato difirma anche se tale attività è delegata a terzi e devono raccogliere i datipersonali solo direttamente dalla persona cui si riferiscono o previo suoesplicito consenso, e soltanto nella misura necessaria al rilascio e al man-tenimento del certificato, fornendo l’informativa prevista dall’art. 13 deld.lgs. 30 giugno 2003, n. 196. I dati infine non possono essere raccolti oelaborati per fini diversi senza l’espresso consenso della persona cui si ri-feriscono.

(26) Sulle caratteristiche strutturali delle fattispecie a dolo specifico, chedeterminano una peculiare tipizzazione dello stesso fatto oggettivo costi-tutivo del reato, incidente sul momento consumativo e sulle caratteristi-che dell’offesa al bene giuridico, e solo di riflesso sull’oggetto e l’intensitàdell’elemento soggettivo, sia consentito rinviare a L. Picotti, Il dolo speci-fico. Un’indagine sugli ‘elementi finalisitici’ delle fattispecie penali, Milano1993.

(27) Cfr. Relazione al d.d.l. 2807, cit., 5.

te dai commi 2 e 3 dell’art. 420 c.p., contestualmenteabrogati.

Prima di esaminare questo insieme di reati, occorreperò considerare la riformulazione della fattispecie pro-dromica alla tutela della sicurezza ed integrità dei dati edei sistemi informatici, rappresentata dal delitto di cuiall’art. 615-quinquies c.p., che completa questo vero eproprio “microsistema” posto a tutela di tale nuovo benegiuridico (28), benché le relative fattispecie siano distri-buite fra i delitti contro il patrimonio, per quanto con-cerne le quattro di danneggiamento, e contro l’inviola-bilità del domicilio, per quanto concerne quest’ultima. a) La riformulazione del delitto di diffusione di dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quin-quies c.p.)

L’art. 615-quinquies c.p. ha rappresentato una dellepiù innovative fattispecie create dal legislatore del 1993,in quanto - per contrastare i nuovi fenomeni dei pro-grammi virus o maligni, che si affacciavano all’inizio de-gli anni ‘90 - la sua formulazione è stata del tutto indi-pendente dai modelli di reato vigenti, a differenza diquanto è avvenuto per la maggior parte delle altre nor-me redatte invece seguendo molto strettamente criteridi analogia con quelle più simili già esistenti (si pensi al-l’artt. 635-bis sul danneggiamento informatico, rispettoall’art. 635 c.p. sul danneggiamento comune di cose; odall’art. 640-ter sulla frode informatica, rispetto all’art.640 c.p. sulla truffa comune), se non meramente esten-sive di formule definitorie (come nel caso della “corri-spondenza” estesa a quella “informatica e telematica”dall’ultimo comma dell’art. 616 c.p.) ovvero creative dinuove nozioni, che consentissero l’applicazione più este-sa di norme comunque esistenti (come nell’esaminatocaso delle falsità informatiche, ex art. 491-bis c.p.) (29).

La previsione di uno specifico intervento penale,che anticipasse la soglia di punibilità rispetto all’effettivo“danneggiamento” di dati o di sistemi, era andata oltre lestesse Raccomandazioni del Consiglio d’Europa del1989, prendendo spunto dall’esperienza legislativa olan-dese e di alcuni degli Stati americani in materia (30).

Accanto a tali meriti, la fattispecie presentava peròanche gravi carenze, innanzitutto di collocazione siste-matica nell’ambito dei delitti contro l’inviolabilità deldomicilio (Sezione IV del Capo III del Titolo XII - dedi-cato ai delitti contro la persona - della parte speciale delcodice), tuttora mantenuta pur trattandosi di delittoprodromico al “danneggiamento”, come emerge dal te-sto stesso della norma, e non all’accesso abusivo di cui alnuovo art. 615-ter c.p., cui è invece dedicato il coevo edimmediatamente precedente art. 615-quater, che puni-sce la detenzione e diffusione abusiva di codici di accesso(corsivo agg.) (31).

Inoltre, e soprattutto, era criticabile la formulazionealquanto complessa e, nel contempo, insufficiente a de-limitare con precisione i contenuti d’illiceità penale delfatto.

Sotto il profilo della condotta mancava l’incrimina-zione di chi “si procura” o “riproduce”, invece previstanel citato art. 615-quater c.p., forse per non anticipareeccessivamente la soglia della punibilità, ma in palesecontraddizione con l’esigenza stessa di creare un reatoostacolo o di mero pericolo, che per essere efficace si sa-rebbe dovuto riferire ad uno stadio preventivo rispetto al-la “diffusione” o comunque “circolazione” di siffatti pro-grammi, non bastando - proprio per le loro caratteristi-che replicanti e di autoesecuzione, una volta installatinel sistema o nel programma bersaglio - l’anticipazionedella punibilità rispetto al solo evento finale di “danneg-giamento” effettivo di sistemi o di dati: essa avrebbe an-zi potuto considerarsi in questi termini superflua, stantela già autonoma punibilità del tentativo di danneggia-mento informatico, ex artt. 56 e 635-bis c.p., salvo quan-to di seguito si osserverà.

Sotto il profilo della definizione dell’oggetto dellacondotta, descritto con riguardo allo “scopo od effetto”del programma maligno, vi era un’apprezzabile estensio-ne al profilo funzionale della mera “alterazione del fun-zionamento”, ulteriore rispetto al vero e proprio danneg-giamento, cui si limitava la formulazione dell’art. 635-bisc.p (32).

Ma nel contempo si apriva un ampio margine diambiguità circa i precisi limiti fra lecito ed illecito pena-le, considerando l’esigenza (e la prassi) di creare speri-mentalmente e soprattutto utilizzare programmi di con-trasto ai programmi-virus ovvero per aggredire sistemi dacui partano attacchi informatici, con condotte che po-trebbero astrattamente ricadere nell’ambito applicativodella fattispecie incriminatrice, pur non dovendolo (33),data la mancanza di un fine tipizzato come illecito, capa-



Note:

(28) Per l’enucleazione del bene giuridico dell’“integrità e sicurezza infor-matica” quale nuovo interesse meritevole di tutela penale, nato dall’ap-plicazione e diffusione delle nuove tecnologie nei rapporti economici esociali, cfr. L. Picotti, Sistematica, cit., 70 s.

(29) Per tali suddistinzioni si veda già L. Picotti, voce Reati informatici,cit., 3-6; e più approfonditamente Id., Sistematica, cit., 47 s.

(30) Si tratta dell’art. 350 a c.p. dei Paesi Bassi, introdotto dalla l. 23 di-cembre 1992, che punisce il fatto anche a titolo di colpa. Per riferimenticomparatistici, anche alla legislazione svizzera e statunitense, si veda C.Pecorella, Il diritto penale, cit., 238 s.

(31) La critica è condivisa in dottrina: cfr. F. Mantovani, Diritto penale.Parte sp., vol. I, Delitti contro la persona, 2^ ed., Padova 2005, 506; G. Pi-ca, Diritto penale, cit., 109; C. Pecorella, Il diritto penale, cit., 235.

(32) Sugli incerti rapporti tra veri e propri danneggiamenti ed aggressio-ni invece al mero funzionamento, nonché fra manipolazioni ed alterazio-ni di dati e sistemi informatici, rispetto alla distinzione tradizionale fraviolenza e frode, si rinvia a L. Picotti, Sistematica, cit., 71-74; più in gene-rale sulla “caotizzante difformità di linguaggio” del legislatore del 1993,emergente in specie dal raffronto fra artt. 392, comma 3, 420, comma 2,615-ter, comma 3, 635-bis c.p., si vedano le taglienti critiche di F. Manto-vani, Diritto penale. Parte sp., vol. I, cit., 506 e passim.

(33) Conclusione pacifica in dottrina. Per rilievi critici nella direzioneindicata cfr. già C. Sarzana, Comunità virtuale e diritto: il problema dei Bul-letin Board System, in questa Rivista, 1995, 375 s.; P. Galdieri, Teoria e pra-tica nell’interpretazione del reato informatico, Milano 1997, 162.

ce di selezionare i fatti di reato da quelli non punibili:tanto che parte della dottrina aveva richiesto la trasfor-mazione della fattispecie in delitto a dolo specifico (34),pur se sarebbe stato meglio valorizzare il requisito di an-tigiuridicità speciale espresso dall’avverbio “illecitamen-te”, riferito in modo anomalo allo “scopo” od “effetto” didanneggiamento dei programmi stessi, anziché alle con-dotte (come è per l’avverbio “abusivamente” previstodal citato art. 615-quater c.p.).

Il legislatore del 2008 non è riuscito a dare un’ade-guata risposta a tali questioni.

Nel modificare la norma, con il presunto intento direnderla “perfettamente” adeguata alle previsioni dellaConvenzione, l’ha senz’altro estesa sotto il profilo ogget-tivo ed ha, nel contempo, riformulato anche l’elementosoggettivo richiesto “nei termini del dolo specifico”(35): ma nonostante il frettoloso emendamento inseritonel corso dei lavori preparatori (36), con cui si è cercatodi porre un tampone alla ancor più grave indetermina-tezza della formulazione del disegno di legge originario,non è stata affatto raggiunta una formulazione tecnica-mente e contenutisticamente adeguata, che oltre ad of-frire rimedio alle difficoltà interpretative sollevate dallanorma del 1993 desse altresì corretta attuazione alle pre-visioni della Convenzione Cybercrime.

L’art. 6 di quest’ultima, sotto la rubrica “abuso di di-spositivi”, comprende in effetti un’ampia gamma di con-dotte, che vanno dalla “produzione” alla “vendita”, al“procurarsi per utilizzare”, fino all’“importazione”, “di-stribuzione” ed “ogni altra forma di messa a disposizione”(par. 1.a) (37), aventi per oggetto (punto i) “un disposi-tivo, ivi compreso un programma informatico, principal-mente concepito o adattato per permettere la commissio-ne di uno dei reati informatici” previsti dagli artt. 2-5della stessa Convenzione (corsivo agg.).

Al successivo punto ii) la Convenzione indica in-vece oggetti che meglio sono riconducibili all’ambito diprevisione del nostro art. 615-quater c.p., in quanto fina-lizzati al solo accesso abusivo: vale a dire: “una parolachiave o un codice d’accesso, o dati simili che permetto-no l’accesso ad un sistema informatico o ad una sua par-te”.

In entrambi i casi è prevista, oltre al dolo, la neces-sità di una specifica “intenzione che siano utilizzati” (an-che da altri) per commettere uno dei predetti reati. Ed inaggiunta, nel par. 2, è ribadito espressamente che - in as-senza del menzionato fine delittuoso - non devono essereincriminate le condotte sopra enunciate, “come nel casodi test autorizzato o di protezione di un sistema informa-tico”.

La nuova formulazione dell’art. 615-quinquies c.p.,che in forza dell’art. 4 l. 48/2008 ne ha “sostituito” la ru-brica ed il testo (38), non si è affatto allineata compiuta-mente a queste direttive.

Sul piano degli elementi oggettivi, vi è stata la con-divisibile estensione delle condotte punibili (39), me-diante l’aggiunta delle nuove locuzioni “si procura, pro-

duce, riproduce, importa” prima di quelle originaria-mente previste di chi “diffonde, comunica, [o] conse-gna”, ed il completamento con quella finale di chiusura“o, comunque, mette a disposizione di altri”, in pienaconformità con il disposto del citato art. 6 ConvenzioneCybercrime.

Ma quanto all’oggetto di tali condotte, pur essendostati aggiunti, sia alla rubrica che al testo della fattispecie- prima del termine originariamente unico: “programmi”- i sostantivi “apparecchiature” e “dispositivi” (40) (oltreall’aggettivo “informatici”) è stata lasciata solo nella ru-brica la loro qualificazione di dannosità, con l’originariaformula che siano “diretti a danneggiare o interrompereun sistema informatico o telematico” (corsivo agg.).

Questo essenziale requisito di tipicità dell’oggettodella condotta è invece scomparso nel testo della nuovanorma, essendo stato trasformato in mero oggetto delc.d. dolo specifico dell’agente tutto il contenuto dellacomplessa proposizione, che prima serviva alla qualifica-zione di dannosità o pericolosità oggettive dei “program-mi” - come loro “scopo” od “effetto”: è ora il fine o scopodell’agente, che deve essere “di danneggiare illecitamenteun sistema informatico o telematico, le informazioni, idati o i programmi in esso contenuti o ad esso pertinen-ti ovvero di favorire l’interruzione, totale o parziale, ol’alterazione del suo funzionamento” (corsivi agg.).

Trasformato nel contenuto della finalità “soggetti-va” dell’agente, la tipizzazione degli elementi oggettivi di



Note:

(34) Fautore di tale soluzione G. Pica, Diritto penale, cit., 103 s.

(35) Relazione al d.d.l., cit., p. 6.

(36) Cfr. supra nota 4.

(37) Alla lett. b) del par. 1 è prevista altresì l’incriminazione del mero“possesso” di tali programmi o dati, nell’intenzione di farne uso per com-mettere i reati informatici previsti dagli artt. 2-5 Convenzione, ma vi è lapossibilità che il diritto interno richieda in tal caso che la detenzione ri-guardi un certo numero di siffatti elementi. Più in generale è consentitodal par. 3 di formulare riserva di non applicare tutte le incriminazioni dicui al par. 1 (lett. a e b), purché siano comunque punite le condotte “ven-dita”, “distribuzione” ed “ogni altra forma di messa a disposizione” dei di-spositivi di cui alla lettera a), punto ii.

(38) Identica è rimasta la pena della reclusione fino a due anni e, con-giuntamente, della multa sino a euro 10.329.

(39) Sulla distinzione fra le condotte di “diffusione” (da intendere quale“messa a disposizione” di una pluralità di destinatari “indeterminati”) e di“comunicazione” (da intendere invece quale “messa a disposizione” di unsingolo od anche più destinatari, però “determinati”), che si può desume-re dalle precise definizioni offerte dalla legislazione in materia di prote-zione dei dati personali, di cui alla legge 31 dicembre 1996, n. 675, oggisostituita dal c.d. codice della privacy, approvato con d.lgs. 30 giugno2003, n. 196, in specie art. 4, comma 1, lett. m) ed l), si veda già L. Pi-cotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inf., 1999,283 s., in specie 299-301, e da ultimo, con riguardo allo specifico delittodi “diffusione” di pornografia minorile Id., Commento all’art. 600-ter, IIIcomma c.p., in A. Cadoppi (cur.), Commentario delle norme contro la vio-lenza sessuale e contro la pedofilia, 4^ ed., Padova 2006, in specie 194 s.

(40) L’incerta terminologia sembra riflettere le già menzionate gravi im-precisioni della traduzione (non ufficiale) in italiano della Convenzione,allegata alla legge di ratifica come già al relativo disegno di legge: cfr. su-pra, nota 1.

descrizione del reato è stata radicalmente impoverita etutto il peso della delimitazione dei comportamenti leci-ti da quelli penalmente illeciti è stato spostato sul pre-detto dolo specifico.

La stessa locuzione “illecitamente” - rimasta nellanorma, ma nei termini di qualificazione dello “scopo” didanneggiare od alterare - ha perso incidenza oggettiva,accentuando anziché colmando la disomogeneità dallafattispecie ‘gemella’ di cui all’art. 615-quater c.p., in cuil’avverbio “abusivamente” è invece elemento di direttaqualificazione della condotta oggettiva, in conformitàcon le previsioni dell’art. 6 Convenzione Cybercrime, so-pra riportato.

La nuova formulazione dell’art. 615-quinquies c.p. èdunque andata nella direzione diametralmente oppostaa quella tracciata dalla Convenzione, che richiederebbedi arricchire la qualificazione oggettiva di antigiuridicitàspeciale del fatto, in conformità con la clausola generale“senza diritto” che compare in questa come in tutte le al-tre previsioni incriminatrici da essa previste (41).

Viceversa l’attuale fattispecie del codice italiano fi-nisce per tipizzare condotte in sé perfettamente lecite,dal punto di vista oggettivo, ed anzi usuali nell’attività diogni operatore commerciale o privato (“procurarsi, pro-durre, riprodurre, importare, diffondere, comunicare,consegnare, mettere a disposizione di altri”), riferite ad“apparecchiature, dispositivi e programmi informatici” aloro volta non connotati in alcun modo come in sé dan-nosi o pericolosi. È solo il fine dell’agente (c.d. dolo spe-cifico) che rende penalmente illecito il fatto.

Una tale tecnica di tipizzazione appare inaccettabi-le, sotto il profilo della buona legislazione prima ancorache sotto quello della legittimità costituzionale, ledendoi principi cardine di certezza, tassatività ed offensivitàdelle fattispecie incriminatrici (42), oltre alle esigenzeparimenti costituzionali di corretta conformazione al di-ritto internazionale.

Come si era già sottolineato commentando l’art. 6Convenzione Cybercrime (43) ed emerge dalle argomen-tazioni espresse nel “Rapporto esplicativo” ufficialmenteannesso al testo della Convenzione (44), la formula daessa adottata (“dispositivo” o “programma informaticoprincipalmente concepito o adattato per permettere la com-missione” ecc.) aveva rappresentato una via di mezzo frale due possibilità estreme di incriminare soltanto dispo-sitivi di per sé esclusivamente illeciti e come tali conce-piti fin dall’origine, ovvero qualsiasi dispositivo o pro-gramma utilizzabile, di fatto, anche per “fini” non leciti.La Convenzione ha consapevolmente voluto evitarequest’ultima prospettiva, che è stata invece seguita dallegislatore italiano, perché si sarebbe corso il rischio diuna penalizzazione eccessiva, che avrebbe potuto esten-dersi ad ogni dispositivo “a doppio uso” (lecito ed illeci-to), come sono per l’appunto quelli per testare la sicurez-za di un sistema o l’affidabilità dei prodotti, o per l’anali-si di una rete.

È perciò rimasto frustrato l’auspicio che il legislato-

re nazionale precisasse meglio dello strumento conven-zionale i requisiti oggettivi di tipicità, stabilendo una so-glia più determinata, sotto il profilo della loro “pericolo-sità”, dei programmi e dispositivi integranti il fatto puni-bile (45), essendosi addirittura operata l’opposta scelta diimperniare sul solo elemento finalistico l’intera illiceitàpenale del fatto. Ma tale scelta non può non creare gran-di incertezze negli operatori, nonché difficoltà nell’ac-certamento della responsabilità penale, in pregiudizio siadelle esigenze della difesa, sia di quelle dell’accusa, di cuiviene aggravato l’onere probatorio, dipendendo la con-danna o meno dell’imputato dall’aleatoria prova del sin-golo ‘elemento finalistico’, formulato a sua volta in ter-mini estremamente ampi e complessi (46).b) I ritocchi al delitto di danneggiamento di dati informatici (art. 635-bis c.p.)

Il più ampio intervento della novella ha riguardatoi danneggiamenti informatici, a partire da alcuni ritoc-chi all’ipotesi base di cui all’art. 635-bis c.p., rispetto allarubrica ed al testo inseriti dalla l. 547/1993 contro la cri-minalità informatica.

L’innovazione maggiore è stata la previsione dellaprocedibilità “a querela della persona offesa”, in sintoniacon il comune regime dell’ipotesi base del danneggia-mento di cose, di cui all’art. 635, comma 1, c.p., essendoevidentemente state ritenute non più sussistenti le ra-gioni che avevano fatto preferire la procedibilità d’uffi-cio da parte del legislatore del 1993: da un lato, la perce-zione in termini di maggior gravità del fatto realizzato sudati e sistemi informatici, perché capaci di contenere etrattare grandi quantità di informazioni, anche di eleva-tissimo valore; dall’altro, l’intento di agevolare la perse-cuzione delle “nuove” tipologie di reato, di cui era (e re-sta) certamente assai elevata la ‘cifra oscura’, nell’inte-resse collettivo di rafforzarne la repressione penale con-trastando la tendenza delle vittime a non ricorrere allagiustizia per la cattiva ‘pubblicità’ derivante alla propria



Note:

(41) Per il loro ruolo, nella prospettiva dello strumento internazionale, siveda il citato Rapport esplicatif, sub n. 38, nonché i nostri rilievi in L. Pi-cotti, Internet e diritto penale, cit., 197.

(42) Sui limiti, anche di rango costituzionale, del ricorso alla tecnica delc.d. dolo specifico, la dottrina italiana si è da lungo tempo impegnata, apartire dal fondamentale contributo di F. Bricola, Teoria generale del reato,in Noviss. Dig. It., vol. XIX, Torino 1973, p. 87 s. In argomento sia con-sentito rinviare ancora a L. Picotti, Il dolo specifico, cit., in particolare 547s., ed ai relativi riferimenti bibliografici, cui adde più di recente G. Mari-nucci, E. Dolcini, Corso di diritto penale, vol. 1, 3 ^ ed., Milano 2001, 572s., con ulteriori richiami.

(43) L. Picotti, Internet e diritto penale, cit., 199 s.

(44) Cfr. Rapport explicatif, in specie sub n. 73-76, leggibile (oltre che infrancese) anche in inglese al sito www.coe.int.

(45) L. Picotti, Internet e diritto penale, cit. 200.

(46) Sui rapporti che devono connotare, anche dal punto di vista tecni-co della formulazione della fattispecie legale, la descrizione della condot-ta o fatto-base e quella del “fine dell’agente”, costitutivo del c.d. dolo spe-cifico, vedi ancora L. Picotti, Il dolo specifico, cit., in particolare p. 505 s.,nonché i riferimenti di cui alla precedente nota 42.

immagine dall’emergere della scarsa affidabilità e sicu-rezza dei sistemi tecnologici adottati.

La pena prevista per l’ipotesi base dell’art. 635-bisc.p. - da sei mesi a tre anni di reclusione - è però rimastaidentica a quella stabilita per le ipotesi aggravate di dan-neggiamento comune di cose, tuttora procedibili d’uffi-cio (art. 635, comma 2, c.p.): per cui si è rotta la sostan-ziale equiparazione fra danneggiamento informatico edanneggiamento aggravato, che sembrava aver guidatoil legislatore del 1993 nella scelta sia del regime sanzio-natorio, che di quello di procedibilità. E l’aporia sistema-tica non sembra spiegabile con la sola espunzione, daglioggetti passivi delle condotte punite dall’art. 635-bis c.p,dei “sistemi informatici e telematici”, che sono ora og-getto di quelle punite dall’art. 635-quater c.p., essendocon la pena edittale che il legislatore esprime il livello digravità del reato.

In ogni caso tale seconda modifica è stata necessa-ria per rendere autonomo e punibile con la più grave pe-na base della reclusione da uno a cinque anni il danneg-giamento di sistemi (art. 635-quater c.p., su cui cfr. infra,sub c), procedibile d’ufficio come tutte le altre nuoveipotesi di danneggiamento, sia di dati che di sistemiinformatici di pubblica utilità, che hanno però una penabase più elevata (da uno a quattro anni di reclusione, exartt. 635-ter e 635-quinquies c.p., su cui cfr. infra, sub d).

La procedibilità a querela può certamente costitui-re un utile filtro per selezionare i fatti ritenuti meritevolidi “criminalizzazione in concreto” alla stregua della vo-lontà punitiva della persona offesa (47), perché - al di làdella gravità della sanzione edittale - la protezione pena-le dell’interesse di cui essa è titolare può essere lasciataalla sua libera disponibilità.

Si pone, però, allora il problema di individuare conprecisione chi sia da considerare “persona offesa”.

Nel caso del delitto in esame essa dovrebbe desu-mersi dal requisito dell’“altruità” dei dati danneggiati.Ma come già segnalato, non è affatto facile stabilirne laportata concreta (48). I “dati”, al pari delle “informazio-ni” e dei “programmi”, per la loro immaterialità non pos-sono giuridicamente essere oggetto di “possesso”, comelo sono le “cose”: e dunque non si può desumere da que-sto requisito quello negativo di “altruità”, come accadenei delitti contro il patrimonio (49), fra cui è collocato ildanneggiamento comune (di cose) di cui all’art. 635 c.p.

La cerchia degli aventi diritto all’integrità dei dati,delle informazioni e dei programmi dovrà piuttosto esse-re determinata alla stregua della pluralità di interessi giuri-dicamente rilevanti, di natura obbligatoria, anziché “rea-le”, che su di essi possono convergere (50). Prendendocome riferimento il diverso ambito della legislazione inmateria di protezione dei dati personali, che ha il pregiodi fornire, con notevole precisione sistematica, la defini-zione di concetti “nuovi”, ragionevolmente applicabiliall’intero ambito del diritto dell’informatica, per un’evi-dente esigenza di unitarietà e coerenza dell’ordinamentogiuridico, se non ostino specifiche ragioni contrarie (51),

dovrà considerarsi innanzitutto la figura dell’“interessato”definito come “la persona cui i dati si riferiscono” (art. 4,comma 1, lett. i), d.lgs. 196/2003, c.d. Codice della pri-vacy), quindi quelle del “titolare” nonché del “responsa-bile” del “trattamento” (come definiti rispettivamentedal citato art. 4, comma 1, lett. f), lett. g) e lett. a) d.lgs.196/2003), ovvero anche del “sistema” come tale, che neè parimenti pregiudicato. Nel caso di danneggiamento di“programmi” possono altresì essere considerate personeoffese il concessionario e forse anche il legittimo utilizza-tore, oltre che il concedente e proprietario; e potrebberoancora esser tale l’operatore del sistema, legittimato agliinterventi che subiscano pregiudizio dal danneggiamentostesso (si pensi a files di backup o di controllo, creati talo-ra in modo molto complesso per determinate operazionidi manutenzione o aggiornamento, ecc.), nonché gli stes-si partners commerciali o di lavoro di un’impresa o di unprofessionista, rispetto a dati ed informazioni non ad essistessi riferibili, ma da essi forniti per determinate finalitàoperative, contrattuali, ecc.

Tale pur veloce disamina evidenzia l’opportunità -trascurata purtroppo dal nostro legislatore - di inserirenella fattispecie, accanto od anzi in luogo del poco chia-ro requisito dell’“altruità”, una clausola di antigiuridicitàspeciale, quale quella prevista, con l’identica locuzione:“senza diritto” (52), sia dalla Convenzione Cybercrimeche dalla Decisione quadro, nei rispettivi artt. 4.



Note:

(47) Cfr. in generale sulle funzioni dell’istituto, anche da un punto di vi-sta di politica criminale, F. Giunta, Interessi privati e deflazione nell’uso del-la querela, Padova 1993.

(48) L.Picotti, voce Reati informatici, cit., 19

(49) Va sottolineato che se nel delitto di peculato (art. 314 c.p.), che es-senzialmente offende il patrimonio della pubblica amministrazione (V.Scordamaglia, voce Peculato, in Enc. Dir., vol. XXXII, Milano 1982, 554s., in specie 559), la riforma portata con la l. 26 aprile 1990, n. 86 ha ag-giunto al presupposto del “possesso” quello della più generica “disponibi-lità”, risulta confermata l’accezione più ristretta in cui va inteso il primotermine, vista la volontà di allargare, in questo caso, la prospettiva di tu-tela al più ampio profilo dell’attività funzionale dei soggetti pubblici, ga-rantendo la repressione dei loro abusi, a salvaguardia del buon andamen-to e dell’imparzialità della pubblica amministrazione (cfr. per tutti S. Se-minara, in A. Crespi, G. Forti, G. Zuccalà (cur.), Commentario breve al co-dice penale, 5^ ed., Padova 2008, sub art. 314, 751 s.).

(50) Per la conclusione che soggetto passivo del delitto di danneggia-mento di cui all’art. 635 c.p. sia “il titolare di un diritto di godimento sul-la cosa” cfr. comunque già F. Bricola, voce Danneggiamento (dir.pen. ), inEnc. Dir., vol.XI, Milano 1962, p. 599 s., in specie p. 604.

(51) Per l’esigenza di creare ed utilizzare categorie concettuali ‘comuni’nel diritto (penale) dell’informatica, valide in una prospettiva sistemati-ca più ampia delle singole discipline di settore, cfr. L. Picotti, I delitti disfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giu-ridici, in Scritti per Federico Stella, a cura di M. Bertolino, G. Forti, vol. II,Napoli 2007, 1267 s., in specie 1304 s.

(52) L’art. 1, lett. d) Decisione quadro 2005/222/GAI definisce esplicita-mente questo requisito come “l’accesso o l’interferenza non autorizzati daparte di chi ha il diritto di proprietà o altro diritto sul sistema o una suaparte, ovvero non consentiti ai sensi della legislazione nazionale”. LaConvenzione Cybercrime non contiene invece alcuna definizione al ri-

(segue)

Nello stesso senso si era del resto già orientato illegislatore tedesco, quando nel 1986 introdusse nel co-dice penale, con la Seconda legge contro la criminalitàeconomica (2.WiKG), il delitto di “alterazione di datiinformatici” (§ 303 a StGB), rinunciando all’aggettivo“altrui” (“fremde”), che qualifica invece le “cose” og-getto del danneggiamento comune (§ 303 StGB), perimperniare sull’avverbio “rechtswidrig” (“antigiuridica-mente” o “contro diritto”) la necessaria distinzione fracondotte penalmente lecite ovvero illecite sui dati(53), rinviando alle regole extrapenali, anche di fontecontrattuale o consuetudinaria, che disciplinando la“disponibilità” dei nuovi beni da proteggere fornisconoaltresì i criteri per dirimere gli inevitabili conflitti di in-teressi.

I rapporti di possibile interferenza con le nuove fat-tispecie di danneggiamento “di sistemi” nonché di dati“di pubblica utilità” spiegano invece l’opportuna clauso-la di riserva (“salvo che il fatto non costituisca più gravereato”), aggiunta in apertura del primo comma: clausolaperaltro applicabile anche con riferimento ad eventualialtri delitti, come ad es. quelli di falsità “per soppressio-ne” (ex artt. 476, 485 e 490, in relazione all’esaminatoart. 491-bis c.p.) ovvero contro la privacy (ex art. 167,comma 2, d.lgs.196/2003).

Quanto alla definizione del fatto tipico, va osserva-to che sono state inserite nel primo comma dell’art. 635-bis c.p., accanto alle già esistenti e tradizionali ipotesi di“distruzione” e “deterioramento”, anche quelle di “can-cellazione”, “alterazione” e “soppressione”, esplicita-mente menzionate dall’art. 4 sia della Convenzione Cy-bercrime che della Decisione quadro 2005/222/GAI, edel resto specificamente riferibili al peculiare oggettopassivo costituito da “informazioni, dati o programmiinformatici”. Non si vede però perché non sia altresì sta-ta aggiunta alla locuzione “deteriora” - tradizionalmenteriferita alle “cose” materiali - quella più ampia e forse piùadeguata: “danneggia”, che compare in entrambi glistrumenti richiamati, e che del resto è poi stata utilizzatadallo stesso legislatore italiano nel successivo art. 635-quater c.p. (in cui non è stato usato invece il verbo “de-teriora”: infra, sub c). Dunque non si può condividere lasoppressione dell’ipotesi di chiusura prima espressa - insintonia con la formula dell’art. 635 c.p. - dalla locuzio-ne “rende, in tutto o in parte, inservibili” tali beni, che illegislatore del 2008 ha riservato alle sole fattispecie didanneggiamento di sistemi (art. 635-quater e 635-quin-quies c.p.: infra sub c e d).

In realtà anche i “dati” ed a maggior ragione le“informazioni” ed i “programmi” sono suscettibili di es-ser “resi inservibili” e dunque giuridicamente “danneg-giati”, con interventi di alterazione o manipolazione ri-guardanti il solo software, che non intaccano l’integritàdei supporti o dell’hardware (54). Tanto che l’art. 4 De-cisione quadro prevede espressamente l’ipotesi - se sivuole meno grave - del “rendere inaccessibili” i dati, nonrecepita invece dalla novella.

Se il legislatore italiano avesse voluto circoscriverel’ambito del penalmente rilevante, per la possibile te-nuità od irrilevanza di singole ipotesi marginali di dan-neggiamento di dati, anziché ridurre l’ambito delle tipo-logie di condotte da incriminare avrebbe dovuto piutto-sto avvalersi della facoltà, prevista da entrambi gli stru-menti menzionati, di considerare penalmente rilevantisoltanto i “casi gravi” (art. 4 Decisone quadro cit.) o che“determinano danni seri” (art. 4, par. 2, ConvenzioneCybercrime).

Opportuna appare invece la modifica del secondocomma dell’art. 635-bis c.p., rispondente alla necessità diporre rimedio - con l’occasione della ratifica della Con-venzione Cybercrime - alla svista del legislatore del 1993,che aveva indiscriminatamente richiamato, come circo-stanze aggravanti speciali comportanti la pena della re-clusione da uno a quattro anni, tutte quelle di cui al se-condo comma dell’art. 635, oltre a quella nuova e speci-fica dell’essere il fatto “commesso con abuso della qualitàdi operatore del sistema”. Ferma quest’ultima ipotesi, èrimasto ora solo il richiamo al numero 1) di quelle di cuial capoverso dell’art. 635, riguardante la commissionedel fatto “con violenza alla persona o minaccia”, mentresono state escluse tutte le altre ipotesi, relative a situa-zioni di conflitti di lavoro (n. 2), punibili nella prospet-tiva dell’ordinamento corporativo da cui muoveva il co-dice Rocco del 1930, ma ormai di marginale rilevanzapenale alla stregua del diritto di sciopero costituzional-mente garantito, o addirittura logicamente incompatibi-li rispetto ai danneggiamenti informatici (nn. 3-5: suedifici pubblici, su opere destinate all’irrigazione, su vitied altri alberi).c) Il nuovo delitto di danneggiamento di sistemi informatici (art. 635-quater c.p.)

Come si è visto nel commento al riformulato art.635-bis c.p., per adeguarsi alle previsioni della Conven-zione Cybercrime (art. 5), pressoché coincidenti sul pun-to con quelle della Decisione quadro 2005/222/GAI(art. 3), il legislatore italiano ha escluso dall’originariafattispecie la menzione dei “sistemi informatici e telema-tici”, per creare un autonomo e più grave delitto, che pu-



Note:

(continua nota 52)

guardo, ma nel Rapport esplicatif, cit., n. 38, si precisa che la locuzione ri-manda alla violazione di regole giuridiche extrapenali ovvero di condi-zioni desumibili dal contesto in cui opera l’agente, relative non solo allapresenza delle cause di giustificazione classiche (quali il consenso dell’a-vente diritto, la legittima difesa, lo stato di necessità), ma anche alla com-petenza del soggetto ad agire, o ad altri principi stabiliti dal diritto inter-no, che consentono un opportuno raccordo con le previsioni della fonteinternazionale.

(53) Sul punto sia consentito rinviare, anche per i necessari richiami bi-bliografici sul ricco dibattito che al riguardo si svolse nella dottrina tede-sca, alla più estesa indagine svolta in L. Picotti, Studi, cit., 67-73.

(54) Con riferimento ad un caso giurisprudenziale che aveva suscitato unprimo dibattito dottrinale in materia, cfr. L. Picotti, La rilevanza penale de-gli atti di “sabotaggio” ad impianti di elaborazione dati (nota a Trib. Firenze,27 gennaio 1986), Pasqui, in Dir. inf., 1986, 969 s.

nisce ora il loro danneggiamento con la reclusione dauno a cinque anni (art. 635-quater, comma 1, c.p.).

Nel comma 2 di detta nuova norma è stata poi pre-vista una circostanza aggravante, identica nella formula-zione a quella di cui all’esaminato comma 2 dell’art. 635-bis, ma punita con un aumento di pena non specificato,e quindi pari ad un terzo, in forza della regola generale dicui all’art. 64 c.p.: con la conseguenza che essa non co-stituisce - a differenza di quella - “circostanza speciale” aisensi dell’art. 63, comma 3, secondo periodo c.p. (55).

Senza soffermarsi oltre su siffatta singolarità, che fasolo sospettare che il legislatore non consideri od armo-nizzi le conseguenze sistematiche dei propri interventi,preme invece rilevare che la fattispecie in esame si di-stingue dall’altra non solo per il diverso oggetto materia-le (“sistemi informatici o telematici altrui”, anziché “da-ti, informazioni e programmi informatici altrui”), ma an-che per la ben più ampia ed articolata descrizione del fat-to tipico.

Sul piano di quelle che la norma definisce come“condotte” punibili, il nuovo reato è infatti realizzabilesia “mediante” quelle descritte dall’art. 635-bis c.p., dicui già si è detto, sia “attraverso l’introduzione o la tra-smissione di dati, informazioni o programmi”: aggiuntache risponde all’esigenza di punire le due ulteriori ipote-si (di “immissione” e “trasmissione” di dati) previste dal-l’art. 5 Convenzione Cybercrime - oltre che dall’art. 3Decisione quadro cit. - per colpire specificamente i dan-neggiamenti realizzabili anche a distanza, mediante pro-grammi virus od altri dati “maligni” introdotti o fatti cir-colare in rete.

Le predette “condotte” sono perciò distinte norma-tivamente, dal legislatore del 2008, da quelli che vengo-no evidentemente considerati “eventi” consumativi, de-scritti tuttavia (in parte) con le medesime locuzioni ver-bali “distrugge, danneggia, rende, in tutto o in parte, in-servibili”, già costituenti il fatto tipico del delitto di cuiall’art. 635-bis c.p.

Come da tempo evidenziato in dottrina a propositodel “tradizionale” art. 635 c.p., il verificarsi del dannoconsumativo del reato è in realtà da considerarsi in re ipsanell’attuazione del mezzo “violento” (56). Per cui l’effet-to “ulteriore” sul sistema informatico potrebbe non di-stinguersi dalla condotta, specie se si considera chel’“impedimento o turbamento del funzionamento di unsistema informatico o telematico” costituisce già il piùesteso concetto di “violenza” di cui al nuovo comma 3dell’art. 392 c.p., introdotto dalla l. 547/1993.

Manca invece qui la menzione del termine “dete-riora”, e vi è la contemporanea aggiunta di quello più ge-nerico “danneggia”, in modo specularmente opposto aquanto operato nella riformulazione dell’art. 635-bis c.p.(cfr. supra sub b), benché entrambi i verbi siano congiun-tamente previsti dagli strumenti sopranazionali.

Di maggior rilievo è l’aggiunta dell’ulteriore e nuo-va ipotesi alternativa, realizzabile quando si “ostacolagravemente il funzionamento” del sistema: risultato che

può essere l’effetto di una qualsiasi delle descritte con-dotte, comprese quelle più neutrali della mera “immis-sione” e “trasmissione” di dati.

La nuova previsione ricomprende logicamente an-che l’ipotesi più grave dell’“interruzione”, non menzio-nata esplicitamente dal legislatore italiano, ma previstadagli strumenti sopranazionali citati: per cui l’allinea-mento alle già richiamate fonti appare nella sostanza, senon nella lettera, compiuto, perché è superata la lacunasostanziale, già da tempo rilevata, della mancata puni-zione dell’alterazione solo “funzionale” di un sistema(57).Questa in effetti riguarda casi assai frequenti in re-te, quali gli attacchi a siti o portali, di durata più o menoprolungata, che normalmente non lasciano traccia oconseguenze irreparabili, ma bloccano, interrompono orendono irregolare il funzionamento dei sistemi nonchédei trattamenti e servizi cui sono destinati.

In ogni caso, anche riconoscendo che il delitto inesame si configuri quale ipotesi di danneggiamento infor-matico qualificato da tali specifici od ulteriori “eventi”consumativi, rappresentati alternativamente dal vero eproprio “danneggiamento” del sistema ovvero dal mero“ostacolo al [suo] funzionamento”, non appare concet-tualmente precisa, né opportuna sul piano pratico, la di-stinzione ipotizzata dal legislatore, che sembrerebbe ri-condurre solo il delitto in esame fra i reati di evento, qua-si che il già esaminato danneggiamento di dati, di cui al-l’attuale art. 635-bis c.p., fosse un reato di mera condotta.

Pur nella difficoltà di una netta distinzione fra iconcetti di condotta ed evento nell’ambito dei reatiinformatici (58), anche la prima fattispecie tipizza inrealtà un delitto di evento, che può essere realizzato con



Note:

(55) Sulla portata di tale disciplina si veda per tutti A. Melchionda, Lecircostanze del reato, Padova 2000, 700 s.

(56) Si vedano al riguardo le ancora puntuali pagine di F. Bricola, voceDanneggiamento, cit., 606.

(57) Cfr. L.Picotti, voce Reati informatici, cit., 18-19.

(58) Anche la condotta che si svolga con tecniche o strumenti informa-tici è infatti - per sua struttura - in tutto od in parte automatizzata, doven-do coinvolgere un “trattamento informatico”, che cioè si “svolge [...] se-condo un programma”, come si ricava anche dalla definizione normativadi cui all’art. 1, lett. a) Convenzione Cybercrime, ripresa in termini pres-soché identici dall’art. 1, lett. a) Decisione quadro cit., per definire un “si-stema informatico” o “di informazione” definizioni però non recepite nel-la legge di ratifica 48/2008).Nel momento in cui si manifesta nei rapporti sociali, con la vittima ocon terzi anche indeterminati, può non essere agevole distinguere talecondotta “informatizzata” dagli effetti di modificazione della realtà og-gettiva, che autonomamente determini quale sua conseguenza causale.Per ulteriori spunti al riguardo sia consentito rinviare a L. Picotti, Inter-net e responsabilità penali, in Pascuzzi G. (cur.), Diritto ed informatica, Mi-lano 2002, 117 s.; per un interessante caso di accesso abusivo (art. 615-ter c.p.), realizzato a distanza tramite uno specifico programma virus de-nominato Vierika, per cui si è ritenuto concorrere anche la fattispeciedi cui all’art. 615-quinquies c.p., si veda Trib. Bologna, 22 dicembre2005, in Dir. Internet, 2006, n. 2, 153 s., con nota di F.G. Catullo, I pro-fili sostanziali; ed in parziale riforma Corte App. Bologna, 28 gennaio2008 (dep. 27 marzo 2008), in www.penale.it, che ha ritenuto sussisten-te solo la seconda fattispecie.

qualsiasi modalità o tecnica, trovando il suo momentoconsumativo nel prodursi effettivo, in diretta esecuzionedella attività volontaria e consapevole del soggettoagente, di un’oggettiva modificazione della realtà esterna(informatica od anche economica, comunicativa, socia-le, ecc.), percepibile quale conseguenza causale della pri-ma: come appunto i verbi “distruggere”, “deteriorare” e/o“danneggiare”, “cancellare”, “alterare” e “sopprimere”stanno a significare, anche se riferiti solo a “dati, infor-mazioni e programmi”, invece cha a “sistemi”.

d) L’abrogazione del delitto di “attentato informatico” (art. 420, commi 2 e 3, c.p.) ed i nuovidelitti di danneggiamento di dati di pubblica utilità (art.635-ter c.p.) e di danneggiamento di sistemi di pubbli-ca utilità (art. 635-quinquies c.p.)

Le soprastanti considerazioni sulla struttura di reatidi evento e, quindi, sul momento consumativo dei delit-ti di danneggiamento di dati (art. 635-bis c.p.) e di siste-mi informatici (art. 635-quater c.p.) trovano confermasistematica, nonché rilievo pratico, nell’esame delle dueultime fattispecie da analizzare: quelle di danneggiamen-to di dati di pubblica utilità (art. 635-ter c.p.) e di sistemidi pubblica utilità (art. 635-quinquies c.p.), introdotte dalmedesimo art. 5 l. 48/2008, ma formulate come “delittidi attentato”, in quanto la loro consumazione è anticipa-ta già al momento della commissione di “un fatto direttoa” porre in essere le ipotesi descritte, che non occorredunque si realizzino compiutamente.

Contemporaneamente all’introduzione di tali in-criminazioni, vi è stata la formale abrogazione dei com-mi 2 e 3 dell’art. 420 c.p., in forza dell’art. 6 della stessa l.48/2008. E dal necessario raffronto fra le originarie di-sposizioni e le nuove, che hanno mantenuto le prime co-me modello, emerge che non si è trattato in realtà diun’abrogazione con contestuali nuove incriminazioni(con gli effetti di cui all’art. 2, commi 1 e 2 c.p.), ma piut-tosto di una successione c.d. impropria di leggi penali(abrogatio legis sine abolitio criminis), da ricondurre alla di-sciplina dell’art. 2, comma 4, c.p., essendo rimasto puni-bile, senza soluzione di continuità, il nucleo essenzialedelle fattispecie già prima sanzionate (59).

Tuttavia sono intervenute alcune significative mo-difiche di formulazione normativa, accanto alla ben di-versa collocazione sistematica.

In particolare, l’art. 635-ter c.p. riprende e collocafra i delitti contro il patrimonio, con l’aggiunta dell’ini-ziale clausola di riserva “salvo che il fatto costituisca piùgrave reato” (riferibile in specie al successivo art. 635-quinquies c.p.) la previsione dell’art. 420, comma 2, c.p.(60), che puniva fra i delitti contro l’ordine pubblico, dicui al titolo V del libro II del codice penale, e con lastruttura tipica del delitto d’attentato, “chi commette unfatto diretto a danneggiare o distruggere sistemi informati-ci o telematici di pubblica utilità, ovvero dati, informa-zioni o programmi in essi contenuti o ad essi pertinenti”.

La nuova norma ha scorporato dall’incriminazionequesti ultimi oggetti passivi (“dati, informazioni o pro-

grammi informatici”), essendo gli altri (“sistemi informa-tici o telematici”) oggetto del successivo delitto di cui al-l’art. 635-quinquies c.p., in conformità - almeno formale- con le fonti sovranazionali già citate, che richiedonol’incriminazione distinta delle due ipotesi di danneggia-mento di dati e danneggiamento di sistemi.

Inoltre sono state in parte riformulate le condottepunibili, venendo mantenuto solo il verbo “distrugge-re”, mentre è stato soppresso il verbo “danneggiare”,che invece compariva nell’art. 420, comma 2, c.p. ed èprevisto anche dalle fonti sovranazionali (sull’incoeren-za nell’uso di tale verbo, che compare negli artt. 635-quater e 635-quinquies, riferiti ai sistemi, non però nel-l’art. 635-bis né in quello in esame, riferiti ai dati, in cuicompare invece il verbo “deteriorare”, cfr. supra sub b ec). Oltre al verbo “deteriorare”, sono aggiunti i verbi“cancellare, alterare o sopprimere”, per conformare l’in-criminazione alla formulazione richiesta dalle fonti so-pranazionali.

Sotto questo profilo, la previsione dell’art. 635-terc.p. si allinea alla formulazione dell’art. 635-bis c.p., rife-rita ai dati “privati”, salvo che per il momento consuma-tivo e la qualità di rilievo pubblico degli oggetti passivi,su cui si tornerà. Parallelamente, il nuovo art. 635-quin-quies c.p., parimenti scorporato dall’abrogato comma 2dell’art. 420 c.p., si allinea alla formulazione di cui all’art.635-quater c.p., per quanto attiene all’enunciazione deiverbi “distruggere, danneggiare, rendere, in tutto o inparte, inservibili [...] od ostacolarne gravemente il fun-zionamento”.

Sennonché, la struttura del delitto di attentato,prescelta dal legislatore nazionale in entrambe le ipotesi,rende eccessivamente evanescenti le condotte, formula-te in relazione ad eventi cui debbono essere soltanto “di-rette”, già di difficile percezione (si pensi in particolare aquello di “ostacolo al funzionamento”) ed, addirittura, diproblematica distinzione rispetto alle ipotesi denomina-te dallo stesso legislatore come semplici “condotte” (cfr.supra sub b).



Note:

(59) Su tale fenomeno, definito via via con maggiore chiarezza dalla giu-risprudenza degli ultimi anni, cfr. già L. Picotti, La legge penale, in F. Bri-cola, V. Zagrebelsky (cur.), Codice penale - Giurisprudenza sistematica di di-ritto penale, 2^ ed., Torino 1996, vol. I, 87 s.; per un quadro d’insieme, direcente si veda M. Gambardella, L’abrogazione della norma incriminatrice,Napoli 2008, in specie 163 s.; nonché E. M. Ambrosetti, Abolitio crimi-nis e modifica della fattispecie, Padova 2004.

(60) Il secondo comma - oggi abrogato - estendeva la stessa pena di cui alprimo comma (tuttora vigente) della reclusione da uno a quattro anni“anche a chi commette un fatto diretto a danneggiare o distruggere sistemiinformatici o telematici di pubblica utilità, ovvero dati, informazioni oprogrammi in essi contenuti o ad essi pertinenti”.Ma essendo stato pure integralmente abrogato il terzo comma, conte-nente l’ipotesi aggravata dell’effettiva distruzione, danneggiamento ointerruzione del funzionamento dell’“impianto” - oltre che del “sistemainformatico” - la fattispecie del primo comma, che è riferita ai soli “im-pianti”, non può più essere punita a titolo di ipotesi aggravata, anche seil predetto evento si verificasse, restando quest’ultimo penalmente irri-levante.

Nel secondo comma di entrambe le nuove fattispe-cie è infine previsto, che se si verifica realmente l’even-to di danneggiamento, la pena edittale è della reclusioneda tre ad otto anni.

Dalla formulazione della norma, che usa l’espres-sione “se dal fatto deriva”, caratteristica dei c.d. reatiaggravati dall’evento, oltre che dall’entità (esorbitan-te) della pena stabilita in modo indipendente - pari apiù del doppio - rispetto a quella prevista dal primocomma, sembra logico ritenere che si tratti di fattispe-cie autonome di reato, anziché di mere circostanze ag-gravanti, con ogni conseguenza in ordine all’inapplica-bilità del giudizio di bilanciamento fra circostanze, dicui all’art. 69 c.p., oltre che in materia di elemento sog-gettivo.

La conclusione è rafforzata dal raffronto con il terzocomma che, riproducendo il contenuto del comma 2dell’art. 635-quater c.p., al cui commento si rinvia (suprasub b), configura invece sicuramente una circostanza ag-gravante ad efficacia comune (aumento di un terzo del-la pena), logicamente applicabile sia all’ipotesi del pri-mo che all’ipotesi del secondo comma.

Infine, quanto all’elemento distintivo e fondativodi questa rilevante diversità di disciplina fra danneggia-menti di dati e sistemi pubblici, rispetto a quella dei dan-neggiamenti di dati e sistemi privati, il legislatore del2008 ha usato due locuzioni differenti, senza una ragioneplausibile.

Nell’art. 635-ter c.p. compare infatti, fin dalla ru-brica, la complessa locuzione: “utilizzati dallo Stato oda altro ente pubblico o ad essi pertinenti, o comunquedi pubblica utilità”, che viene, riferita a “informazioni,dati o programmi informatici”. Viceversa nell’art. 635-quinquies c.p. si menziona - anche nella rubrica - solo lasintetica locuzione “di pubblica utilità”, identica aquella che compariva nell’abrogato comma 2 dell’art.420 c.p.

Un primo problema sorge dall’uso del pronome “adessi”, che sembra necessariamente riferirsi ai sostantivi“Stato” ed “ente pubblico”, peraltro già complementod’agente del verbo “utilizzati”. La locuzione appare cosìsuperflua, o più che altro un residuo dell’originaria for-mulazione del comma 2 dell’art. 420, dal quale è tratta,in cui però il pronome predetto si riferiva ai “sistemiinformatici o telematici” cui “dati, informazioni o pro-grammi” potevano essere “pertinenti”, oltre che “in essicontenuti”.

In ogni caso la formula più generale “di pubblica uti-lità” appare idonea ad abbracciare tutte le situazionimenzionate, non richiedendo come condizione necessa-ria l’“utilizzazione” effettiva da parte di un soggetto pub-blico.

Del resto, non è chiaro quale potrebbe essere, al difuori delle due ipotesi dell’utilizzazione e della pubbli-ca utilità, il rapporto di “pertinenza” con lo Stato odun ente pubblico, specie nella già delineata situazionedi grande indeterminatezza dei - molteplici - diritti ed

interessi convergenti su dati, informazioni e program-mi (cfr. supra sub b a proposito della nozione di “al-truità”).

La scelta del legislatore italiano di garantire ai datie sistemi “di pubblica utilità” una protezione più fortecontro i danneggiamenti informatici, rispetto a quellastabilita per i dati e sistemi “privati”, non richiedeva af-fatto una differenziazione in altrettanti distinti delitti,certamente non prescritta dalle fonti sopranazionali. Edil risultato poteva esser più semplicemente ottenuto conuna circostanza aggravante speciale, analoga a quella dicui all’art. 635, comma 2, n. 3 c.p., applicabile ai delittidi cui agli artt. 635-bis e 635-quater c.p.; oppure anchecon la previsione di una fattispecie autonoma, per evi-tare il giudizio di bilanciamento ex art. 69 c.p., ma sen-za alcun bisogno di mantenere la struttura dei delitti diattentato, derivata dal modello di cui all’art. 420 c.p.,che trovava un pur controverso fondamento solo nellaprospettiva di tutela di un bene collettivo come l’ordinepubblico.

