Hacking

Approfondimenti normativi

Il delitto di accesso abusivo ad un sistema informatico


L´art.615-ter, va considerato, unitamente al 640 ter, l´articolo più importante introdotto dalla legge n° 547 del 1993 poiché rende penalmente perseguibile l´accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza o il mantenimento in esso contro la volontà espressa o tacita dell´avente diritto
Tale articolo recita testualmente:

Art.615-ter. (Accesso abusivo ad un sistema informatico e telematico).

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

  1. se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
  2. se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
  3. se dal fatto deriva la distruzione o il danneggiamento del sistema o l´interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.


Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici d´interesse militare o relativi all´ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque d´interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d´ufficio.

Esso, inserito nel capo III del titolo XII del codice penale, è compreso tra i reati contro l´inviolabilità del domicilio in quanto i sistemi violati vengono considerati come una espansione ideale dell´area di rispetto garantita dall´art.14 della Costituzione tutelata dagli articoli 614 e 615bis del codice penale .
Risulta evidente che la definizione di sistema informatico assume una importanza rilevante poiché, nel caso in cui intendessimo come tale l´insieme dei componenti funzionali di un calcolatore e dell´hardware ad esso associato la tutela penale espressa nell´articolo sarebbe estesa sia al singolo personal computer che al centro di elaborazione dati dotato di hardware ben più complesso e sofisticato.
Se invece definissimo come tale unicamente una serie di computer in grado di trasmettere dati e segnali tra loro, il singolo pc “stand alone” risulterebbe privo di ogni tutela penale.
Ciò rappresenterebbe un grave limite poiché un accesso abusivo potrebbe essere operato non solo “da remoto” utilizzando gli strumenti telematici ma anche interagendo sulla tastiera del computer oggetto dell´attacco.
Inoltre ciò contraddirebbe le intenzioni del Legislatore il quale ha specificatamente previsto una particolare circostanza aggravante per chi , al fine di accedere abusivamente ad un sistema informatico, usa violenza sulle cose o sulle persone o se è palesemente armato.
Risulterebbe sicuramente di difficile attuazione usare violenza contro qualcuno che si trova distante da noi migliaia di chilometri!!!
La norma esplicitamente prevede che il sistema informatico o telematico (sistema che integra informatica e telecomunicazioni), perché si configuri il reato in argomento, sia protetto da misure di sicurezza.
Sono state espresse numerose perplessità ed opinioni contrastanti sulla specificità delle misure di sicurezza da adottare affinché il sistema venga tutelato dalla norma penale. In realtà, le stesse vanno considerate unicamente come dimostrazione da parte del soggetto avente diritto di non volere consentire l´accesso al sistema alle persone da lui non autorizzate palesando il proprio "ius escludendi ".
Ciò implica che accedere ad un sistema a difesa del quale siano state predisposte banali misure di sicurezza come la password “pippo” vada considerata una violazione della norma penale.
D’altro canto giova evidenziare nuovamente che, in assenza di misure di sicurezza , l´introduzione in sistemi informatici non costituisca reato così come dimostra la sotto elencata sentenza relativa all´introduzione nel sito del GR1.
Il Giudice dell´udienza preliminare dr. Eduardo Landi all´udienza del 4.4.2000 ha pronunciato e pubblicato mediante lettura del dispositivo la seguente SENTENZA nei confronti di G. C. imputato del reato di cui all´art. 615 ter, 2° e 3° comma c.p., per essersi introdotto abusivamente nel sito telematico del G.R.1, rinominando con lo stesso nome di quello autentico e sostituendo il file contenente il Radio Giornale delle ore 13.00, con un altro file contenente una serie di critiche alla Società Microsoft e al nuovo sistema operativo denominato Windows 98. Con l´aggravante di essersi inserito in un sistema telematico di pubblico interesse. Fatto accaduto in Roma il 10.07.1998, dalle ore 17.30 alle ore 17,53 circa.

Premessa

Il P.M. chiedeva, con atto depositato l´1.6.1999, il rinvio a giudizio di G. G. per il reato di cui in rubrica. Si svolgeva quattro udienze preliminari finalizzate anche all´ammissione della perizia tecnica, con le formalità dell´incidente probatorio. All´esito dell´udienza del 4.4.2000 il P.M. chiedeva il rinvio a giudizio e la difesa di proscioglimento dell´imputato.

Motivazione

Dagli atti delle indagini preliminari (in particolare verbale di interrogatorio dell´indagato e verbale di sommarie informazioni rese dal dipendente Rai G. G.) risulta che l´imputato in data 10.7.1998, utilizzando dalla sua abitazione un computer (Pentium II con velocità 266 Mhz e con Mbyte 64 di memoria principale), dotato di sistema operativo Windows 95, collegato ad Internet attraverso connessione telefonica con il nodo di Ancona del fornitore di servizi Internet TIN e servendosi dell´account dell´utente "xxxxxx" (attribuito dalla TIN a XXXXXXX di Mantova e che risulterà poi nei file log della RAI), si introduceva nel sito telematico del G.R.1, sostituendo il file contenente il radio Giornale delle ore 13.00 con altro file di sua creazione, contenente una serie di critiche alla Società Microsoft e al sistema operativo Windows 98. Della predetta manomissione la redazione si accorgeva soltanto dopo due giorni per effetto delle e/mail inviate da due utenti.
Appresa dalla stampa la notizia della denuncia presentata dalla Rai contro ignoti, il G. tempestivamente e spontaneamente dichiarava di essere l´autore del fatto attraverso una e/mail (foglio 83) inviata alla testata giornalistica La Repubblica, il cui testo si trascrive: "sono entrato nel server mm1.rai.it grazie a una password fregata al pc di G. L., che, molto imprudentemente, ha il proprio disco fisso in condivisione e dunque è accessibile liberamente all´esterno".
Tali affermazioni ripeteva sostanzialmente in sede di spontanee dichiarazioni rese alla P.G., in sede di interrogatorio delegato alla P.G. ex art. 370 c.p.p., nonché avanti al perito. In particolare nell´interrogatorio precisava di non avere agito con l´intenzione di arrecare danni al sistema della Rai e mostrava di essere sinceramente pentito. In sintesi l´imputato ha sostenuto che, usando un programma per la ricerca di computer su Internet con condivisioni aperte, è riuscito ad accedere senza problemi al computer della Rai denominato GRR4. Durante questo accesso l´imputato ha affermato di aver trovato nel "direttorio" principale dell´hard disk un file che citava la macchina denominata MM1, che costituiva il server della Rai contenente i file real audio con i Radio Giornali accessibili da Internet.
Questo stesso file citava inoltre l´account "xxx", utilizzato dai dipendenti Rai per accedere al computer MM1 ed il programma ws ftp, utilizzato per trasferire su quest´ultimo computer i file audio prodotti su altre macchine. Ha così effettuato una connessione diretta al server MM1 con l´account "xxx" e, utilizzando sul suo computer, il programma ws ftp, ha ridenominato il file gr1-1007.ra, contenente il Radio Giornale delle ore 13.00 del 10.7.98, senza cancellarlo. Con tale programma ha infine memorizzato su MM1 un nuovo file denominato gr1-1007.ra da lui preparato contenente le critiche al Windows 98. In tal modo l´utente che accedeva al sito Internet della Rai riceveva questo ultimo file in risposta alla richiesta del radio Giornale delle ore 13.00. La perizia, espletata nelle forme dell´incidente probatorio, ha chiarito che l´imputato ha sfruttato una caratteristica tipica dei computer dotati di sistema operativo Windows 95 e collegati ad Internet. Se su questi computer risulta attivo il servizio condivisione file e stampanti su protocollo Netbios e non si definisce una password, si rendono direttamente accessibili i file anche a tutte le macchine con analogo sistema operativo Windows 95 connesse su Internet: in tal modo è possibile dare ad altri utenti della rete la visibilità dei propri dati. Il computer della Rai GRR4, per l´appunto, aveva attivata la condivisione risorse.
Il perito ha inoltre verificato la validità della procedura tecnica utilizzata dall´imputato ed in particolare ha testato una versione dei programmi (fornitigli dallo stesso G.) per la ricerca di computer su Internet con condivisioni aperte. Ha così escluso che, soddisfatte le condizioni anzidette, l´iter seguito richiedesse la conoscenza di elementi forniti da terzi. Ciò posto va verificata la corrispondenza del fatto penalmente rilevante ascritto all´imputato con la fattispecie incriminatrice di cui all´art. 615 ter comma 2 e comma 3 c.p. Nonostante la generica formulazione del capo di accusa si ritiene che il p.m. abbia inteso contestare al G. la condotta dell´accesso abusivo a sistema informatico di pubblico interesse (comma 3), protetto da misure di sicurezza, determinando l´interruzione del suo funzionamento (comma 2 n. 3). La condotta materiale tenuta dall´agente, consistente nella sua introduzione nel sistema della Rai con sostituzione del file contenente il radio Giornale con altro contenente critiche alla società Microsoft, è inquadrabile nella fattispecie aggravata suddetta. Tuttavia non risultano elementi di prova sufficienti a dimostrare l´esistenza di misure di sicurezza idonee a proteggere il sistema violato. A tale proposito si osserva che il legislatore con l´introduzione della norma incriminatrice di cui all´art. 615 ter ha inteso tutelare non la privacy di qualsiasi "domicilio informatico", ma soltanto quella di sistemi "protetti" contro il pericolo di accessi da parte di persone non autorizzate.
Nel caso specifico nella relazione il perito ha sottolineato che il sistema informatico della Rai era configurato in modo tale da non essere completamente sicuro: esisteva un computer (GRR4) che consentiva l´accesso agli estranei tramite rete (secondo quanto suesposto) e che conteneva al suo interno la password per l´accesso al computer server (MM1) manomesso. Aggiunge che sebbene la macchina GRR4 risultava protetta da firewall, cioè da un sistema di controllo del traffico di dati sulla rete locale, probabilmente tale firewall non era idoneo. Ciò potrebbe essere dipeso dal fatto che, avendo il GRR4 due connessioni esterne (una alla rete locale ed una direttamente ad Internet), il firewall verificava solo il transito dei dati attraverso una delle due connessioni oppure non era ben configurato (in particolare non controllava i servizi offerti dal processo Netbios: p. 5 della relazione peritale). All´udienza del 4.4.2000 il perito ha dichiarato che "il personale Rai ha confermato che esisteva un computer con due tipi di connessione, una delle quali non era sufficientemente protetta". Sulla base delle risultanze dell´elaborato peritale si ritiene non sufficientemente provata l´idoneità delle misure di sicurezza predisposte dalla Rai a tutela del proprio sistema informatico. Del resto è ormai acclarato che i tradizionali mezzi di protezione software, in particolare quelli incentrati sulle c.d. chiavi di accesso non offrono certezza assoluta di impenetrabilità, essendo la loro individuazione soltanto una questione di tempo e livello tecnologico. Inoltre nel caso specifico la password del computer MM1 era citata in un file contenuto in una macchina (GRR4) vulnerabile.
Considerato che l´esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie incriminatrice di cui all´art. 615 ter c.p., deve dichiararsi il non luogo a procedere con la formula di cui all´art. 425 comma 3 c.p.p., anche perché atteso il tempo trascorso e considerato che la Rai ha sostituito le precedenti misure di sicurezza con altre (come riferito dal perito in udienza), è del tutto improbabile che ulteriori indagini possano evolvere in senso favorevole all´accusa.

p.q.m.

visto l´art. 425 comma 3 c.p.p.: dichiara il non luogo a procedere nei confronti di G. G. in relazione all´imputazione di cui alla rubrica, perchè il fatto non sussiste.

La condotta dell’intrusore, affinché possa essere punita, può essere di due tipi:la semplice introduzione nel sistema o il trattenimento contro la volontà espressa o tacita del titolare del diritto di esclusione.
Il reato nel primo caso si perfeziona con l´accesso al sistema indipendentemente da quelle che saranno le azioni successive le quali, spesse volte saranno oggetto di tutela penale da parte di altri articoli della stessa legge.
Infatti, capita soventemente che l´introduzione è finalizzata al compimento di ulteriori reati quali:


  •     il danneggiamento di sistemi informatici o telematici nonché di dati informazioni e programmi in essi contenuti (art 635 bis)
  •     la frode informatica (art.640 ter)


A livello dottrinale va poi segnalato che, in legislazioni quali quella statunitense, affinché il colpevole possa essere punito è necessario che lo stesso abbia causato gravi danni economici o che abbia posto in essere, successivamente all´introduzione, condotte sanzionate penalmente. Questo crea delle forti differenze tra le seguenti figure:

  1. Gli hacker , i quali accedono ad un sistema unicamente per vincere la sfida con le misure di sicurezza poste a difesa di quell´ elaboratore o per farsi beffa dell´amministratore di quel sistema i quali non sono quasi mai sanzionati penalmente.
  2. I cracker che, in seguito all´accesso, carpiscono o distruggono informazioni e dati i quali vengono invece condannati .



Nell´ordinamento penale italiano invece vengono punite entrambe le figure così che non ha molto senso parlare di "hacker buono" e di "cracker cattivo" dal momento che entrambi sono considerati rei.
Per ciò che concerne invece la condotta del trattenimento contro la volontà espressa o tacita del titolare del diritto di esclusione all´interno del sistema informatico la stessa viene posta in essere, ad esempio, nel caso in cui l´agente, avuto il legittimo accesso al sistema, prova illecitamente a superare i limiti posti all´originario accesso lecito. Si immagini , ad esempio, la condotta di chi, autenticatosi su un server con il proprio account che gli riconosce solo alcuni privilegi e la visualizzazione di alcune aree, riesce poi, con i metodi più disparati, ad ottenere i così detti "privilegi di root" così da poter effettuare sulla macchina qualsiasi operazione.
A tal proposito la V Sezione Penale della Corte di Cassazione con la Sentenza n.12732/2000 ha fornito una interessante chiave di lettura in merito al reato di accesso telematico abusivo.
Infatti, essa ha diversificato i sistemi informatici e telematici utilizzabili pubblicamente da chiunque e quelli utilizzabili solo da un numero ristretto di persone. Nel primo caso assumono importanza, per la configurazione del reato, le misure di sicurezza poste in essere dall´amministratore del sistema mentre, nel secondo, il reato si configurerebbe anche se le stesse fossero assenti.

Si riportano, di seguito, le motivazioni di tale sentenza:

" La corte d’appello ha ritenuto che, ai fini della configurabilità del reato, assumano rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d’accesso, ma anche le protezioni esterne, come la custodia degli impianti, in particolare quando, come nel caso in esame, si tratti di banche dati private, per definizione interdette a coloro che sono estranei all´ impresa che le gestisce. I ricorrenti sostengono, invece, che soltanto la protezione interna al sistema è idonea a manifestare la volontà del proprietario di escludere terzi, come dimostrerebbe il fatto che il D.P.R. n. 318 del 1999 richiede come necessaria una chiave d´accesso nel trattamento dei dati personali. Il motivo di ricorso è infondato.
L´art. 615 ter comma 1 c.p. punisce non solo chi s´introduce abusivamente in un sistema informatico o telematico, ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo. Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per se, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.
Non si tratta perciò di un illecito caratterizzato dall´effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela di un domicilio informatico.
Certo è necessario che l´accesso al sistema informatico non sia aperto a tutti, come talora avviene soprattutto quando si tratti di sistemi telematici.
Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all´accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l´ingresso stesso nei locali in cui gli impianti sono custoditi.
Ed è certamente corretta, in questa prospettiva, la distinzione operata dalla corte d´appello tra le banche dati offerte al pubblico a determinate condizioni e le banche dati destinate a un´utilizzazione privata esclusiva, come i dati contabili di un´azienda. In questo secondo caso è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all´organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell´avente diritto di escludere gli estranei.
D’altro canto, l´analogia con la fattispecie della violazione di domicilio deve indurre a concludere integri la fattispecie criminosa anche chi, autorizzato all´accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l´accesso. Infatti, se l´accesso richiede un’autorizzazione e questa e questa è destinata a un determinato scopo, l´utilizzazione dell´autorizzazione per uno scopo diverso non può non considerarsi abusiva.
Sicché correttamente i giudici del merito hanno ritenuto configurabile il reato nella condotta di V. B.,che, autorizzato all´accesso per controllare la funzionalità del programma informatico, si avvalse dell´autorizzazione per copiare i dati da quel programma gestiti.
Privo di qualsiasi pertinenza al caso in esame è, infine, il regolamento recante norme per l´individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell´art. 15 comma 2 della legge 31 dicembre 1996, n. 675. Infatti la mancata adozione delle misure minime di sicurezza nel trattamento dei dati personali è prevista come reato dall´art.36 della legge n. 675 del 1996; ma evidentemente la consumazione di questo reato non esime, comunque, da responsabilità chi violi i pur insufficienti meccanismi di protezione esistenti."

Le circostanze aggravanti previste dall´articolo 615 ter sono le seguenti:

  •     fatto commesso da pubblico ufficiale con abuso dei poteri o con violazione dei doveri inerenti alla funzione. Il pubblico ufficiale (art.357 C.P.) è colui il quale esercita una pubblica funzione legislativa, giurisdizionale o amministrativa, nonché colui che, in ambito amministrativo e sulla base di norme di diritto pubblico, partecipa alla formazione ed alla manifestazione della volontà della P.A. ed al suo svolgersi a mezzo di poteri autoritativi e certificativi;
  •    fatto commesso da incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti al servizio. É incaricato di pubblico servizio (art.358 C.P.) colui il quale, a qualunque titolo, presta un pubblico servizio, cioè un´attività disciplinata nelle stesse forme della pubblica funzione, ma caratterizzata dalla mancanza dei poteri tipici di quest’ ultima, con esclusione della svolgimento di semplici mansioni di ordine e prestazioni meramente materiali;
  •    fatto commesso da chi esercita, anche abusivamente, la professione di investigatore privato (norme relative agli istituti di investigazione privata al TITOLO IV del R.D. 18 giugno 1931 nr.773 - T.U.L.P.S.);
  •    fatto commesso con abuso della qualità di operatore di sistema. Operatore di sistema, abbr. sysop, è colui che sorveglia o fa funzionare un sistema informatico multiutente od una BBS (dal Dizionario dei Termini di Informatica edito da MONDADORI-INFORMATICA, II ed.);


