Cost. considera il domicilio in senso amplissimo comprendendo, al suo interno, anche i
concetti dimora, abitazione o residenza. Di più, l’art. 614 cod. pen. fa riferimento,
espressamente, anche alle “appartenenze di essi”.
Fino al 1993, il legislatore italiano penale non aveva avvertito l’esigenza di
tutelare il domicilio della persona secondo un angolo di visuale che fosse differente da
quello tradizionale. Ciò, nonostante il progressivo diffondersi di nuovi strumenti
attraverso i quali il bene giuridico della persona e della sua riservatezza potessero
essere minacciati e violati.
E’ soltanto in epoca recente, infatti, che il diritto alla libertà del domicilio ha
iniziato a connotarsi di ulteriori aspetti meritevoli di tutela; il domicilio, cioè, non è
stato più inteso solamente in senso fisico, come spazio da proteggere da intrusioni
materiali, ma ha assunto il carattere di uno spazio virtuale nel quale l’individuo
proietta la propria personalità. In tale ambito hanno assunto rilevanza le moderne
tecnologie, il cui impiego ha consentito il dispiegarsi di molteplici aspetti della
personalità individuale, del pari suscettibili di adeguata protezione da parte
dell’ordinamento.3
Tale spazio virtuale è stato definito dalla dottrina4 come “domicilio informatico”
ed ha visto l’apprestarsi di adeguate norme in sua tutela nella legge 23 dicembre
1993, n. 547.
Con tale normativa, l’ordinamento italiano ha iniziato ad adeguarsi alle
indicazioni degli organismi sovranazionali e, principalmente, alla Raccomandazione del
Comitato dei Ministri del Consiglio d’Europa, del 13 settembre 1989,5 la quale,
riferendosi ai reati commessi tramite l'uso di computer, ha fornito ai Parlamenti
nazionali degli Stati membri le linee guida per la definizione di alcune fattispecie di
reati di nuova introduzione.
La tecnica legislativa adottata per disciplinare le fattispecie di nuova
introduzione rispecchia l’opzione per la scelta del metodo evolutivo in luogo di quello
della legge organica, in ragione della omogeneità dei beni, interessi e valori così come
3
Legge n. 547/1993, “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in
tema di criminalità informatica”; Legge n. 48/2008, “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa
sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento interno”.
4
G. PICA, Diritto penale delle tecnologie informatiche, UTET, Torino, 1999, pagg. 61 e seg.; L. MONACO, in
CRESPI – STELLA - ZUCCALÀ, Commentario breve al Codice Penale, III ed., Padova, 1999, sub art. 615 ter., pag.
1736; P. GALDIERI, Teoria e pratica nell’interpretazione del reato informatico, Milano, Giuffré, 1997, pagg. 147 e
seg.; R. BORRUSO, La tutela del documento e dei dati, in BORRUSO, BUONOMO, CORASANITI, D’AIETTI,
Profili penali dell’informatica, Milano, 1994, pag. 28; M. M. ALMA, C. PERRONI, Riflessioni sull'attuazione delle
norme a tutela dei sistemi informatici, in Dir. pen. proc., 1997, pag. 505;
5
Recommendation No. R (89) 9 of the Committee of Ministers to member States on computer related crime (adopted by
the Committee of Ministers on 13 september 1989 at the 428th meeting of Ministers Deputies),
http://www.coe.int/defaultit.asp.
già configurati nel corpus del Codice penale del 1930. All’analisi di tali fattispecie e
all’evoluzione che la disciplina relativa ai reati informatici ha assunto nel corso degli
anni è rivolto il presente lavoro che guarda al domicilio informatico come ad un luogo
virtuale, ad una espansione ideale dell’area di rispetto pertinente al soggetto
interessato nell’ambito della quale l’individuo esplica liberamente la propria
personalità.
Esso può essere considerato come spazio riservato, il cui accesso è limitato alle
sole persone ad esso autorizzate, in quanto coinvolge la sfera di pensiero ed ogni
attività non solo lavorativa dell’individuo6.
Tutelando il domicilio informatico, l’ordinamento riconosce, pertanto, alla
persona (sia essa una persona fisica o una qualsiasi entità costituita in forma
associativa) il diritto di escludere chiunque non sia autorizzato ad accedere ai dati e
alle informazioni contenuti in un sistema informatico o telematico, considerato sia
come singola workstation (computer operante in locale o, come si dice in modalità
standalone), ovvero connesso ad altri computers tramite una rete locale (LAN o local
area network) o, tramite la dorsale internet, a sistemi più aperti. In ciò si configura un
particolare aspetto del c.d. “ius excludendi alios”.7
6
L. CUOMO, R. RAZZANTE, La disciplina dei reati informatici, Giappichelli, Torino, 2007, pag. 90.
7
Cass. Pen., Sez. VI, 4 ottobre 1999, n. 3067, in www.italgiure.giustizia.it.
CAPITOLO II
Il reato di violazione del domicilio informatico nella legge 23 dicembre 1993,
n. 547.
Sommario:
2.1 Ratio e struttura della legge 23 dicembre 1993, n. 547. – 2.2 Aspetti generali del
reato informatico. – 2.3 L’art. 4 della legge n. 547/1993: analisi strutturale dell’art.
615 ter. – 2.4 Il reato di “detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici” (art. 615 quater). – 2.5 Il reato di “diffusione di programmi
diretti a danneggiare o interrompere un sistema informatico (art. 615 quinquies)”. –
2.6 I più recenti sviluppi giurisprudenziali. - 2.7 I virus informatici come sistemi di
intrusione e le moderne metodologie di hacking.
2.1 Ratio e struttura della legge 23 dicembre 1993, n. 547.
Abbiamo già avuto modo di evidenziare come la legge 23 dicembre 1993, n.
547, si ponga in linea con quanto stabilito in ambito internazionale ed in particolare
cerchi di soddisfare i requisiti minimi di tutela richiesti in sede comunitaria.
La sua struttura, con ciò intendendo la tecnica legislativa adottata, e la novità
delle norme ivi introdotte hanno, sin da subito, dato adito in dottrina all’atteggiarsi di
due opposti orientamenti: da un lato, quello di chi ha visto, nella citata legge, il
predisporsi di un nuovo strumento di tutela in riferimento a beni giuridici già ritenuti
meritevoli di tutela e quello di chi, da altro lato, ha visto finalmente riconosciuta una
specifica tutela a quel nuovo bene giuridico che è stato definito “bene giuridico
informatico” o dell’informazione in quanto tale.8
Il primo orientamento è forte di due considerazioni. La prima è relativa al fatto
che la legge 23 dicembre 1993, n. 547, nel distribuire le nuove norme all’interno del
codice penale ricalca la collocazione topografica già disegnata dal legislatore del 1930.
In tal modo, secondo tale orientamento, il legislatore italiano, nel disciplinare i c.d.
computer crimes, sembra aver preferito la scelta sistematica di individuare nuove
modalità di aggressione a beni giuridici già tipizzati nel corpus del codice penale, ed
8
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pag. 33; U. SIEBER, La tutela
penale dell’informazione, in Riv. trim. dir. pen. econ., 1991, pag. 492; V. MILITELLO, Informatica e criminalità
organizzata, in Riv. trim. dir. pen. econ., 1990, pagg. 81 e seg.; L. PICOTTI, La criminalità informatica: profili di
diritto comparato, in Crit. Pen. 1989, pag. 37; M. NUNZIATA, Il delitto di accesso abusivo ad un sistema informatico
o telematico, Ponte Nuovo (BO) 1996, pag. 44.
aver optato pertanto per il metodo evolutivo, in luogo del circoscrivere un nuovo bene
giuridico informatico cui destinare un apposito titolo di normazione (c.d. metodo della
legge organica come operato da altri ordinamenti, quali, ad esempio, quello francese e
quelli di matrice anglosassone).9 La seconda considerazione si riferisce alle
motivazioni fornite dall’esecutivo nella relazione allo schema di disegno di legge
governativo10 poi approvato in Commissione in sede deliberante, senza praticamente
né dibattito, né modifiche, anche per l’imminente scadere della XI legislatura, nelle
quali si legge che la scelta di non dare autonomia sistematica alla nuova materia
sarebbe imposta dalla distinzione tra modalità dell’azione e oggetto della tutela
penale.11
Il secondo orientamento dottrinale, invece, non ritiene soddisfacenti le
motivazioni fornite nella citata relazione e né ritiene rilevante che la scelta del metodo
evolutivo sia, di per sé, indicativa e sufficiente a negare la nuova realtà dell’emersione
del nuovo bene giuridico “informazione” come bene oggetto di tutela penale
autonoma.
Tale orientamento dottrinale, infatti, ritiene che il recepimento o meno di un
nuovo bene meritevole di specifica protezione penale deve essere verificato non sulla
base della collocazione topografica delle norme, né tanto meno sulla loro rubrica o
sulla rubrica del titolo o del capo nel quale sono inserite, ma attraverso l’analisi degli
elementi costitutivi di fattispecie. L’argomento formale (forse sarebbe più corretto dire
“formalistico”) deve, infatti, cedere il passo ad un’indagine sulle singole norme per
tentare di capire se, indipendentemente dalla loro allocazione, ripropongono la tutela
penale di beni tradizionali ad aggressioni commesse con l’uso del computer, o
individuano un nuovo bene meritevole di specifica ed autonoma protezione penale.12
L’ambito all’interno del quale, secondo tale dottrina, è più facile cogliere tale
novità è costituito dall’art. 615 ter cod. pen. che punisce l’accesso abusivo ad un
sistema informatico o telematico. Dall’interpretazione della norma, infatti, si può
rilevare come le condotte di accesso abusivo alla memoria di un computer, con la
possibilità di prendere cognizione di dati ed informazioni, nonché di modificare
operazioni di programma, costituiscano un “novum” assoluto che si caratterizza
proprio per la finalità di proteggere adeguatamente il rapporto che si instaura tra il
soggetto legittimato ad accedere al computer e le informazioni in esso contenute. Se,
9
P. GALDIERI, Teoria e pratica nell’interpretazione del reato informatico, Giuffré, Milano, 1997, pag. 17; vedi anche:
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pag. 41.
