I crimini informatici

I crimini informatici

Avv. Giovanni Fiorinoavv. [email protected]


Il reato e la sua struttura


Condotta – evento – rapporto di causalità● La condotta è il comportamento di chi commette un reato: l'azione o

l'omissione● L'azione è una condotta attiva: ad esempio, aggredire una persona con

violenza significa commettere reato di lesioni volontarie● L'omissione è l'inerzia, quando dalla persona viene richiesto di attivarsi: ad

esempio, il reato di omissione in atti di ufficio● L'evento è il risultato della condotta: ad esempio, la malattia nel reato di

lesioni volontarie● Il rapporto di causalità è ciò che lega il comportamento all'evento: Tizio

colpisce Caio e gli procura una lesione, una malattia.

I crimini informaticiLa struttura dei reati informatici

● Anche nei reati è possibile parlare di condotta, evento e rapporto di causalità tra la condotta e l'evento

● La condotta nei reati informatici si svolge in un “ambiente informatico”: ad esempio, l'accesso abusivo al sistema informatico o telematico – art. 615 ter c.p. - e la digitazione delle credenziali di autenticazione (username e password) per poter operare sul sistema informatico violato

● Anche l'evento, nei reati informatici, si verifica nell'”ambiente informatico”: ad esempio, il danneggiamento dei dati, delle informazioni e dei programmi nel reato di danneggiamento informatico (art. 635 bis c.p.)

● Anche per i reati informatici può parlarsi di rapporto di causalità tra la condotta e l'evento, una causalità “in ambiente informatico”


Il bene giuridico e l'oggetto materiale del reato – caratteri generali● Il bene giuridico è ciò che l'ordinamento vuole proteggere mediante la

punizione del comportamento illecito: ad esempio, nel delitto di truffa – art. 640 c.p. - il legislatore ha voluto punire chi, mediante artifizi e raggiri, crea un danno patrimoniale ad altri. La truffa contrattuale

● L'oggetto materiale del reato è ciò su cui “cade” la condotta criminosa: ad esempio, nel delitto di furto – art. 624 c.p. - l'oggetto materiale è ciò di cui l'autore del furto si impossessa (ad esempio, la borsa in caso di scippo) – mentre il bene giuridico è la proprietà del bene stesso.


Il bene giuridico e l'oggetto materiale del reato – la rilevanza● L'individuazione del bene giuridico protetto è importante perché permette

di individuare chi è la “persona offesa” dal reato: ad esempio, se il truffatore ha contatti diretti con il rappresentante legale di una società – magari facendogli credere di avere disponibilità di denaro e così inducendolo a vendergli della merce – poiché il bene giuridico protetto è di pertinenza della società – che ha materialmente pagato – persona offesa sarà la società

● La “persona offesa” è l'unica che può proporre querela per il reato di truffa, cosicché se la querela viene fatta da persona diversa il reato non è perseguibile


Il bene giuridico e l'oggetto materiale del reato nei reati informatici● Anche nei reati informatici è possibile individuare

● Il bene giuridico protetto dalla norma● L'oggetto materiale del reato


Il bene giuridico e l'oggetto materiale del reato nei singoli reati informatici● E' possibile individuare, con riferimento ai singoli reati, di volta in volta il

bene giuridico protetto


Bene giuridico è reati informatici di particolare rilievo● Esame delle fattispecie di reato informatico più rilevanti


L'accesso abusivo ad un sistema informatico o telematico (Art. 615 ter c.p.)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.



L'hacker e l'hacking



Il genere, un “sistema informatico” - ad esempio un personal computer – contiene delle informazioni: il bene giuridico protetto dalla norma dell'articolo 615 ter c.p. non sono i dati o le informazioni contenute nel personal computer ma è il semplice “sistema informatico”, da intendersi come “domicilio informatico” e, dunque, luogo nel quale si estrinseca la personalità.


Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater c.p.)

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5.164 euro.



Il furto di identità



Il bene giuridico protetto è la riservatezza delle credenziali di autenticazione.


Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615

quinquies c.p.)Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.



quinquies c.p.)I virus. Esempi concreti: il problema dei virus che criptano i dati.



quinquies c.p.)Il bene giuridico protetto è la integrità dei sistemi informatici, dei sistemi telematici, dei dati, delle informazioni e dei programmi


Il rapporto tra l'articolo 615 quinquies e gli articoli 635 bis e 635 quater c.p.


Danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.)

Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.


Danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.)Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni.

https://www.iusexplorer.it/FontiNormative/ShowCurrentDocument?IdDocMaster=3948141&IdUnitaDoc=20112552&NVigUnitaDoc=1&IdDatabanks=10&Pagina=0


Artt. 635 bis e 635 quater c.p. e bene giuridico protettoL'integrità dei dati e dei sistemi informatici


Frode informatica (art. 640 ter c.p.)Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro.


Frode informatica (art. 640 ter c.p.)Il bene giuridico è la libertà negoziale


Altre ipotesi di reati informatici disciplinati dalle leggi penali speciali


La distinzione in relazione al bene giuridico protetto


La tutela del diritto d'autoreLa legge n. 633/1941 ed il suo adattamento alle nuove tecnologie


Art. 171 ter legge n. 633/1941E' punito, se il fatto e' commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire chiunque a fini di lucro (1):a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un'opera dell'ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento;


La tutela della riservatezza dei dati personali – decreto legislativo n. 196/2003


Art. 169 del decreto legislativo n. 196/2003Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni

I crimini informaticiArt. 34 del decreto legislativo n. 196/2003

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari


L'oggetto materiale del reatoDall'analisi delle precedenti disposizioni normative è possibile comprendere qual'è l'oggetto materiale di volta in volta individuabile


Il sistema informaticoArt. 1 della Convenzione di Budapest: sistema informatico è “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati”Irrilevanza della complessità del sistema informatico.Necessità dell'autonoma capacità di elaborazione: ad esempio, il software che permette il funzionamento della stampante in grado di funzionare solo se connessa ad un personal computer


Il sistema informaticoL'evoluzione dei sistemi informatici e l'individuazione di sistemi informatici nuovi: ad esempio● Il software presente all'interno delle autovetture● Le applicazioni che rientrano nella c.d. domotica


Il sistema telematicoPone l'accento sulla connessione e il collegamento di elementi, che si avvalgono di sistemi informatici


Il sistema telematicoLa sentenza n. 17325/2015 della Corte di Cassazione sulla individuazione della competenza territoriale per il reato di accesso abusivo a sistema informatico o telematico: il caso esaminato è quello dell'operatore che, attraverso il proprio terminale, accede ad un server collocato in un'altra città (client a Napoli e server a Roma): si tratta di un sistema telematico


Il sistema informatico e sistema telematicoDefinizione omnicomprensiva

I crimini informaticiI dati, i programmi, le informazioni

Distinzione tra● Dati: Il concetto di dato esprime quindi una registrazione elementare nella

memoria di un computer● Programmi: il programma (o software) è costituito invece da una sequenza

di istruzioni […] espresse in linguaggio comprensibile dalla macchina elaboratrice e progettate ed assemblate insieme per ottenere dalla macchina il compimento di operazioni prestabilite, semplici o complesse che siano

● Informazioni: L'informazione, intesa come contenuto del sistema informatico, è costituita invece da un insieme più o meno vasto di dati organizzati secondo una logica che consenta di attribuire loro un particolare significato per l'utente della macchina

● (G. Pica, Diritto penale delle tecnologie informatiche, pagg. 25 ss.)


L'operatore del sistemaIndividuazione delle ipotesi di reato nelle quali si fa riferimento alla figura dell'operatore di sistema


Art. 615 ter comma 2 n. 1La pena è della reclusione da uno a cinque anni1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema


Art. 635 bis comma 2La pena è della reclusione da uno a cinque anniSe il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni


Art. 640 ter comma 2

La pena è della reclusione da uno a cinque anni e della multa da 309 euro a 1.549 euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.


Definizione di operatore del sistema

La definizione dipende dagli effetti giuridici che il legislatore ha voluto ricondurre alla qualifica di operatore del sistema: l'aggravamento della pena


Le circostanze aggravanti – caratteri generali

Le circostanze aggravanti determinano un aumento della pena collegata a fatti specifici: ad esempio, il danno patrimoniale di rilevante entità ovvero la particolare efferatezza nella commissione del reato


La circostanza aggravante della qualifica di operatore del sistema

Definizione di operatore del sistema: colui che approfitta della sua qualifica – e delle connesse particolari capacità di intervenire sul sistema violato o danneggiato – per commettere il reato.Dunque, deve trattarsi dell'operatore del sistema vittima o non di un qualsiasi operatore del sistema: l'aggravamento è collegato alla particolare conoscenza di quel singolo sistema violato e non del sistame informatico o telematico intendo in senso generale


Fattispecie di reato informatico, condotta, operatore del sistemaIl principio della personalità della responsabilità penale


La figura del “provider” nel diritto delle nuove tecnologieIl fornitore del servizio: una figura necessaria per lo sviluppo delle nuove tecnologie


La figura del “provider” nel diritto delle nuove tecnologieIl problema giuridico della responsabilità del provider e la possibilità che un reato sia commesso in concorso tra diversi soggetti


Il concorso di persone nel reato – caratteri generali


Il concorso di persone nel reato – reati informatici


La responsabilità del provider: fondamento normativoIl decreto legislativo n. 70/2003 – gli artt. 14, 15, 16, 17

I crimini informaticiIa responsabilità del provider: fondamento normativo

I diversi livelli di coinvolgimento

- semplice trasporto (mere conduit), quando l'intermediario non origina la trasmissione, non scelga il destinatario, non selezioni o modifichi i dati: nessuna responsabilità (art. 14, d. lg. 70/2003)

-memorizzazione automatica intermedia e temporanea per rendere più efficace un successivo inoltro a richiesta di altri destinatari (caching): nessuna responsabilità a condizione che non interferisca o modifichi le informazioni o il normale quadro tecnico e agisca prontamente per rimuovere i dati o disabilitare l'accesso appena sappia di manomissioni od ordine conforme dell'autorità (art. 15, d.lg. 70/2003)

- memorizzazione e tenuta a disposizione permanente di un sito o di dati e informazioni anche di siti altrui (host): nessuna responsabilità a condizione che non sia effettivamente al corrente dell'attività illecita del destinatario che ha fornito i dati, o di fatti e circostanze che per tale la fanno manifestare, e non appena di questo al corrente agisca prontamente per rimuovere i dati o disabilitare l'accesso (art. 16, d.l.vo 70/2003)


La responsabilità del provider: fondamento normativoPrincipio generale è comunque l'assenza di un obbligo generale di sorveglianza sui dati trattati, o di ricerca attività di attività illecite, pur con un obbligo di informare l'autorità su presunte attività illecite dei destinatari e di comunicare informazioni per l'identificazione degli stessi(M. Guernelli, Il quadro normativo italiano, in Diritto dell'informatica, pagg. 135 s.)


La responsabilità del provider: casi concreti● RTI c/ Youtube – la pubblicazione, in streaming, su piattaforma telematica,

di contenuti protetti dal diritto d'autore● Piratebay: il download di opere protette da diritto d'autore ospitate su

server● Google/Vividown: il cado del ragazzo offeso, a scuola, a causa della sua

malattia, con videoripresa di quanto gli accadeva a scuola e pubblicazione su Youtube (servizio di Google)

● Il sito web, ospitato su server, contenente immagini pedoporngrafiche● Il sito web contenente un blog aperto agli utenti, senza moderazione, e la

responsabilità per le frasi offensive ivi contenute


La responsabilità del provider: singoli casi concretiIl caso Piratebay e la sentenza della Corte di Cassazione n. 49437/2009: il problema della indicizzazione dei contenuti


La responsabilità del provider: un caso particolareIl caso del motore di ricerca che indicizza contenuti non più attuali o, addirittura, non aggiornati.Google e il diritto all'oblio


Google e il diritto all'oblioLa sentenza della Corte di Giustizia C-131/12Google indicizza una pagina web che contiene informazioni datate inerenti una vendita all’asta di immobili connessa ad un pignoramento effettuato per la riscossione coattiva di crediti previdenziali.Il reclamo riguardava sia l'aggiornamento della pagina web contenente dette informazioni sia la indicizzazione di Google: il diritto all'obio riguarda il solo motore di ricerca, anche se il sito web che ospita le informazioni datate non è obbligato ad aggiornare le stesse


Un caso della giurisprudenza italiana sul diritto all'oblioTribunale di Roma, sentenza 23371/2015


La delocalizzazione delle risorse ed il problema della competenza per territorio


Il concetto di competenza per territorio per la individuazione del Giudice che può giudicare una condotta di reato – aspetti generali


Le peculiarità della condotta nei reati informatici e le problematiche inerenti la individuazione del Giudice territorialmente competente


La sentenza della Corte di Cassazione, a sezioni unite, n. 17325/2015In tema di acceso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all'art. 615 ter c.p. coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la "parola chiave" o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta


L'individuazione dell'autore dei reati informaticiLa peculiarità dei reati informatici commessi tramite Internet e la rilevanza dell'indirizzo IP


L'individuazione dell'autore dei reati informaticiLa forensic aziendale: rinvio

I crimini informatici

Law

Transcript of I crimini informatici