Le nuove incriminazioni sono state invece colloca-te nell’ambito dei comuni delitti contro il patrimonio,per cui - salva la possibilità di applicare la circostanza ag-gravante speciale della finalità di eversione dell’ordinecostituzionale ed eventualmente di terrorismo, ancheinternazionale, ove ne ricorrano i presupposti, tenutoanche conto delle più severe disposizioni introdotte percontrastarlo (61) - non è chiaro lo scopo di politica cri-minale perseguito con la fragile e complessa costruzionesistematica in esame.

I livelli sanzionatori, identici fra le due fattispecie dicui agli artt. 635-ter e 635-quinquies c.p. (reclusione dauno a quattro anni di reclusione per le ipotesi base, da tread otto anni per le ipotesi aggravate di cui ai rispettivicapoversi), sono addirittura inferiori - nel caso di dan-neggiamento di sistemi di pubblica utilità - rispetto aquanto stabilito per il danneggiamento di sistemi “priva-ti” (art. 635-quater c.p.: da uno a cinque anni di reclusio-ne), perché evidentemente il legislatore ha consideratoche nel primo caso, non nel secondo, si tratta di delittoa consumazione anticipata.

Ma anche nel caso di danneggiamento di dati dipubblica utilità la citata pena è di poco superiore a quel-la stabilita per il danneggiamento di dati “privati” (art.635-bis c.p.: da sei mesi a tre anni di reclusione).

Per cui non è raggiunto neppure l’obiettivo di un re-gime “speciale” sensibilmente più severo sul piano san-zionatorio, visto che la configurazione dei delitti in esa-me come comuni delitti di evento, al pari delle altre fat-tispecie di danneggiamento, avrebbe comunque consen-tito la loro punibilità anche a titolo di tentativo, invece



Nota:

(61) Cfr. art. 1 l. 6 febbraio 1980, n. 15, di conversione del d.l. 15 di-cembre 1979, n. 25; nonché, da ultimo, l’art. 270-sexies c.p., introdottodalla l. 31 luglio 2005, n. 155, di conversione del d.l. 27 luglio 2005, n.144.

esclusa rispetto ai delitti di attentato (62), ferma la sola“riduzione” di pena da un terzo alla metà, ex art. 56 c.p.,applicabile peraltro sulla cornice edittale più grave.

Vi è una ulteriore discutibile conseguenza di questacriticabile scelta del legislatore italiano, che non sembracomunque portare alcun sensibile vantaggio in terminidi efficacia complessiva del sistema: proprio con riferi-mento ai dati e sistemi di pubblica utilità è violata nellasostanza l’indicazione delle fonti sopranazionali, di distin-guere fra danneggiamenti di dati e danneggiamenti di si-stemi, ovviamente anche a livello di trattamento sanzio-natorio.4. La responsabilità da reato degli enti per i delittiinformatici (nuovo art. 24-bis d.lgs. 8 giugno 2001, n.231)

Un’ultima veloce notazione merita l’art. 7 l.48/2008, che introducendo un nuovo art. 24-bis neld.lgs. 8 giugno 2001, n. 231, ha esteso a tutti i reati infor-matici - non solo quelli previsti dalla novella in esame -la responsabilità “da reato” degli enti.

Come già segnalato nell’introduzione, permane so-lo l’anomala esclusione del delitto di frode informatica,di cui all’art. 640-ter c.p., quando non sia “commesso indanno dello Stato o di altro ente pubblico”, essendo limitataa questa sola ipotesi la previsione dell’art. 24 d.lgs.231/2001, mantenuto stranamente nell’originaria for-mulazione; e quella, altresì incomprensibile, del delittodi cui al nuovo art. 495-bis c.p., concernente la falsa at-testazione al certificatore (cfr. supra par. 2-b), che appa-re peraltro suscettibile di essere commessa anche nell’in-teresse di persone giuridiche ed enti, sia da parte di sog-getti in posizione apicale, sia da parte di soggetti in posi-zione subordinata.

La novella, in ogni caso, inserendo i nuovi reati nel“sistema” d’imputazione, sanzionatorio e processuale de-lineato dal d.lgs. 231/2001, dà quasi completa attuazioneagli artt. 12 e 13, par. 2, Convenzione Cybercrime, non-ché all’art. 9 Decisione quadro 2005/222/GAI, chiuden-do il quadro del diritto “punitivo” in materia.

Non si può però non evidenziare la complessità del-le conseguenze che può comportare tale estensione di re-sponsabilità per imprese ed enti.

Infatti, affidando il nostro sistema un ruolo assaiincisivo ai “modelli organizzativi” sia ai fini dell’impu-tazione della responsabilità (artt. 5, 6 e 7 d.lgs.231/2001), sia ai fini della concreta operatività delleconseguenze sanzionatorie (art. 17 segg. d.lgs.231/2001), è da attendersi un dispendioso ma necessa-rio impegno, per l’adeguamento dei “modelli” stessi al-le peculiarità, anche tecniche, di questi nuovi “rischi”di commissioni delittuose, da prevenire collegandoogni intervento alle vigenti ed a loro volta complessediscipline normative in materia di trattamento dei datipersonali e di tutela della sicurezza nei luoghi di lavoro(comprese quelle attinenti ai profili specifici dell’ela-borazione elettronica e del controllo delle attività la-vorative ai videoterminali) (63).

5. Notazioni critiche conclusiveCome era stato evidenziato da qualche raro inter-

vento parlamentare (64), proprio perché così rilevante,delicata e di “stringente attualità” la materia avrebbe ri-chiesto un approccio ben più attento, basato su un ap-profondito esame delle diverse fattispecie penali preesi-stenti e dei riflessi sistematici di ogni modifica, evitandola loro facile ‘moltiplicazione’ o mera ‘estensione’ ai nuo-vi fenomeni da regolare, come invece è accaduto (al pa-ri che per molti istituti di carattere processuale).

E sarebbe stato opportuno considerare compiuta-mente, nell’occasione, anche le iniziative dell’Unioneeuropea nel settore, in specie la menzionata Decisionequadro 2005/222/GAI sugli attacchi informatici, di cuida tempo è scaduto il termine per l’attuazione da partedegli Stati membri, senza che l’Italia vi abbia puntual-mente adempiuto.

In conclusione deve sottolinearsi, che proprio per-ché è necessario l’adeguamento del diritto interno all’or-dinamento sopranazionale, esplicitamente prescritto alivello costituzionale (cfr. artt. 10, 11 e 117 Cost.), oltreche dal diritto internazionale e dall’appartenenza all’U-nione europea, non è attraverso una frettolosa legge diratifica che si può raggiungere siffatto obiettivo, lodevol-mente perseguito, ma non raggiunto, dai compilatoridella l. 48/2008.

Infatti un intervento solo parziale e frammentario,in cui l’urgenza vada a scapito della qualità tecnica e si-stematica della normativa interna, non garantisce affat-to il raggiungimento delle finalità d’armonizzazione legi-slativa e di rafforzamento della cooperazione internazio-nale fra gli Stati e le loro autorità inquirenti e giudican-ti, che costituiscono la ragion d’essere degli strumenti in-ternazionali.



Note:

(62) Essendo per essi l’attività minima richiesta per la punibilità del ten-tativo già sufficiente a integrare la fattispecie consumata: cfr., con speci-fico riguardo anche al delitto in esame, G. Forti, in A. Crespi, G. Forti,G. Zuccalà (cur.), Commentario breve, cit., sub art. 420, 1050 e 709, conindicazioni essenziali.

(63) Per un recente intervento giurisprudenziale sulle possibilità ed i li-miti del controllo del datore di lavoro sulla posta elettronica dei dipen-denti, si veda Cass., Sez. V., 11 dicembre 2007, Tramalloni, in Foro it.,2008, II, c. 137 s.

(64) Cfr. l’intervento dell’on. Costa, che - in replica alle affermazioni delPresidente della II Commissione (Giustizia) della Camera, on. Pisicchio- ha rilevato come si sia solo “tentato di porre in essere un’istruttoria comple-ta”, dato che “purtroppo non è stato possibile svolgere le audizioni” che eranostate programmate, salvo quelle effettuate con la polizia postale (reso-conto seduta 19 febbraio 2008, al sito www.camera.it). Ad un inquadra-mento meramente descrittivo delle modifiche previste dal d.d.l. 2807A.C. si è limitato anche il Dossier di documentazione del Servizio studidella Camera dei Deputati (Dossier ES0149 del 24 settembre 2007, repe-ribile al sito ult. cit.).



Di assoluto rilievo si presentano le innovazioni pro-cessuali apportate dalla l. n. 48 del 2008 diretta adadeguare l’ordinamento interno ai dettami dellaConvenzione di Budapest. Gli innesti alla disciplinaconcernente ispezioni e perquisizioni, il mutato re-gime del sequestro di corrispondenza, l’interventosulla c.d. data retention sembrano destinati ad inci-dere sul sistema probatorio penale in maniera tal-mente profonda da indurre l’interprete ad estenderela portata teorica della novella ben al di là del ri-stretto campo attinente l’accertamento dei compu-ter crimes. Non mancano comunque diversi profilicritici in un assetto normativo ancora in larga parteperfettibile.

1. La portata innovativa e i contorni problematici di una necessaria azione di ammodernamento del codice di rito

Osservata dall’angolo visuale del processualista, lalegge di recepimento della Convenzione di Budapestnon può essere sbrigativamente qualificata nei terminidi un circoscritto intervento normativo volto a ridefini-re i contorni di un settore, quello dell’accertamento deireati informatici, tutto sommato marginale. Ad unosguardo che si voglia smarcare dalle etichette preconfe-zionate e dalle generalizzazioni tipiche della “prima let-tura”, infatti, non può sfuggire la portata assai più ampiadella novella, destinata ad incidere sulle attività di inda-gine e sul diritto delle prove penali in maniera indiffe-renziata, indipendentemente cioè dal fatto che il proce-dimento penale abbia ad oggetto un computer crime (1),un reato comune commesso solo occasionalmente con ilmezzo informatico o, addirittura, un illecito del tutto sle-gato dalla dimensione tecnologica, sia sotto il profilo delbene giuridico tutelato e degli elementi costitutivi dellafattispecie, sia sotto il piano dei concreti mezzi di estrin-secazione della condotta punibile (2). Nel dettare nuoviparadigmi normativi per la raccolta delle c.d. evidenzeelettroniche, in sostanza, il ricordato provvedimento le-gislativo si è inevitabilmente svincolato dal ristrettocampo della “criminalità informatica”, essendo oramaiinnegabile il ruolo fondamentale che la digital evidence fi-nisce coll’assumere pressoché in ogni inchiesta crimina-le (3), come mostrano le più recenti investigazioni inmateria di reati economici, di terrorismo transnazionalee di delitti associativi, senza arrivare a citare tutti queicasi di omicidio, che infarciscono le cronache giornali-stiche, in cui la prova del reato o dell’alibi dell’accusatosi annida nell’elaboratore dei soggetti coinvolti.

Ora, va subito detto che gli innesti al codice di rito

apportati dal Parlamento per adeguare la nostra archi-tettura sistematica all’impostazione teorica sottesa al te-sto convenzionale non sono solo il frutto di una opera-zione forzata e “a rime baciate”, volta appunto a rispetta-re pedissequamente gli impegni internazionali assunti.Potremmo dire che l’obbligo pattizio ha fornito piuttostolo spunto per mettere mano in maniera più celere ad unaazione già meditata motu proprio da tempo e fortementepatrocinata da tutta quella parte della dottrina che, daun lato, denunciava le difficoltà ermeneutiche insitenell’utilizzo dei tradizionali istituti processuali per l’ap-prensione del dato digitale (4) e, dall’altro, segnalava ilrischio che, in mancanza di un intervento legislativo,lentamente si potesse scivolare verso un fenomeno chepotremmo chiamare di deriva tecnicista, alimentato daquell’orientamento diretto a ipotizzare una sorta di auto-nomia sistematica delle operazioni di computer forensics(5), ritenute, in virtù della loro peculiarità, un settore di-sancorato dal resto del corpus normativo, una specie diinsula nel costrutto processuale da demandare “in bian-

I PROFILI PROCESSUALILuca Lupária

Note:

(1) Sulle varie declinazioni teoriche del concetto, v., essenzialmente, C.Pecorella, Il diritto penale dell’informatica, Padova, 2006; G. Pica, Reatiinformatici e telematici, in Dig. disc. pen., I agg., Torino, 2000, 521; L. Pi-cotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e be-ni giuridici tutelati, in Il diritto penale dell’informatica nell’epoca di internet, Pa-dova, 2004, 26; Id., Reati informatici, in Enc. Giur. Treccani, vol. VIII, agg.,Roma, 1999, 1; L. Scopinaro, Internet e reati contro il patrimonio, Torino,2007.

(2) Del resto, esplicitamente l’art. 14 della Convenzione imponeva agliStati di applicare i poteri e le procedure previste nella sezione secondadell’accordo: a) ai reati informatici; b) a tutti gli altri reati commessi at-traverso un sistema informatico; c) all’insieme delle prove elettroniche diun reato.

(3) Per uno sguardo d’insieme sui complessi rapporti intercorrenti tra ac-certamento penale ed evoluzione informatica, sia consentito rinviare alvolume L. Lupária - G. Ziccardi, Investigazione penale e tecnologia informa-tica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali,Milano, 2007.

(4) Ricorda M. Guernelli, I “computer crimes” nell’attuale sistema penale te-desco: aspetti sostanziali e processuali, in Riv. trim. dir. pen. econ., 2007,spec. 650, come anche la Corte costituzionale tedesca abbia più volte in-vitato il proprio legislatore ad adattare l’ordinamento allo sviluppo tec-nologico, sottolineando l’inadeguatezza delle norme sulla assicurazionedelle fonti di prova, per lo più risalenti nel tempo.

(5) Sui contorni teorici e operativi di questa disciplina scientifica, cfr., explurimis, E. Casey, Digital Evidence and Computer Crime. Forensic Science,Computers and the Internet, Elsevier, 2004; S. Mason, Electronic Evidence:Disclosure, Discovery and Admissibility, London, 2007; M. Mercer, Com-puter Forensics: Characteristics and Preservation of Digital Evidence, in FBILaw Enf. Bull., 2004, 29; M. Slade - R. Slade, Software Forensics: Collec-ting Evidence from the Scene of a Digital Crime, New York, 2004; P. Som-mer, Digital Footprints: Assessing Computer Evidence, in Crim. L. Rev.,spec. ed., 1988, 63; J. Vacca, Computer Forensics: Computer Crime SceneInvestigation, Hingham, 2002. Nella dottrina italiana: P. Perri, La compu-ter forensics, in G. Ziccardi (a cura di), Manuale breve di informatica giuri-dica, Milano, 2006, 199.

co” ai tecnici informatici (6). I redattori della l. n.48/2008 hanno certamente tenuto conto degli esiti ditale dibattito, essendosi peraltro impegnati in una cor-posa agenda di audizioni (7) e nella raccolta delle propo-ste elaborate negli ultimi anni all’interno del quadrocomparativo per dare corpo a quella esigenza di “genui-nità” della prova digitale che già traspariva limpidamen-te dalla Raccomandazione R(95)13 dell’11 settembre1995 firmata dal Comitato dei Ministri del Consigliod’Europa. Come è noto, in quel testo internazionale, an-tesignano del trattato sottoscritto a Budapest, venivaben rimarcato come, nell’affrontare le problematicheprocessuali penali connesse alla tecnologia dell’informa-zione, «the common need to collect, preserve, and presentelectronic evidence in ways that best ensure and reflect theirintegrity and irrefutable authenticity (…) should be recogni-zed» (art. 13).

Eppure, il risultato finale di tale lavoro, anche in ra-gione di una affrettata approvazione determinata dallaintervenuta caduta dell’esecutivo e dalla repentina chiu-sura dell’attività parlamentare, non può dirsi del tuttosoddisfacente e anzi induce a parlare di occasione perdu-ta. Se si pensa infatti che, in àmbito di rapporti tra pro-cesso ed evoluzione informatica, non si interveniva sulcodice di procedura penale dal lontano 1993, quando lal. n. 547 introdusse l’istituto delle intercettazioni tele-matiche nell’art. 266 bis c.p.p. (8), non può che esseredefinita parzialmente deludente la scelta di ridurre alminimo gli interventi e di procrastinare le necessarieprese di posizione rispetto alle numerose controversie er-meneutiche emerse in questi anni sul piano della prassigiudiziale. Argomenti quali la captazione delle comuni-cazioni vocali effettuate con sistemi voice-overIP (9), leintercettazioni parametriche (10), l’apprensione in tem-po reale della posta elettronica, le attività di “agente pro-vocatore informatico” condotte dalla polizia giudiziaria(11), i limiti al sequestro del computer dell’indagato o delsoggetto terzo (12), solo per citarne alcuni, non hannotrovato spazio in questa mini-riforma dell’ordito codici-stico, circostanza che può far presagire ulteriori corretti-vi da apportare nel corso della legislatura appena avvia-tasi.

2. La salvaguardia dell’integrità dei dati digitaliquale canone operativo nelle attività ispettive e perquirenti

Non sarà ovviamente possibile affrontare in questasede gli aspetti di cooperazione internazionale contenutinel testo della Convenzione, attinenti all’intero dioramadella mutua assistenza tra Stati, a partire da meccanismitradizionali come l’estradizione (art. 24 Conv.) fino agiungere ad originali soluzioni quali la richiesta di con-servazione o divulgazione rapida di dati (artt. 29 e 30Conv.) e l’accesso transfrontaliero a files immagazzinati(art. 32 Conv.) (13). Il proposito del presente commen-to, infatti, è piuttosto quello di fornire una prima pano-ramica delle modifiche inserite dalla novella nel codice

di rito, riscritto in più parti attraverso la tecnica della in-terposizione di nuovi commi nel seno di norme già esi-stenti, con l’eccezione rappresentata dall’inserzione di



Note:

(6) Sul punto cfr., volendo, L. Lupária, Il caso Vierika. Un’interessante pro-nuncia in materia di virus informatici e prova penale digitale. I profili proces-suali, in Dir. Internet, 2006, 153.

(7) Al di là di una audizione formale nella quale sono stati ascoltati gliesponenti della polizia postale, si sono infatti svolti diversi incontri di stu-dio volti a raccogliere proposte di modifica al testo originario nel quadrodelle attività della Commissione giustizia della Camera. Ad una di que-ste sessioni, aperte anche ad altre forze di polizia e alla magistratura, hapotuto prendere parte anche chi scrive unitamente a membri della avvo-catura e ad esponenti di un importante centro di ricerca che raccoglieesperti della materia.

(8) In questo lasso temporale, vanno comunque ricordati alcuni provve-dimenti che hanno inciso sul rapporto tra indagini preliminari e nuovetecnologie: i c.d. “decreti Pisanu” in materia di terrorismo internazionale,cui spetta, inter alia, la modifica dell’art. 226 disp. att. c.p.p. sulle inter-cettazioni telematiche preventive (l. n. 438 del 2001 e l. n. 144 del2005); la normativa varata per il contrasto alla pedopornografia on line (l.n. 269 del 1998 e l. n. 38 del 2006); la regolamentazione della conserva-zione e successiva acquisizione dei “file di Log” presso i service provider(d.lgs. n. 196 del 2003, così come modificato dalle leggi n. 45 del 2004 en. 155 del 2005).

(9) Essendo venuta meno l’iniziale netta distinzione tra sistemi telefoni-ci e sistemi informatico-telematici, si sta infatti facendo strada la inaccet-tabile proposta di ricomprendere le telefonate effettuate con l’oramai dif-fusissimo vettore Skype all’interno delle più larghe maglie dell’art. 266 bisc.p.p. Sul punto, cfr. L. Lupária, La disciplina processuale e le garanzie difen-sive, in L. Lupária - G. Ziccardi, Investigazione penale e tecnologia informa-tica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali,cit., 165.

(10) Si tratta di captazioni che agiscono per parola chiave e su larga sca-la. Gli organi investigativi monitorano in sostanza tutto il traffico nazio-nale o regionale di un determinato provider filtrandolo mediante uno spe-cifico parametro (una parola, un indirizzo web, ecc.).

(11) Cfr. G. Spangher, Le norme contro la pedofilia: b) le norme di diritto pro-cessuale penale, in questa Rivista, 1998, 1231. Per uno sguardo comparati-vo: M. Mattei Ferraro - E. Casey, Investigating Child Exploitation and Por-nography. The Internet, the Law and Forensic Science, London, 2005, 101 s.Sulle distorsioni della prassi in questi primi anni di applicazione dei mec-canismi previsti dalla l. n. 269 del 1998: L. Lupária, Le investigazioni infor-matiche in materia di pornografia minorile tra nuovi e vecchi abusi degli stru-menti processuali, in Dir. internet, 2005, 484.

(12) Sulla necessità che i provvedimenti di perquisizione e sequestro delcomputer non si trasformino in strumenti di ricerca della notitia criminis ovadano ad assumere i connotati di una attività di tipo esplorativo, v.Cass., Sez. I,. 4 luglio 2007, n. 735, che ha confermato un provvedimen-to del Tribunale del riesame di Brescia (ord. 4 ottobre 2006, Bonini e al-tro, in Quest. giust., 2007, 176) in cui già era già possibile leggere che il se-questro dell’elaboratore “esige un ambito di corretta e ristretta operativitàper evitare connotazioni di sproporzionata afflittività e di lesione di benicostituzionalmente protetti”. Cfr. A. Monti, No a sequestri indiscriminati dicomputer, in Dir. internet, 2007, 269.

(13) Per un primo commento: E. Selvaggi, Cooperazione giudiziaria veloceed efficace, in Guida dir., 2008, n. 16, 72. I meccanismi di collaborazioneprevisti dal testo internazionale sono stati oggetto in questi anni di variecritiche, soprattutto da parte della dottrina anglo-americana: R. Baron, ACritique of the International Cybercrime Treaty, in Comm. Cons., 2002,263; J. Fisher, The Draft Convention on Cybercrime: Potential ConstitutionalConflicts, in Uwla L. Rev., 2001, 339; M. Miquelon, The Convention onCybercrime: A Harmonized Implementation of International Penal Law:What Prospects for Procedural Due Process, in J. Marshall J. Comp. Inf. L.,2005, 329.

un inedito articolo all’interno delle disposizioni sul se-questro probatorio (art. 254 bis c.p.p.). Un approccio,dunque, quasi “chirurgico” mosso dall’intento, non deltutto condivisibile, di ricomprendere le forme di raccol-ta del dato digitale all’interno dei tradizionali mezzi di ri-cerca della prova, senza prevedere, come accaduto o pre-conizzato in altri sistemi, istituti di nuovo conio (14).

Veniamo allora a quello che può essere consideratoil cuore del provvedimento, ossia l’emendamento delledisposizioni relative alle ispezioni e alle perquisizioni,operazione diretta ad incidere tanto sulla dimensione“statica” delle due fattispecie contenuta nel libro terzo(artt. 244, 247 e 258 c.p.p.), quanto sulla loro portata“dinamica” così come delineata nel libro quinto (artt.352 e 354 c.p.p.) (15). In ognuna delle richiamate nor-me, e dunque a prescindere dalla circostanza che si sia inpresenza di attività disposte dall’autorità giudiziaria omesse in moto ad iniziativa della polizia giudiziaria, la l.n. 48 del 2008 ha introdotto una locuzione volta a desi-gnare un preciso modus operandi da tenersi nell’espletarele azioni di accesso all’elaboratore elettronico. Ad esclu-sione dell’art. 354 c.p.p. che, come mostreremo postea,prevede una formulazione in parte differente, le disposi-zioni riformate prescrivono che - qualora l’objectum da“scrutare” o da “frugare”, per dirla con Cordero, sia un si-stema informatico - debbano essere adottate “misure tec-niche dirette ad assicurare la conservazione dei dati ori-ginali e ad impedirne l’alterazione”. L’inciso, per quantolaconico, è di cruciale importanza, giacché presupponealcune premesse teoriche e apre la strada ad alcuni co-rollari tutt’altro che marginali quanto ad impatto sulleconcrete dinamiche investigative.

In primo luogo, viene implicitamente ripudiata lavisione, in realtà non priva di solidità concettuale, se-condo cui perquisizioni e ispezioni non sarebbero istitutiidonei allo svolgimento di azioni di digital investigation in-cidenti in via diretta sul contenuto dei sistemi informa-tici, quanto piuttosto strumenti procedurali da confinarealla sola ricerca dell’involucro “esterno” racchiudente idati elettronici, i quali verrebbero in tal modo sequestra-ti con opportune modalità e poi sottoposti a consulenzatecnica per il loro esame, così da evitare, oltre ai rischi dimodificazione del quadro probatorio, perniciose sovrap-posizioni tra semplici attività di polizia giudiziaria e in-dagini a matrice tecnico-scientifica. In secundis, assaicorrettamente viene riconosciuta la natura ontologica-mente volatile e alterabile del dato digitale - su cui pos-sono spesso incidere condotte involontarie atte ad inge-nerare fenomeni di “inquinamento” - e la conseguentenecessità di impiegare standard operating procedure ido-nee a garantire la genuinità dell’accertamento. Non siindica tuttavia una singola modalità operativa, ma si se-gue la strada del rinvio a quelle che, nella parabola del-l’evoluzione scientifica, saranno ratione temporis le mi-gliori pratiche assurte nel panorama scientifico interna-zionale a funzione di profilassi rispetto ad eventuali fe-nomeni di contaminazione delle evidenze elettroniche.

Viene dunque affidato all’organo giudicante l’onere diverificare, caso per caso, l’effettiva validità dei criteri im-piegati e la loro conseguente affidabilità. Si riecheggia insostanza quell’approccio, tipico dell’universo giuridico dicommon law, che assegna al giudice l’incisivo ruolo di ga-tekeeper (16) nei riguardi degli accertamenti ad alto con-tenuto tecnologico, la cui attendibilità deve appunto es-sere apprezzata sulla scorta dei protocolli elaborati dallacomunità scientifica (17) e alla luce di quella “culturadei criteri” che la migliore dottrina ritiene coessenzialeal vaglio giurisdizionale circa l’idoneità probatoria dellascientific evidence (18).

