LA CASSAZIONE ILLUSTRA IL GIRO DI VITE CONTRO I REATI INFORMATICI PREVISTO DALLA LEGGE EUROPEA
di Dario Ferrara
Giro di vite contro gli hacker targato Bruxelles. La stretta contro la criminalità informatica è contenuta nell’ultima legge europea, cioè lo strumento cui ricorre ogni anno il Parlamento per adeguarsi ai principi Ue. E con il restyling del codice penale l’Italia dà seguito alla procedura di infrazione 2019/2033, con la quale la Commissione europea contesta a Roma il non corretto recepimento della direttiva 2013/40/Ue in tema di attacchi contro i sistemi informatici.
A illustrare le modifiche introdotte dalla legge 238/21 interviene la Cassazione con la relazione 20/2022, pubblicata dall’ufficio del massimario. Due i tipi di modifiche: da una parte, sono rimodulate alcune norme incriminatrici, ampliando i comportamenti che integrano le condotte delittuose richieste dalle varie ipotesi di reato. Si tratta in particolare degli articoli: 615 quater («Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici»); 615 quinquies («Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico»); 617 («Cognizione, interruzione o impedimento illeciti di comunicazioni o conversazioni telegrafiche o telefoniche»); 617 bis («Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche»); 617 quinquies («Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche»). Dall’altra, sono incrementati i minimi e i massimi edittali delle pene previste per i reati puniti dagli articoli 615 quater, 617, 617 quater.
Cos’è la criminalità informatica. Si tratta di un fenomeno, chiariscono i magistrati della Suprema corte, che si caratterizza per l’abuso, oppure per l’uso disfunzionale, della tecnologia informatica attraverso un cospicuo numero di tecniche in rapida espansione per attaccare computer, smartphone, tablet e i dati contenuti nei device. La novità è che lo schema dell’illecito penale tradizionale risulta in un certo qual modo scardinato: i concetti di luogo e tempo sono vaghi poiché i delitti che si compiono in rete possono esserne del tutto sganciati. E ciò perché è possibile pianificare e realizzare le attività con interventi programmati senza la necessità che vi sia la presenza fisica di qualcuno davanti a un pc; d’altronde una definizione vera e propria di criminalità informatica manca anche nella convenzione di Budapest che configura il quadro giuridico di rifermento per la lotta contro il cybercrime nell’Unione europea: lo sviluppo della tecnologica è troppo veloce perché sia cristallizzato in una formula.
Le nuove fattispecie. L’articolo 615 quater cp finora ha sanzionato l’appropriazione indebita delle parole chiave e dei codici segreti per accedere ai sistemi. Ora il campo di applicazione della disposizione va oltre la mera protezione delle password. E sono aggiunti nuovi oggetti materiali. Sono indicate come sanzionabili non soltanto la formazione di una copia ma anche la «detenzione, la produzione, l’importazione e la messa a disposizione di altri in altro modo, l’installazione», pure di «apparati, strumenti, parti di apparati o parti di strumenti», oltre che di codici, credenziali o altri mezzi idonei per accedere al sistema informatico e telematico. L’oggetto materiale della condotta, che, beninteso, deve essere tenuta «abusivamente», risulta allora estesa alle apparecchiature che servono per accedere al sistema informatico e a compiere il reato di intercettazione illecita. La pena è innalzata fino a un massimo di due anni di reclusione, in linea con le indicazioni delle autorità eurounitarie agli Stati membri per i casi che non sono di minore gravità. L’articolo 615 quinquies cp punisce la diffusione dei virus, ossia dei programmi che diffusi nei computer danneggiano in modo irrimediabile i programmi residenti, i dati immagazzinati e i sistemi operativi. Ora rientrano nella previsione normativa anche la «detenzione», che prima era ritenuta implicita nelle condotte di diffusione e consegna, oltre che «l’installazione e la messa a disposizione in altro modo» di altri delle apparecchiature e dei dispositivi o programmi. E con «l’installazione» risulta quindi sanzionata la condotta tipica degli hacker. Anche in questo caso la fattispecie è estesa in modo da ricomprendervi le ipotesi di installazione abusiva di un apparecchio informatico. Aumentano le pene previste dall’articolo 617 cp che tutela la libertà e la segretezza delle comunicazioni e punisce tre distinte condotte: la presa di cognizione, l’interruzione e l’impedimento di conversazioni o comunicazioni telefoniche; sale a tre anni di reclusione il minimo edittale per l’ipotesi aggravata e di conseguenza è innalzato a un anno e sei mesi il minimo per la fattispecie base; un’analoga sanzione della reclusione da tre a otto anni, è prevista dall’articolo 635 quinquies, secondo comma, cp per il delitto di danneggiamento di sistemi informatici o telematici di pubblica utilità.
Nessun intervento sulla cornice edittale, invece, per l’articolo 617 bis cp, che punisce l’installazione di apparati o strumenti oggettivamente idonei a intercettare o impedire le conversazioni o comunicazioni telefoniche tra altre persone, diverse dal soggetto agente: da una parte sono specificate le finalità della condotta, aggiungendo ad esempio l’ipotesi di interruzione delle comunicazioni, dall’altra si allarga il catalogo delle condotte, comprendendo la detenzione di apparecchiature in grado di intercettare. Il legislatore, spiegano i magistrati del massimario, ha sentito la necessità di specificare le caratteristiche della condotta: gli obiettivi in origine limitati all’«intercettazione» o all’«impedimento», ora sono indicati in modo più dettagliato nella finalità di «prendere cognizione» della comunicazione, di «impedirla», di «interromperla». Anche alla luce della modifica apportata dalla legge europea deve ritenersi che la fattispecie legale non si concretizzi quando le condotte indicate risultano effettuate per fini sperimentali, di ricerca o per registrare comunicazioni oppure conversazioni di cui è parte l’agente.
Sanzioni incrementate anche per l’articolo 617 quater cp che persegue l’intercettazione, l’impedimento o l’interruzione illecita di comunicazioni informatiche o telematiche. E ciò sia in relazione alla fattispecie base sia per l’ipotesi aggravata: per la prima la nuova cornice edittale va da un anno e sei mesi a cinque anni, contro i sei mesi-quattro anni di prima, per la seconda da tre a otto anni contro gli uno-cinque anni previgenti. Anche la fattispecie di cui all’articolo 617 quinquies cp è ampliata in modo da ricomprendervi la detenzione e la diffusione di strumenti in grado di intercettare. Ma in questo caso nessun intervento sul quadro sanzionatorio sia per la fattispecie base, resta la reclusione da uno a quattro anni, sia per le ipotesi aggravate, carcere da uno a cinque, diversamente da quanto disposto per l’articolo 617 quater cp.
Fonte: