Lezione n. 11 Crimini informatici Crimini informatici Per crimine informatico intendiamo ogni comportamento previsto e punito dal codice penale o da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un elemento determinante ai fini della qualificazione del fatto di reato. Crimini informatici Sulla base di questa definizione, quindi, possono essere individuate tre categorie di crimini informatici: • quelli qualificati tali dal codice penale • quelli previsti da leggi speciali, ad esempio – riproduzione abusiva di software (art. 171 bis lda) – furto di dati personali (codice a protezione dei personali) • quelli riconducibili a fattispecie che si realizzano anche senza l’uso di strumenti informatici ma che assumono portata o aspetti diversi in relazione a tale uso, ad esempio – – – – – Estorsione Furti di dati Furto di identità Reati finanziari ...... I reati informatici previsti dal codice penale articoli Fattispecie 392 cp Esercizio arbitario delle proprie ragioni con violenza su un sw o sistema inf. o tel. 420 cp Danneggiamento e distruzione di sistemi informatici e telematici di pubblica utilità 491 bis cp Falso in documenti informatici 615 ter cp Accesso abusivo ad un sistema informatico o telematico 615 quater cp Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici 615 quinquies cp Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico 616 cp Violazione, sottrazione e soppressione di corispondenza informatica e telematica 617 quater cp Intercettazione, impedimento, o interruzione di comunicazioni informatiche o telematiche 617 quinquies cp Installazione di apparecchiature atte ad intercettare impedire o interrompere comunicazioni informatiche o telematiche 617 sexies cp Falsificazione, alterazione o sopressione del contenuto di comunicazioni inf. o tel. 621 cp Rilevazione del contenuto di documenti segreti informatici 623 bis cp Comunicazioni e conversazioni informatiche: assimilazione 635 bis cp Danneggiamento di sistemi informatici e telematici 640 ter cp Frode informatica Il sistema informatico secondo la giurisprudenza Cassazione Penale Sez. VI n. 3067 14 dicembre 1999 Deve ritenersi sistema informatico, secondo la ricorrente espressione utilizzata nella legge 547/93 che ha introdotto i cosiddetti “computer crimes”, un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche che sono caratterizzate - per mezzo di un’attività di “codificazione” e “decodificazione” - dalla “registrazione” o “memorizzazione” per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente. art. 392 c.p. Esercizio abusivo delle proprie ragioni con violenza sulle cose Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico Esercizio abusivo delle proprie ragioni con violenza sui sistemi informatici (art. 392 cp) Pretore di Torino 15 maggio 1996 Deve ritenersi violenza sulle cose tale da integrare l’elemento della fattispecie di cui all’articolo 392 cp il comportamento del soggetto il quale, al fine di esercitare un preteso diritto di esclusiva per l’installazione e gestione delle componenti di macchinari industriali, altera surrettiziamente il programma di propria produzione, installando sugli stessi un “file” di blocco dati in grado di intervenire automaticamente sul funzionamento del macchinario, rendendolo del tutto inservibile alla scadenza delle date prestabilite. art. 420 c.p. Danneggiamento ad un impianto di pubblica utilità • Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. • La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. • Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena è della reclusione da tre a otto anni Danneggiamento ad un impianto di pubblica utilità Ai fini della sussistenza del reato di attentato a impianti di pubblica utilità, la nozione di impianto indica il complesso di strutture, apparecchi, attrezzature e congegni concorrenti ad uno stesso scopo ed indispensabili per un determinato fine. In tale nozione rientra una centralina telefonica o armadio di distribuzione, avente la funzione di convogliare e smistare, attraverso i congegni e i cavi in essa contenuti, il traffico delle utenze di una determinata area, ai fini del normale svolgimento del servizio telefonico. (Nella specie, è stata ritenuta danneggiamento di impianto di pubblica utilità la manomissione di cavi di una centralina