Non si può non rilevare, peraltro, come il riferi-mento alla “conservazione” dei dati e alla loro non “alte-razione” voglia con ogni probabilità richiamare il meto-do invalso maggiormente nella prassi investigativa, al-meno quella più al passo con le best practices in materia,ossia l’effettuazione di una copia-clone dell’elaboratoreattraverso la tecnica del legal imaging o bit stream image(l’Image-Sicherung della dottrina tedesca). Si tratta in so-stanza di una forma di “cristallizzazione” del quadro pro-batorio che consente tra l’altro agli inquirenti, secondouna sedimentata guideline, di ricercare in seguito i dati ri-levanti per l’inchiesta penale in corso non già sulla pri-ma “riproduzione” del contenuto del sistema informati-co, ma bensì sul successivo ulteriore duplicato, creatoproprio al fine di poter manipolare i byte prelevati senzaalterare la prima - per così dire - “fotografia digitale” del-la macchina in questione. Quest’ultima, in tal modo,sarà in ogni momento del processo a disposizione dellaautorità giudiziaria o della difesa, al fine di poter verifica-



Note:

(14) Cfr. J. Casile, Plaidoyer en faveur d’amènagements de la preuve de l’info-mation informatique, in Rev. sc. crim., 2004, 65; P. Roussel, L’emploi del’informatique sur l’administration de la preuve de l’information informatique,in Droit pèn., 2005, sept., 6.

(15) Per un approccio sistematico ai due istituti, v. da ultimo P. Felicioni,Le ispezioni e le perquisizioni, in Trattato di procedura penale, diretto da G.Ubertis - G. P. Voena, vol. XX, Milano, 2004.

(16) V., tra gli altri, G. Canzio, Prova scientifica, ragionamento probatorio elibero convincimento del giudice nel processo penale, in questa Rivista, 2003,1194; O. Dominioni, In tema di nuova prova scientifica, ivi, 2001, 1061; F.Focardi, La consulenza tecnica extraperitale delle parti private, Padova, 2003,174.

(17) Sul punto, è appena il caso di ricordare le note pronunce della Cor-te Suprema statunitense Daubert v. Merrel Dow Pharmaceuticals (509 U.S.579, 1993), General Electric v. Joiner (522 U.S. 136, 1997) e Kumho TireCompany v. Carmichael (526, U.S. 137, 1999).

(18) Cfr. O. Dominioni, La prova penale scientifica. Gli strumenti scientifi-co-tecnici nuovi o controversi e di elevata specializzazione, Milano, 2005, 71:«in relazione al controllo sull’operato dell’esperto è in gioco quella che sipuò definire cultura dei criteri, consistente in schemi concettuali intesi ascrutinare la validità delle leggi scientifiche e delle tecnologie usate dal-l’esperto e la loro corretta applicazione. Spetta allo stesso giudice enu-cleare questi criteri, che li può attingere dall’elaborazione giurispruden-ziale, dalla letteratura giuridica, dalla forensic science, dallo stesso ambitoscientifico posto che gli studiosi, nel definire un nuovo principio scienti-fico o un nuovo metodo tecnologico, intanto ne accreditano la validitàin quanto mettono a punto anche gli indici della loro verifica».

re che i risultati raggiunti mediante l’esaminazione deidati siano compatibili e confacenti con il supporto ini-ziale.

Un espresso rimando a tale metodica sembra in ef-fetti contenuto, come anticipato, nel novellato art. 354c.p.p., dedicato agli incombenti urgenti cui è chiamatala polizia giudiziaria sui luoghi o sulle cose. Ebbene, nel-l’aggiunta prevista dalla legge in commento, si affermaesplicitamente che gli ufficiali di polizia giudiziaria che sitrovino di fronte ad un sistema informatico o telematico,oltre ad adottare le misure tecniche per salvaguardarnel’integrità, devono, “ove possibile” (inciso questo chepotrà dar luogo a non poche controversie interpretativenella prassi), procedere alla “immediata duplicazione suadeguati supporti, mediante una procedura che assicurila conformità della copia all’originale e la sua immodifi-cabilità”. Un chiaro rinvio proprio alle tecniche appenaricordate, oramai ben conosciute e impiegate, il più del-le volte con l’ausilio di software rinomati come “Encase”della Guidance Software Inc., oggetto da anni di studi eanalisi dottrinali. Tra l’altro, tale metodologia di “clona-zione” consente, nella sua applicazione più corretta (19),di lasciare il computer nella disponibilità della personadopo aver trasfuso il suo contenuto all’interno del sup-porto di memorizzazione, aspetto questo di rilievo nonminimo per chi ritiene che le indagini informatiche deb-bano evitare connotazioni di sproporzionata afflittivitànei confronti dei soggetti coinvolti, specie oggi che glistrumenti informatici sono divenuti, per ognuno di noi,gli utensili maggiormente adoperati per la gestione deipropri interessi, oltre che i veicoli essenziali per la comu-nicazione e l’interazione col prossimo (20).

Venendo infine ai possibili corollari discendentidalle scelte legislative qui in commento, almeno duepossono essere le riflessioni da svolgere. Anzitutto, lanuova normativa sembrerebbe confermare la tesi secon-do cui la polizia giudiziaria che agisce prima dell’inter-vento del pubblico ministero non può effettuare veri epropri accertamenti tecnici a natura irripetibile, o surro-gati di fatto equivalenti, essendole concesso solamentedi compiere azioni di mera osservazione, individuazione,rilievo o di acquisizione dati. L’ordinamento, insomma,non consentirebbe, secondo quanto espresso in partico-lare dall’art. 354 c.p.p., che l’oggetto esaminato possa ve-nire modificato dallo svolgimento delle operazioni, co-me affermavano già quelle sentenze in tema di analisi delDna comportanti una variazione irreversibile del reperto(21) e alcune delle interpretazioni vertenti sull’art. 13d.lgs n. 274 del 2000 (22), laddove si stabilisce che, nelprocedimento davanti al giudice di pace, la polizia giudi-ziaria possa procedere ad accertamento tecnico non ri-petibile solo se autorizzata dal pubblico ministero e sem-pre che lo stesso non giudichi di dover compiere perso-nalmente tale attività. Oggi, dunque, con lo specificareche la polizia giudiziaria è incaricata di “assicurare laconservazione” dell’elaboratore, di “impedirne l’altera-zione e l’accesso”, oltre che di effettuare “copie” non

modificabili, il legislatore sembra voler ribadire che talesoggetto processuale, nell’àmbito in questione, deve li-mitarsi alle attività di assicurazione e preservazione delquadro probatorio.

In un secondo piano prospettico, va rilevato comeper il riformatore l’attività di “clonazione-copiatura” delcomputer non sarebbe operazione qualificabile come ac-certamento tecnico, bensì quale mero rilievo, al pari diuna fotografia, di una descrizione segnaletica o di un ac-certamento dattiloscopico e antropometrico ex art. 349,comma 2, c.p.p. In realtà, va ricordato che in questi an-ni molte Procure della Repubblica hanno proceduto atale intervento, giudicato quale atto implicante una ela-borazione a spiccato contenuto scientifico, attraverso lostrumento previsto dall’art. 359 c.p.p., quando l’ufficioriteneva che la metodologia garantisse la reiterabilitàdella riproduzione, o mediante l’istituto dell’accerta-mento tecnico irripetibile da svolgere in contraddittorioex art. 360 c.p.p. È stato infatti più volte rilevato come almomento stesso della “fotografia digitale” del contenutodel dispositivo elettronico possa sussistere un ipoteticorischio di modificazione dei dati. Inoltre, anche impie-gando tool particolarmente conosciuti (23), quali adesempio il già citato Encase, utilizzato dalla gran partedelle forze di polizia europee e americane, emergerebbeuna ulteriore problematica: tali programmi, infatti, sonoquasi sempre coperti da licenza, in quanto commercializ-zati da grandi multinazionali informatiche. Ciò impedi-sce di poter avere accesso ai c.d. “codici sorgente”, vale adire alle vera e propria fondamenta che sorreggono l’in-telaiatura del programma e ne condizionano la sua ope-ratività. L’eccezione che voglia far leva sulla impossibi-lità, per giudice e parte avversa, di esaminare il concreto



Note:

(19) V’è da dire che l’attuale formulazione degli articoli 244 e 247 può in-generare sul punto dubbi interpretativi nella parte in cui prima facie par-rebbe consentire agli inquirenti di procedere a perquisizione e ispezionenon già sulla “copia”, bensì direttamente sull’“originale”, o addirittura diattivare in via immediata tali mezzi di ricerca della prova e riservare aduna fase successiva la cristallizzazione dei dati. Sia nella prima che nellaseconda ipotesi, quest’ultima in verità totalmente eccentrica rispetto allebest practices menzionate, si sarebbe tuttavia in presenza di approcci ope-rativi incompatibili con la già evidenziata filosofia di fondo che deve gui-dare l’interprete che si muove nel contesto delle indagini informati-che,oltre che dissonanti rispetto ai canoni di non modificazione del ma-teriale digitale, di genuinità della prova informatica e di salvaguardia del-le prerogative difensive.

(20) Si vedano S. Aterno, In materia di sequestro di hd e acquisizione dellaprova informatica:un caso eclatante, in Dir. Internet, 2005, 365 e A. CheloManchìa, Sequestro probatorio di computers: un provvedimento superato dal-la tecnologia?, in Cass. pen., 2005, 1638.

(21) Cass. pen., Sez. I, 23 marzo 2002, n. 11886, Jolibert, in Cass. pen.,2003, 1966.

(22) V. E. Aprile, Le indagini tecnico-scientifiche: problematiche giuridichesulla formazione della prova penale, in Cass. pen., 2003, 4037.

(23) Cfr. S. Aterno, La computer forensics tra teoria e prassi: elaborazionidottrinali e strategie processuali, in Ciberspazio e diritto, 2006, n. 4, 425; A.Ghirardini-G. Faggioli, Computer Forensics, Milano, 2007, 164; P.Stephenson, The right tools for the job, in Digital Investigation, 2004, 24.

funzionamento di quel software e quindi di poter moni-torare la correttezza dell’iter da esso seguìto, con conse-guente garanzia di fedeltà della copia effettuata, parreb-be quindi non del tutto infondata. In materia di nuovidispositivi scientifici è necessario infatti consentire alleparti un vaglio pregnante sul loro funzionamento (24),dovendo entrare in gioco quei criteri concernenti la no-vel forensic science che, cristallizzati da ormai note sen-tenze della Corte Suprema statunitense, sono stati rece-piti da parte della nostra dottrina come parametri perl’ammissione, ex art. 189 c.p.p., degli strumenti probato-ri inediti e ad elevato grado di specializzazione. Non a ca-so, alcune squadre investigative hanno iniziato ad utiliz-zare per le attività di copiatura programmi a codice aper-to (open source), talora insieme a quelli a codice titolarecosì da conseguire una duplice conferma della bontà del-la copia e consentire in seguito alla difesa di ricontrolla-re tutti i passaggi effettuati.

3. L’imposizione di un vincolo reale a finalitàprobatoria alla luce dell’evoluzione informatica

Vanno segnalate anche quelle norme che attengo-no direttamente alla tematica del sequestro probatorio eche dettano nuove regole in conformità all’intervenutaevoluzione tecnologica. Interessante è ad esempio la di-sposizione che estende le ipotesi di apposizione di sigilliall’utilizzo di mezzi “di carattere elettronico o informati-co” (art. 260, comma 1, c.p.p.) e apre così la strada allacertificazione di conformità tra copia e originale tramitele c.d. hash functions (25). All’interno dello stesso artico-lo, si delinea poi una sorta di presunzione di deperibilitàdei dati informatici, giacché nel secondo comma, depu-tato appunto a regolamentare la riproduzione, copiaturao fotografia delle cose sequestrate soggette ad alterazione(o di difficile custodia), viene inserita l’ipotesi di copia-tura dei reperti elettronici, mediante procedure capaci diassicurare “la conformità della copia all’originale e la suaimmodificabilità”.