Al fine di interpretare correttamente il rapporto tra il concetto di operatore del sistema e l´ipotesi aggravante prevista per questa specifica figura dagli articoli 615 ter e 640 ter si riporta parte della relazione presentata al Convegno Nazionale su ´Informatica e riservatezza del CNUCE - Pisa 26/27 settembre 1998) da Cesare Parodi, magistrato della Procura Circondariale di Torino.
Numerose fattispecie di reati informatici - tra le quali l´art 615 ter ed il 640 ter cp prevedono come ipotesi aggravate la realizzazione del fatto da parte di soggetti ricoprenti il ruolo di "operatori di sistema.", con "abuso" di tale qualità.
Si tratta di una definizione per la quale allo stato non può ritenersi sedimentata un´interpretazione giurisprudenziale univoca, la cui rilevanza è tuttavia di estremo rilievo, in quanto tale da condizionare il regime di procedibilità del reato: è evidente l´intenzione del legislatore di sottolineare in questo senso il maggior disvalore penale del fatto laddove l´intervento sul sistema o sui dati informatici venga posto in essere da un soggetto che si trova in un rapporto specifico e qualificato con il sistema stesso. L´ "operatore di sistema" non è in effetti soltanto colui che professionalmente - in via continuativa o quantomeno non occasionale - si trova ad operare quale operatore programmatore, sistemista o analista sull´hardware o sul software di un sistema informatico , ma anche il soggetto che di fatto, in relazione alle funzioni svolte nell´ambito dell´ente pubblico o privato nel cui ambito viene utilizzato il sistema si trova nella condizione di poter intervenire - direttamente o per interposta persona,nell´esercizio e/o a causa delle sue funzioni - sui dati o sui programmi. Ciò a prescindere sia dalla natura "intrinsecamente" informatica dell´incarico svolto o del ruolo ricoperto, sia dalla natura del rapporto con l´ente.
Da quanto sopra esposto si evince che l´operatore del sistema deve essere in un rapporto specifico e qualificato con il sistema stesso, cioè con il sistema che ha subito l´accesso abusivo.
Tale interpretazione viene avvalorata inoltre anche dall´uso negli art 615 ter e 640 ter della definizione di “operatore del sistema” e non di quella di “operatore di sistema”. Infatti, la preposizione articolata, poiché caratterizzata dall´articolo determinativo che ne è la seconda componente, svolge una funzione determinativa. Risulta perciò evidente che l´ipotesi aggravante prevista dagli articoli del C.P. sopra citati andrà applicata solo all´agente che è operatore di un determinato sistema.
Poiché l´unico sistema citato in detti articoli è quello oggetto nel caso del 615 ter di accessi abusivi e nel caso del 640 ter di alterazioni del funzionamento ciò comporta che l´operatore del sistema sarà colui che, nel caso del 615 ter, è operatore del sistema nel quale ha compiuto l´accesso abusivo o , nel caso del 640 ter, del sistema del quale ha alterato il funzionamento o è intervenuto sui dati, informazioni e programmi.
La ratio del Legislatore è infatti quella di aggravare la pena di colui che, in possesso di specifiche informazioni (es. password che abilitano all´uso del server per determinate operazioni) e dati sul server di cui è operatore, ed avendo quindi con esso un rapporto privilegiato, si viene a trovare nella condizione di porre in essere un comportamento illecito estremamente facile da realizzare ed aggravato dall´ infedeltà dimostrata verso l´Azienda presso la quale era in qualche modo “fiduciato” essendo detentore di alcuni codici di accesso.

Sono previste altresì delle circostanze aggravanti se:

  •  il colpevole usa violenza sulle cose o alle persone o è palesemente armato;
  •  dal fatto deriva distruzione o danneggiamento del sistema, interruzione totale o parziale del funzionamento, o distruzione o danneggiamento dei dati, informazioni o programmi in esso contenuti.


Ulteriore aggravante si ha allorquando i fatti di cui al I e II comma riguardino sistemi di interesse militare, relativi all´ordine pubblico, alla sicurezza pubblica, alla sanità, alla protezione civile o, comunque, di interesse pubblico. In tali casi la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma, cioè quando vi è stata una illecita introduzione a sistemi informatici e telematici protetti da misure di sicurezza (o il mantenimento della presenza nel sistema contro la volontà espressa o tacita del soggetto titolare del diritto di esclusione) senza che si sia verificata alcuna delle circostanze aggravanti previste dall´articolo, il delitto è punibile esclusivamente a querela della persona offesa; negli altri casi si procede d´ufficio.


La frode informatica

L’articolo 10 della legge 547/93, anche detta legge sui “computer crime”, ha inserito nel codice penale l´articolo 640 ter intitolato “Frode informatica”. Questo articolo è stato inserito nel capo II del codice penale che è dedicato ai “Delitti contro il patrimonio mediante frode”.
Esso recita:

"Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad essi pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa da 51 a 1032 euro. La pena è della reclusione da uno a cinque anni e della multa da 309 a 1549 euro se ricorre una delle circostanze previste dal secondo comma numero 1 dell´articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore di sistema. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un´altra circostanza aggravante"
Il quadro delineato dal citato articolo è, quindi, il seguente:
PENA:
    * reclusione da sei mesi a tre anni e multa da 51 a 1032 euro
    * reclusione da uno a cinque anni e multa da 309 a 1549 euro (aggravanti di cui al 2º comma nr.1 dell´art.640).
PROCEDIBILITA´:
    * a querela della persona offesa
    * d’ufficio (aggravanti di cui al 2º comma nr.1 dell´art.640 o altra aggravante)
Le aggravanti alle quali si fa riferimento sono quelle previste dal 2º comma nr.1 dell´art.640 C.P.: "se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare".
Questa ultima aggravante non risulta sicuramente idonea a contrastare con maggiore efficacia la "frode informatica" ma è stata evidentemente ricevuta a prestito dall´art. 640. Ulteriore aggravante è quella di abuso della mansione di operatore di sistema .Rispetto all´art. 640 (truffa), da cui il 640 ter deriva, è stata eliminata la dizione "con artifizi e raggiri inducendo taluno in errore".
Infatti è prevista esclusivamente una tra le due condotte sotto elencate affinché possa essere perpetrato il reato di frode informatica:

  1.  Alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, procura a sè o ad altri un ingiusto profitto con altrui danno.
  2. Intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad essi pertinenti, procura a sè o ad altri un ingiusto profitto con altrui danno.

Il tipico modo di operare è quello di alterare o immettere abusivamente dati all´interno di un computer oppure quello di modificare un programma così che, una volta in esecuzione, possa far ottenere profitto illegale al colpevole. Un esempio pratico: la “tecnica del salame”, con cui gli arrotondamenti effettuati nel calcolo degli interessi dei correntisti di un istituto di credito vengono fatti confluire in un unico conto corrente, intestato al truffatore.
Un altro modo di operare, spesso utilizzato, è quello di alterare il software installato all´interno delle macchinette di video poker, così da rendere molto bassa la possibilità di vincita del giocatore.
Questa condotta può essere facilmente ricompresa nel dettato dell´articolo poichè vi è l´intervento senza diritto su un programma contenuto in un sistema informatico con finalità , da parte del gestore , di conseguire un ingiusto profitto tale da arrecare un danno al giocatore.
Il reato si consuma con il conseguimento dell´ingiusto profitto da parte del reo poichè è quello il momento nel quale si viola il diritto del soggetto passivo di disporre del proprio patrimonio.
Tale profitto non deve necessariamente essere di tipo patrimoniale, tale da determinare un arricchimento del reo, ma si può anche concretizzare determinando, esclusivamente, una mancata diminuzione del suo patrimonio.
Tipico infatti il caso nel quale la frode non porta all´ acquisizione di una somma monetaria ma a quella di un servizio. Il reato può essere compiuto esclusivamente con dolo specifico da parte di chi agisce e presenta le stesse pene previste per il reato di truffa.
Si specifica che la Legge di ratifica della Convenzione di Budapest nr.48 del 2008 ha introdotto, tra le tante, anche nuove fattispecie in ambito frode commessa nella certificazione di firma elettronica


La diffusione di computer virus e di apparecchiature dirette a danneggiare o interrompere il funzionamento di un sistema informatico.
«Art. 615-quinquies. – (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329».

      É stata voluta dal Legislatore la procedibilità di ufficio non essendo necessaria alcuna delle ordinarie condizioni di procedibilità (querela etc) affinché si possa dare inizio al relativo procedimento penale a carico del reo di tale reato.
      I programmi ai quali si fa riferimento in questo articolo sono comunemente conosciuti col nome di computer "virus".

      Come noto, tali programmi, introdotti in un ambiente informatico, provocano anomalie di funzionamento che possono giungere, nei casi più gravi, alla distruzione totale dei dati ed all´interruzione del funzionamento del sistema.
      Il Legislatore ha dimostrato particolare attenzione e lungimiranza utilizzando nell´articolo il termine “ apparecchiature, dispositivi o programmi diretti a danneggiare o interrompere(il funzionamento di) un sistema informatico” anziché quello di “computer-virus”. Infatti, la definizione di computer virus è riferibile esclusivamente ad un programma in grado di auto replicarsi (analogamente ai virus biologici).

      Se fosse stato utilizzato tale termine, non si sarebbe potuta offrire tutela penale nel caso in cui i dati contenuti in un pc fossero stati danneggiati o distrutti da un programma non avente tali caratteristiche mentre è nota l´esistenza di alcune routine che comportano tale effetto pur non avendo la capacità di auto replicarsi.
      Inoltre, con la definizione utilizzata il Legislatore ha voluto essere estremamente generico così da mantenere la norma attuale negli anni.
      Affinché il reato si compia non è necessario l´effettivo danneggiamento o l´alterazione del funzionamento del sistema informatico poiché, come specificato nell´articolo, è sufficiente che l’apparecchiatura, il dispositivo o il programma informatico siano stati prodotti, diffusi o comunque messi a disposizione con lo scopo di danneggiare il sistema informatico o le informazioni ed i dati in esso contenuti.

      Si tratta di un così detto reato di pericolo giacché, il verificarsi dell´evento "danneggiamento" è sanzionato, a seconda dei casi, dall´articolo 635 bis (Danneggiamento di informazioni, dati e programmi informatici ), dall´articolo 635 ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), dall´articolo 635 quater (Danneggiamento di sistemi informatici o telematici) o dall´articolo 635 quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità).

      Risulta quindi impossibile che si configuri il tentativo di diffondere programmi diretti a danneggiare o interrompere il normale funzionamento di un sistema informatico poiché il tentativo è definito nel nostro codice penale come il compimento di atti diretti in modo non equivoco a compiere un delitto se l´azione non si compie o l´evento non si verifica.
      Ne deriva che in presenza di tali atti siamo già di fronte al compimento del reato di cui al 615 quinquies e non semplicemente ad un tentativo.

      La norma appare attuale poiché sanziona sia la diffusione di computer virus a mezzo di consegna di floppy disk che per via telematica.
      É infatti universalmente noto ad ogni utente della Rete che la nuova modalità di diffusione di questi dannosi programmi sia indiscutibilmente quella telematica.
      I fatti di cronaca relativi alla diffusione a livello mondiale di virus che utilizzano gli allegati ai messaggi posta elettronica, ne hanno fornito ampia prova.
      Dal testo di detto articolo sembrerebbero punibili anche coloro i quali diffondono computer virus senza averne contezza né volontà.

      Tale interpretazione porterebbe la polizia giudiziaria a denunciare all´Autorità giudiziaria migliaia di persone poiché responsabili, almeno colposamente, del reato.
      Basti pensare a virus quali Melissa i quali prelevavano dalla rubrica del client di posta elettronica della ignara vittima alcuni indirizzi di posta elettronica a cui spedire messaggi contenenti il virus.

      Occorre inoltre ricordare che, poiché il reato è perseguibile di ufficio, la polizia giudiziaria dovrebbe, anche senza che il danneggiato sporga querela, così come previsto dall´articolo 55 del codice di procedura penale, “ anche di propria iniziativa, prendere notizia del reato, ………ricercarne gli autori, compiere gli atti necessari per assicurare le fonti di prova e raccogliere quant’altro possa servire per l´applicazione della legge penale”.
      Vi è però da rilevare che l´articolo 42 del codice penale recita testualmente: nessuno può essere punito per una azione od omissione preveduta dalla legge come reato, se non l´ha commessa con coscienza e volontà. Nessuno può essere punito per un fatto preveduto dalla legge come delitto, se non l´ha commesso con dolo, salvi i casi di delitto preterintenzionale o colposo espressamente previsti dalla legge………….

      Ciò significa che, rientrando tale reato tra i delitti e non essendo espressamente prevista dalla legge alcuna ipotesi di delitto preterintenzionale o colposo relativo all´ art 615 quinquies, risulta necessaria da parte "dell´untore" la volontà e la consapevolezza del danneggiamento o dell´alterazione del funzionamento del sistema che occorrerà al sistema al quale verrà trasmesso il virus affinché tale soggetto possa venire perseguito quale reo.


La detenzione e la diffusione abusiva di codici di accesso a sistemi informatici*

L’articolo 615-quater, introdotto dalla legge n° 547/93, intitolato “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”, dice: "Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all´accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5164 euro".

La pena è della reclusione da uno a due anni e della multa da 5164 a 10329 euro se ricorre taluna delle circostanze di cui ai numeri 1 e 2 del quarto comma dell´articolo 617-quater».

Il quadro delineato dal sopra citato articolo è, quindi, il seguente:

PENA:
reclusione sino ad un anno e multa sino a 5164 euro;
reclusione da 1 a 2 anni e multa sino a 10329 euro (aggravanti di cui al 2° comma)

PROCEDIBILITÀ:
d´ ufficio
Un sistema informatico o telematico richiede di sovente ad ogni utente, al momento dell´accesso, per motivi di sicurezza e/o di addebito di costi (tipicamente in sistemi telematici quali reti di trasmissioni dati, bbs eccetera), un identificativo che può prendere varie denominazioni: codice di accesso, password, number user identification (Itapac), personal identification number (Bancomat - Pos) ed altri.

La conoscenza di codici altrui permette di inserirsi abusivamente nei sistemi in argomento e tali codici vengono spesso scambiati tra hacker; sempre tra gli hacker è consuetudine scambiarsi consigli, quelle "indicazioni e istruzioni idonee" che, a norma dell´art. 615-quater, integrano la fattispecie di reato.
Il reato si configura anche quando l´acquisizione abusiva di codici avviene mediante autonoma elaborazione (è il caso dell´hacker che, grazie ad appositi programmi ed alla elevata velocità di elaborazione di un comune pc, riesce, attraverso innumerevoli e ripetuti tentativi, a scoprire codici che consentono l´accesso in sistemi protetti).

Analogamente all´art. 615 ter, relativo all´accesso abusivo ad un sistema informatico, viene offerta tutela penale esclusivamente se vengono riprodotti, diffusi, comunicati o consegnati codici di sistemi informatici protetti da misure di sicurezza.

La precisazione "sistemi protetti da misure di sicurezza" risulta tuttavia in questo articolo superflua perché difficilmente potranno esistere dei codici di accesso riferiti ad un sistema sprovvisto di misure di sicurezza.

Il legislatore, non potendo prevedere quali saranno i metodi di autenticazione utilizzati in futuro, ha voluto citare, oltre ai codici ed alle parole chiave, anche "gli altri metodi idonei all´accesso" per non rendere la norma obsoleta in breve tempo.

Analizziamo le singole condotte che, grazie a quanto disposto da questo articolo, assumono rilevanza penale:

Procurarsi codici: qualunque comportamento attuato al fine di venire a conoscenza degli stessi.

Riprodurre codici: la creazione di una copia digitale o cartacea o comunque in ogni suo aspetto simile al codice, parola chiave o altro strumento utilizzato.
Diffondere codici: comunicarli ad altre persone.

Comunicare codici: trasmetterli in qualunque modo ,verbale o telematico, che non sia prettamente "materiale"

Consegnare codici: darli materialmente a mezzo di consegna di un floppy disk o altro supporto informatico o meno (es cartaceo) che li contiene.


Va inoltre ricordato che vi è bisogno, affinché si verifichi una violazione della norma, di un dolo specifico da parte di chi agisce, quello di volere procurare a sé o ad altri un profitto o di arrecare ad altri un danno (essenzialmente di natura patrimoniale).

Questo articolo trova ampia applicazione anche nella lotta alla pirateria satellitare, infatti, il modo di operare tipico delle organizzazioni dedite a tale forma di attività è quello di trasmettere e rendere disponibili codici per accedere a programmi a visione condizionata in seguito al pagamento di una somma.

Aggravanti specifiche previste, con riferimento ai punti 1 e 2 del 4° comma dell´art. 617-ter del c.p.:
 

  • se il fatto è commesso in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
  • se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o con abuso della qualità di operatore del sistema.


Il danneggiamento di sistemi informatici e telematici *

L’articolo 9 della Legge 547/93, ha inserito nel codice penale l´articolo 635 bis titolato “Danneggiamento di sistemi informatici e telematici ”.

Successivamente le norme di recepimento sulla Convenzione di Bupadest di cui alla Legge nr.48/08, oltre che modificare il titolato del citato articolo in
“ danneggiamento di informazioni, dati e programmi informatici” , hanno introdotto nell’attuale codice penale, nuove ipotesi di reato inserite nel capo I dedicato ai “Delitti contro il patrimonio mediante violenza alle cose o alle persone”, come qui di seguito indicato:

L’articolo 635bis recita “ salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da 6 mesi a tre anni. Se ricorre la circostanza di cui al numero 1) dal secondo comma del’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena della reclusione da uno a quattro anni e si procede d’Ufficio:”

Art. 635ter. – (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). “ Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni.

Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”.

Art. 635quater. – (Danneggiamento di sistemi informatici o telematici). “ Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”.

Art. 635quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblica utilità). “ Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata”.

Tutte le fattispecie sono aggravate laddove si configurino le circostanze previste dal secondo comma del’articolo 635 anche se, realisticamente, le ipotesi applicabili risulteranno essere:
 

  • Danneggiamento commesso con violenza alla persona o minaccia;
  • Fatto commesso con abuso della qualità di operatore del sistema.


La particolare considerazione della pericolosità sociale insita nel danneggiamento di sistemi informatici e telematici ha fatto sì, invero, che il legislatore abbia previsto che il reato possa essere perseguibile d´ufficio mentre il mero danneggiamento di dati, informazioni e programmi relativi a soggetti privati è punito con la querela della persona offesa. In quest’ultimo caso, occorrerà che il soggetto passivo del fatto illecito si attivi entro tre mesi dalla conoscenza del fatto reato al fine di manifestare la propria volontà a perseguire l’illecito. La nuova normativa ha, inoltre, meglio evidenziato le modalità di “danneggiamento” attraverso cui si configura la fattispecie criminosa includendovi, come già sopra meglio evidenziato, tutta una serie di ipotesi che ampliano, difatti, lo spettro delle fattispecie criminalmente rilevanti.

Alla luce della nuova normativa, inoltre, particolare attenzione è stata dedicata alla soglia di punibilità.

La semplice “condotta” diretta alla commissione del reato, infatti, con eccezione di quanto previsto dall’art. 635 bis, è di per sé già punibile non essendo necessario provare che il comportamento del reo raggiunga lo scopo prefissato, venendo quest’ultimo ad influire solo sulla quantificazione della pena.

Il legislatore anticipa la soglia di punibilità al fine di meglio sottolineare e quindi sanzionare tutta una serie di comportamenti illeciti riscontrati in questi anni.

La previsione di queste nuove forme di reato ha, difatti, annullato qualsivoglia riferimento all’art. 420 del C.P. che faceva riferimento ai reati di “attentati ad impianti di pubblica utilità”. Si è scelto volutamente di codificare autonomamente tutti quei comportamenti delittuosi commessi ai danni di “Enti pubblici o, ad essi pertinenti, o comunque di pubblica utilità”. E’ chiaro che l’attuale normativa ha inteso perseguire tutti quei comportamenti illeciti diretti ad arrecare danno ai sistemi informatici o telematici utilizzati “dallo Stato o da altro Enti pubblici”.

Tali innovazioni hanno esteso la gamma di ipotesi penalmente rilevanti, svincolandole, invero, dai precedenti rigidi schemi punitivi