telefonica finalizzata alla perpetrazione di un furto). Cassazione Penale Sez. II, sent. n. 8178 del 12-10-1983 art. 615 ter (estratto) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la reclusione fino a tre anni (...) art. 615-quater (estratto) Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. (...) art. 615 quinquies (estratto) Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni. L’accesso non autorizzato (art. 615 cp) La fattispecie AZ, già socio di FV, nella società XY, gestrice di contabilità per conto terzi, nel 1994 era uscito per intraprendere analoga attività con il commercialista DM, già collaboratore esterno della società. Non avendo ottenuto di poter utilizzare come locatario l’impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore con l’aiuto di VB, programmatore presso la società che aveva concesso in uso il programma di contabilità. La protezione delle misure di sicurezza richiesta dalla legge. Sentenza Cassazione Penale sez. V n. 12732, 7 novembre 2000 1. L’articolo 615 ter comma 1 cp punisce non solo chi si introduce abusivamente in un sistema informatico o telematico ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo. 2. Non si tratta perciò di un illecito caratterizzato dall’effrazione dei sistemi protettivi, perchè altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. 3. Si tratta di un illecito caratterizzato dalla contravvenzione alle disposizioni del titolare, come avviene nella violazione di domicilio. 4. Deve ritenersi che ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l’ingresso stesso nei locali in cui gli impianti sono custoditi. art. 615 ter cp • Con la previsione dell'art. 615-ter cod. pen., introdotto a seguito della legge 23 dicembre 1993 n. 547, il legislatore ha assicurato la protezione del "domicilio informatico" quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia, l'art. 615-ter cod. pen. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello "ius excludendi alios", quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati sia che titolare dello "ius excludendi" sia persona fisica, sia giuridica, privata o pubblica, o altro ente. Cassazione Penale Sez. VI, sent. n. 3067 del 14-12-1999 La detenzione abusiva di codici di accesso (art. 615 quater). La fattispecie Un soggetto si era abusivamente procurato i codici segreti contenuti nella Value Card dell’Omnitel destinati a consentire la ricarica delle Sim Card. Utilizzava tali codici ricaricando le relative schede. La detenzione abusiva di codici di accesso (art. 615 quater). La sentenza Sentenza Tribunale di Torino 30 settembre 2002 Individua la fattispecie di cui all’articolo 615 quater la condotta di colui che si procura abusivamente, al fine di ottenere per sè un profitto o arrecare ad altri un danno, dei mezzi idonei all’accesso ad un sistema telematico protetto da misure di sicurezza, . E’ inapplicabile alla fattispecie la norme di cui all’articolo 615 ter, in quanto manca l’idoneità dei codici digitati dall’imputato all’accesso ad un sistema informatico. La detenzione abusiva di codici di accesso (art. 615 quater). La sentenza Cassazione penale n. 4389 27 ottobre 1998 L’articolo 615 quater si applica anche all’ipotesi di detenzione o di diffusione abusiva delle cosiddette pic-cards, schede informatiche che consentono di vedere programmi televisivi criptati attraverso la decodifica di segnali trasmessi secondo modalità tecniche di carattere telematico. contraria • Non configura il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici ( art. 615-quater c.p.) il possesso di un decodificatore di segnali satellitari e di schede per la ricezione degli stessi (cosiddette "Pic-card" o "Smart-card"), atteso che con tali strumenti non si viola alcun domicilio informatico, protetto da misure di sicurezza, ma si utilizzano irregolarmente servizi di trasmissione o comunicazione ad accesso condizionato, contravvenendo in tal modo alle disposizioni sul diritto d'autore di cui all'art. 6 del D.Lgs. 15 novembre 2000, n. 373, sanzionato solo in via amministrativa prima dell'entrata in vigore della legge 7 febbraio 2003, n. 22. Cassazione Penale Sez. V, sent. n. 22319 del 20-05-2003 Intercettazione, impedimento o interruzioni di comunicazioni art. 617 quater “Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra piu’ sistemi, ovvero le impedisce o le interrompe, e’ punito con la reclusione da sei mesi a quattro anni.” La condotta punita e’ da ravvedere in ogni attivita’ diretta a far cessare una comunicazione informatica o telematica gia’ iniziata (interruzione) ovvero in quella diretta a ostacolare l’inizio della comunicazione (impedimento)”. • e il netstrike? art. 617 quater • Integra il reato di cui all'art. 617-quater cod. pen. la condotta del titolare di un esercizio commerciale che utilizza, mediante un terminale POS in sua dotazione, una carta di credito contraffatta, atteso che il titolare dell'esercizio commerciale è ben legittimato ad usare il terminale POS e l'accesso abusivo genera un flusso di informazioni ai danni del titolare della carta contraffatta diretto all'addebito sul suo conto della spesa fittiziamente effettuata. Cassazione Sez. IV, sent. n. 44362 del 19-11-2003 La frode informatica • articolo 640 ter Chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a lire due milioni. La frode informatica La fattispecie Digitando da un apparecchio telefonico sito in una filiale italiana della società autorizzata all’esercizio della telefonia fissa un numero corrispondente ad un’utenza extraurbana e facendo seguire rapidamente un nuovo numero corrispondente a un’utenza estera, due persone riuscivano ad eludere il blocco del centralino nei confronti di tali telefonate internazionali, così abusivamente introducendosi nella linea telefonica e contestualmente procurandosi ingiusto profitto con danno per la società di esercizio telefonico. Accesso abusivo e frode informatica Giurisprudenza • Cassazione penale Sez. VI n. 3067 14 dicembre 1999 Il reato di frode informatica ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perchè l’attività fraudolenta dell’agente investe non la persona (soggetto passivo) di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Possono formalmente concorrere i reati di accesso abusivo a un sistema informatico e di frode informatica: trattasi di reati totalmente diversi, il secondo dei quali postula necessariamente la manipolazione di un sistema, elemento costitutivo non necessario per la consumazione del primo: la differenza tra le due ipotesi criminose si ricava, inoltre dalla diversità dei beni giuridici tutelati, dall’elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso solo nei riguardi di sistemi protetti, caratteristica che non ricorre nel reato di frode informatica. Accesso abusivo, frode informatica e comunicazione di codici Sentenza Trib. Spoleto 8 giugno 2001 • • • Tizio in concorso con altri e con più atti esecutivi del medesimo disegno criminoso, alterando il funzionamento del sistema informatico di controllo della Telecom Italia S.p.a utilizzava senza diritto a fini di collegamenti informatici e telematici la linea telefonica 167113113 (linea attivata come "numero verde" dal Ministero dell'interno onde ricevere telefonicamente notizie utili in ordine alla cattura del terrorista Magied Yousef Al Molqui) e accedeva gratuitamente alle numerazioni della rete telefonica generale con addebito delle relative chiamate alla Telecom Italia, così occupando la linea telefonica per collegamenti Internet e telematici gratuiti, e quindi procurando a se ed a altri ingiusto profitto 640 ter Tizio in concorso fra loro più volte e nella esecuzione di unico disegno criminoso al fine di procurarsi profitto consistente nella utilizzazione indebita e gratuita dei sistemi informatici e telematici protetti da misure di sicurezza, più volte diffondeva e comunicava codici e parole chiave atti a consentire l'accesso abusivo ai predetti sistemi sostituendosi nella identificazione (user's names e passwords) ai legittimi abbonati. 615 quater Tizio con più atti esecutivi di un medesimo disegno criminoso attraverso il meccanismo della cosiddetta post selezione, accedeva abusivamente al sistema informatico protetto da misure di sicurezza della Telecom Italia, ciò al fine di commettere la frode informatica di cui al capo a) dell'imputazione. 615 ter Danneggiamento a sistemi informatici e telematici • articolo 635 cp (estratto) Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito salvo che il tutto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Danneggiamento a sistemi informatici e telematici • Cassazione Penale n. 1282 13 dicembre 1996 Antecedentemente all'entrata in vigore della legge 23 dicembre 1993 n. 547 (in tema di criminalità informatica), che ha introdotto in materia una speciale ipotesi criminosa, la condotta consistente nella cancellazione di dati dalla memoria di un computer, in modo tale da renderne necessaria la creazione di nuovi, configurava un'ipotesi di danneggiamento ai sensi dell'art. 635 cod. pen. in quanto, mediante la distruzione di un bene immateriale, produceva l'effetto di rendere inservibile l'elaboratore. (Nell'affermare detto principio, la Corte ha precisato che tra il delitto di cui all'art. 635 cod. pen. e l'analoga speciale fattispecie criminosa prevista dall'art. 9 della legge n. 547 del 1993 - che ha introdotto l'art. 635-bis cod. pen. sul danneggiamento di sistemi informatici e telematici - esiste un rapporto di successione di leggi nel tempo, disciplinato dall'art. 2 cod. pen.). La diffamazione on line (art. 595 cp) • Art. 595 cp Chiunque, fuori dai casi indicati all’articolo precedente, comunicando con più persone, offende l’altrui reputazione è punito con la reclusione fino ad un anno o con la multa fino a lire due milioni. (...) Se l’offesa è recata con il mezzo della stampa o con qualsiasi altro mezzo di pubblicità ovvero in atto pubblico, la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a lire un milione. Sentenza Cassazione Sez.III 13-02-2002, n. 2066 Affinchè la divulgazione a mezzo stampa di notizie lesive dell'onore, della reputazione o della riservatezza di terzi possa considerarsi lecito esercizio del diritto di cronaca, devono ricorrere le seguenti condizioni: la verità dei fatti esposti, che può essere oggettiva o anche soltanto putativa, purchè frutto di un serio e diligente lavoro di ricerca, e che è esclusa quando vengano riferiti fatti veri, ma incompleti; l'interesse pubblico alla conoscenza del fatto oggetto della cronaca (c.d. pertinenza); la correttezza dell'esposizione (c.d. continenza). Quest'ultima condizione va intesa sia come correttezza formale, sia come limite sostanziale, individuabile in ciò che è strettamente necessario per soddisfare l'interesse generale alla conoscenza di determinati fatti di rilievo sociale, e che va accertato in base ad un'indagine orientata verso il risultato finale della comunicazione e vertente imprescindibilmente, in particolare, sui seguenti elementi: 1) accostamento di notizie, quando esso sia dotato di autonoma attitudine diffamatoria; 2) accorpamento di notizie che produca un'espansione di significati; 3) uso di determinate espressioni nella consapevolezza che il pubblico le intenderà in maniera diversa o addirittura contraria al loro significato letterale; 4) tono complessivo della notizia e titolazione. La diffamazione in rete Le sentenze • Tribunale di Oristano (ordinanza) 6 giugno 2000 Non sono applicabili alla diffamazione in internet le disposizioni relative alla diffamazione a mezzo stampa o quella di cui all’articolo 30 della legge 223/90 relativo alla diffamazione attuata con il mezzo televisivo. La diffamazione in rete La sentenza • Cassazione 27 dicembre 2000 Il reato di diffamazione si consuma al momento di percezione dello stesso da parte di un soggetto che sia terzo rispetto all’agente ed alla persona offesa per cui, nel caso di diffusione di un messaggio diffamatorio tramite internet, il reato in questione si consuma quando esso è stato concretamente percepito da terzi. Qualora l’immissione del messaggio sia avvenuto all’estero sussiste la giurisdizione del giudice italiano in base alla teoria dell’ubiquità sancita dall’articolo 6 cp in forza del quale si considera commesso nel territorio dello Stato quando sul reato si sia verificata in tutto o in parte l’azione o l’omissione ovvero l’evento che ne sia conseguenza. La diffamazione in rete La sentenza • Tribunale Teramo 6 febbraio 2002 Se manca la prova della effettiva diffusione del messaggio con percezione da parte di più persone, secondo i principi generali del diritto penale, in tale situazione deve ritenersi integrata l'ipotesi del tentativo, in quanto l’imputato con l'apertura del sito e l'inserimento delle notizie e messaggi realizzò una condotta idonea tecnicamente e volta in modo non equivoco a diffonderli.