Assai importante è invece il nuovo regime del se-questro di corrispondenza cristallizzato nei primi duecommi dell’art. 254 c.p.p. Da un lato, infatti, si sciolgo-no i residui dubbi (26) sulla circostanza che la posta elet-tronica e le altre similari forme di comunicazione elet-tronica debbano rientrare sotto il novero concettualedella “corrispondenza” (27), con tutto il corredo di ga-ranzie costituzionali e codicistiche che ne consegue, nonultima quella che fa divieto alla polizia giudiziaria di pro-cedere alla apertura e alla presa di conoscenza del conte-nuto (la novella ha aggiunto al riguardo anche l’ulterio-re proibizione di “alterare” i dati trasmessi in via telema-tica). Dall’altro, la norma fa entrare prepotentementenel codice di procedura penale la figura del service provi-der, ossia il fornitore di servizi telematici, in questa sedesoggetto all’azione coattiva di apprensione dei dati por-tata avanti dall’autorità giudiziaria, ma sempre più desti-natario di obblighi di collaborazione, consegna e conser-vazione prolungata dei dati (come vedremo di qui a bre-

ve) (28). Va detto che occorre non confondere il seque-stro della corrispondenza elettronica eventualmentepresente sulle macchine del fornitore di servizi con lacaptazione in tempo reale del flusso di dati comprenden-te anche oggetti di corrispondenza. In quest’ultimo caso,infatti, l’istituto da applicare sarà quello delle intercetta-zioni telematiche, assai più garantito quanto a presuppo-sti e sottoposto ad autorizzazione giurisdizionale. La que-stione sembra pacifica e sul punto va ricordato quantodisponeva il “disegno di legge Mastella” sulle intercetta-zioni (licenziato dalla Camera il 17 aprile 2007 ma poinon giunto alla approvazione definitiva), il quale propo-neva di inserire nel codice un inedito art. 266 ter (“lenorme del presente capo si applicano, in quanto compa-tibili, alle intercettazioni di corrispondenza postale chenon interrompono il corso della spedizione”). Resta tut-tavia un cono d’ombra su alcune singolare modalità ope-rative utilizzate sovente dalla polizia giudiziaria. Si pensialla duplicazione automatica e in tempo reale delle emaildell’indagato ordinata al service provider, con invio im-mediato della copia agli investigatori.

Come anticipato, infine, si prevede nell’art. 254 bisc.p.p. un originale onere di collaborazione in capo allesocietà che gestiscono i servizi informatici, telematici o



Note:

(24) Sull’importanza di una pienezza di contraddittorio in materia di pro-va scientifica: P. Tonini, Prova scientifica e contraddittorio, in questa Rivista,2001, 1459.

(25) L’hash è una funzione univoca operante in un solo senso (ossia, chenon può essere invertita), atta alla trasformazione di un testo di lunghez-za arbitraria in una stringa di lunghezza fissa, relativamente limitata. Talestringa rappresenta una sorta di “impronta digitale” del testo in chiaro, eviene detta valore di hash, checksum crittografico o message digest. In infor-matica, la funzione di trasformazione che genera l’hash opera sui bit di unfile qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Lafunzione di hash è utilizzata per esempio da tempo per garantire l’aderen-za assoluta della copia ai dati di partenza durante il processo di clonazio-ne. Lo definiscono un “pesante (computazionalmente) e rigoroso sistemadi controllo dell’errore” M. Mattiucci - G. Delfinis, Forensic Computing,in Rassegna dell’Arma dei Carabinieri, 2006, n. 2, 63. Sottolinea come so-lo l’utilizzo di un algoritmo di hash - che “certifichi” la corrispondenza traoriginale e copia - consenta di ritenere integrati i criteri di ammissionefissati dalla già richiamata sentenza Daubert: P. H. Luehr, Real Evidence,Virtual Crimes. The Role of Computer Forensic Experts, in 20 Crim. Just.,2005, 20.

(26) Si è discusso in questi anni della portata dell’art. 616 c.p., il quale,pur affermando che “per corrispondenza si intende quella epistolare, tele-grafica o telefonica, informatica o telematica, ovvero effettuata con ognialtra forma di comunicazione a distanza”, precisa che tale concetto va li-mitato alle disposizioni contenute nella sezione quinta del titolo undice-simo del secondo libro del codice penale, relativa ai delitti contro l’in-violabilità dei segreti.

(27) Alcune interessanti riflessioni sul tema in F. Ruggieri, Profili proces-suali nelle investigazioni informatiche, in Il diritto penale dell’informatica nell’e-poca di internet, cit., 160. Sulle comunicazioni riservate in àmbito digita-le, cfr., nella dottrina costituzionalista, M. Betzu, Comunicazioni riservate,manifestazioni del pensiero e tecnologie polifunzionali, in Quad. cost., 2006,511.

(28) Cfr. Guidelines for the cooperation between law enforcement and internetservice providers against cybercrime, adottate all’esito della “Global confe-rence cooperation against cybercrime”, Consiglio d’Europa, Strasburgo,1-2 aprile 2008, consultabile all’indirizzo www.coe.int/cybercrime.

di telecomunicazioni, le quali, su disposizione della auto-rità giudiziaria che abbia proceduto a copiatura (29) attaad assicurare “la conformità dei dati acquisiti a quelli ori-ginali e la loro immodificabilità”, dovranno “conservaree proteggere adeguatamente i dati originali”. Al di là delfatto che la prescrizione sia nata per proteggere le “esi-genze legate alla fornitura dei servizi”, è questo l’ulterio-re segno di un trend in netta ascesa verso l’addossamentodi incombenti “investigativi” a soggetti che assumonouna posizione delicata quali individui a rischio di con-corso nel reato commesso dal cliente (30). Occorre ri-flettere sul punto per trovare una soluzione di equilibriocapace di contemperare le esigenze dell’accertamentocon gli interessi difensivi di chi corre il pericolo di esserecoinvolto nelle indagini cui è chiamato a collaborare edè a tutti gli effetti portatore di quel privilege against self-in-crimination tipico di colui che, benché non formalmentesottoposto ad investigazione, rischia di far emergere unasua responsabilità proprio attraverso la dazione dei datiche gli vengono richiesti (31). La norma in commento,poi, presenta una forte criticità nella parte in cui, facen-do riferimento al sequestro di dati “di traffico o di ubica-zione”, sembra sovrapporsi alla disciplina prevista dal-l’art. 132 del “Codice privacy” (d.lgs. n. 196 del 2003).Proprio per evitare che la disposizione faccia lettera mor-ta della procedura garantita prevista dal ricordato art.132, oltre che delle scansioni temporali di conservazionedei dati ivi contenute (data retention), è stata già propo-sta una interpretazione restrittiva, in realtà non priva diqualche forzatura ermeneutica. In quest’ottica, l’art. 254bis c.p.p. “disciplinerebbe il quomodo, ma non l’an del de-creto di sequestro” (32), ossia andrebbe solamente ariempire di contenuti operativi l’art. 254 c.p.p. di cui co-stituirebbe una specificazione. L’inciso “quando disponeil sequestro presso o fornitori di servizi informatici, tele-matici o di telecomunicazioni” si riferirebbe allora ai so-li casi previsti dal primo comma dell’art. 254 c.p.p.

4. Le norme residuali in materia di data retention e di attribuzione delle funzioni di pubblico ministero per i reati informatici

La novella ha altresì ritoccato una norma dalla sto-ria assai travagliata, l’art. 132 del “Codice privacy”, piùsopra già richiamato, che ha visto in questi anni succe-dersi numerosi ripensamenti da parte del legislatore(33). Nell’attesa che la disposizione venga ancora unavolta riscritta in attuazione della Direttiva comunitaria“Frattini” in corso di recepimento (n. 2006/24/CE) e sul-lo sfondo di un sistema emergenziale che prevede co-munque la conservazione di tutti i dati di traffico tele-matico fino al 31 dicembre 2008 per il combinato dispo-sto della l. n. 155 del 2005 (“decreto Pisanu”) e del re-cente “decreto mille proroghe” (art. 34, l. n. 31 del2008), la l. n. 48 ha inserito tre nuovi commi volti, in so-stanza: ad obbligare i fornitori di servizi a conservare perun periodo di novanta giorni prorogabile fino a sei mesi,

su richiesta di una variegata pletora di soggetti, i dati ditraffico per finalità essenzialmente preventive (comma 4ter); ad assoggettare lo stesso service provider al segretosull’ordine ricevuto con esplicito rimando, in caso diviolazione, al reato previsto dall’art. 326 c.p. (comma 4quater); a regolamentare la procedura di convalida daparte del pubblico ministero (comma 4 quinquies). Nonpotendo in questa sede effettuare approfondite riflessio-ni sul punto, basterà rimarcare alcuni profili critici. An-zitutto, la non condivisibile ulteriore valorizzazione del-le attività di controllo delle comunicazioni per finalità didifesa sociale e di prevenzione delle attività criminose,con conseguente irrobustimento della portata di unanorma, l’art. 226 disp. att. c.p.p., già delicata sul pianodelle garanzie fondamentali del cittadino e che, ad avvi-so di chi scrive, in quanto strumento estraneo al proce-dimento penale, non dovrebbe neppure trovare spazionelle pieghe del codice (l’attuale collocazione rischia diessere il segno di una cattiva coscienza del legislatore chepresagisce possibili travisamenti, in linea di principionon previsti, tra la dimensione della prevenzione e quel-la dell’accertamento) (34).

In seconda battuta, stupisce che ad esercitare il po-tere di “congelamento” di dati tanto delicati possano es-sere soggetti così variegati (dal Questore ai Servizi cen-trali, dal Ministero dell’interno ai responsabili degli uffi-ci specialistici della Guardia di finanza), cui si affida ad-dirittura una iniziativa autonoma sottoposta a convalidasuccessiva di un organo non giurisdizionale, in taluni ca-si stimolata da non meno precisate “richieste avanzateda autorità investigative straniere” (forse riferibili almeccanismo previsto dall’art. 29 della Convenzione).



Note:

(29) È importante notare che l’art. 254 bis c.p.p. va a riconoscere unanuova forma di sequestro, quella effettuata mediante copiatura, con in-versione logica della scansione ordinaria prevista, ad esempio, dall’art.258 c.p.p. La norma in esame, infatti, dopo l’inciso “l’autorità giudiziariaquando dispone il sequestro” dei dati, aggiunge “può stabilire (…) che laloro acquisizione avvenga mediante copia”.

(30) Cfr. G. Cassano - G. Buffa, Responsabilità del content provider e del-l’host provider, in Corr. giur., 2003, 77; L. Picotti, La responsabilità penaledei service-providers in Italia, in questa Rivista, 1999, 19.

(31) Per un inquadramento della questione, v. O. Mazza, L’interrogatorioe l’esame dell’imputato nel suo procedimento, in Trattato di procedura penale,diretto da G. Ubertis-G. P. Voena, vol. VII.1, Milano, 2004, 382. Sia con-sentito altresì rinviare a L. Lupária, La confessione dell’imputato nel sistemaprocessuale penale, Milano, 2006, 160 s.

(32) In questi termini: A. Cisterna, Perquisizioni in caso di fondato motivo,in Guida dir., 2008, n. 16, 68.

(33) Cfr. C. Conti, Accertamento del fatto e inutilizzabilità nel processo pe-nale, Padova, 2007, 175. V., altresì, G. Braghò, Le indagini informatiche fraesigenze di accertamento e garanzie di difesa, in Dir. inf., 2005, 517; F. Caja-ni, Alla ricerca del Log (perduto), in Dir. internet, 2006, 573; F. De Leo, Dueo tre cose su dati di traffico e tutela della privacy, in Quest. giust., 2004, n. 5,832; G. Frigo, Nella conservazione dei dati internet necessaria la tutela giuri-sdizionale, in Guida dir., 2004, n. 18, 11.

(34) V. gli incisivi rilievi sul punto di L. Filippi, Terrorismo internazionale:le nuove norme interne di prevenzione e repressione. Profili processuali, in que-sta Rivista, 2002, 166 s.



Infine, non potrà sfuggire che l’ordine di conservazionedei dati, oltreché per le attività previste dall’art. 226 di-sp. att. c.p.p., potrà essere ordinato “per finalità di accer-tamento e repressione di specifici reati”. Una locuzionenon soltanto scadente sul piano delle capacità di draftingdi chi ha steso la norma, ma soprattutto sorprendente-mente generica e fluida a fronte di un settore, quello delcontrollo delle comunicazioni salvaguardate dall’art. 15Cost., che richiederebbe precisione di presupposti e tas-satività di casi.

Residua, infine, un’ultima modifica processuale sucui spendere qualche cenno. Si tratta dell’interventosull’art. 51 del codice di rito, attraverso il quale si è aper-ta una ulteriore fenditura nella ordinaria simmetria traregole di competenza territoriale del giudice e canoni diattribuzione delle funzioni di pubblico ministero (35).Le investigazioni per i computer crimes e per i reati di por-nografia infantile on line vengono oggi devolute all’uffi-cio del pubblico ministero presso il tribunale del capo-luogo del distretto in cui il giudice competente ha la

propria sede. L’intento di concentrazione e coordina-mento - in assenza di una struttura simile alla Direzionenazionale antimafia e vista la carenza, se si eccettuanoalcune lodevoli eccezioni, di appositi pool di magistratiinquirenti specializzati - rischia in realtà di provocare di-sfunzioni (36) e eccessivi carichi di lavoro, capaci di in-cidere negativamente de facto sulla doverosità dell’eser-cizio dell’azione penale (37).

Note:

(35) Cfr. P. Tonini, Il coordinamento tra gli uffici del pubblico ministero, inGiust. pen., 1992, 406.

(36) Manca infatti un accentramento a livello distrettuale anche dellacompetenza del g.i.p. e del g.u.p. (art. 328 c.p.p.), come avviene per i rea-ti di criminalità organizzata e di terrorismo internazionale (v., per questiultimi, l’art. 10 bis del d.l. n. 374 del 2001).

(37) Sempre illuminanti in argomento le pagine di M. Chiavario, Anco-ra sull’azione penale obbligatoria: il principio e la realtà, in Id., L’azione penaletra diritto e politica, Padova, 1995, 91 s.

Documents

Criminalità informatica La ratifica della Convenzione ... · della Convenzione Cybercrime del Consiglio d’Europa LEGGE 18 MARZO 2008, N. 48 Ratifica ed esecuzione della Convenzione