10
Doc. Giust., 1991, n. 9, pag. 142.
11
L. PICOTTI, Voce Reato informatico in Enc. Giur. Treccani, Vol XXVI, Roma, 1999, pag. 4.
12
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pag. 42.
da un lato, si vogliono evitare intrusioni indesiderate, dall’altro, la norma mira a
garantire il pacifico godimento delle informazioni, anche sotto il profilo della loro
comunicazione e circolazione. In tale prospettiva, i beni tradizionali del patrimonio o
del segreto industriale o della segretezza della posta elettronica o del corretto
funzionamento delle funzioni pubbliche regolate dalle operazioni di sistemi informatici,
etc., sarebbero solo indirettamente tutelati, come conseguenza della tutela del bene
“informazione”.13
Altro orientamento dottrinale,14 più vicino alla posizione di chi considera la
nuova disciplina come volta a tutelare beni giuridici di nuova emersione e che non
ritiene, nel contempo, possa costituirsi una nozione unitaria di domicilio, stante la
impossibilità di assimilare il sistema informatico o telematico ai luoghi previsti dall’art.
614 (abitazione, privata dimora e loro appartenenze), è quello che vede, nella legge
n. 547/1993, un provvedimento rivolto alla tutela della c.d. “riservatezza informatica”
e della “integrità e sicurezza informatica”, del pari considerati come “nuovi” beni
meritevoli di autonoma normazione. Tale esigenza di tutela della riservatezza tende,
cioè, ad ampliarsi nella previsione della legge n. 547/1993 ed a connotarsi sempre più
come diritto fondamentale della persona cui ha riguardo l’art. 2 Cost.
In altri termini, accanto alle fattispecie tradizionali di cui agli artt. 614 e 615,
disciplinanti la libertà domiciliare in senso stretto, il legislatore avrebbe, secondo tale
dottrina, opportunamente inserito gli artt. 615 ter, quater e quinquies con lo specifico
intento di creare nuove forme di tutela. Quindi, da un lato, i primi due articoli tutelano
il bene giuridico della libertà di domicilio, intesa come libertà domestica capace di
assicurare la salvaguardia dello spazio individuale e di evitare interferenze arbitrarie e
non desiderate, mentre, dall’altro, i restanti tre articoli andrebbero a tutelare il bene
giuridico della riservatezza domiciliare.15
Altra teoria16 che condivide con la precedente l’assunto della non omogeneità
del concetto di domicilio informatico con quello di domicilio ex art. 614 cod. pen., è
quella che considera la fruizione indisturbata del sistema informatico assimilabile alla
tutela del pacifico godimento della proprietà fondiaria, ex art. 637 cod. pen. (in
riferimento all’ingresso abusivo nel fondo altrui). Secondo tale teoria, il concetto di
domicilio informatico non costituirebbe un ampliamento della nozione di domicilio, così
come delineata dall’art. 614 cod. pen., proprio perché il sistema informatico non può
13
D. PETRINI, Op. cit., pag 43.
14
F. ANTOLISEI, Manuale di diritto penale, parte speciale, I, 13^ edizione, Milano, 1999, pagg. 221 e seg.
15
R. GAROFOLI, Manuale di diritto penale, Parte speciale II, Giuffré, Milano, 2005, pag. 195.
16
F. BERGHELLA, R. BLAIOTTA, Diritto penale dell’informatica e beni giuridici, in Cass. Pen., 1995, pag. 2329.
essere assimilato ad uno dei luoghi privati riconducibili alla nozione di domicilio
rilevante per il codice penale.
Tale orientamento dottrinale, pertanto, nel ricondurre sotto il comune
denominatore dello schema proprietario, inteso come signoria sulla res, sia il bene
protetto dall’art. 615 ter e sia quello di cui all’art. 637 cod. pen., afferma che la norma
posta dall’art. 615 ter tutela l’indisturbata fruizione del sistema informatico, così come
la norma di cui all’art. 637 tutela il titolare del fondo dall’ingresso abusivo,
proteggendolo da ogni possibile turbativa.
2.2 Aspetti generali del reato informatico.
Il reato informatico (o computer crime) è una nozione che, intesa in senso
generale, ricomprende al suo interno tutte quelle condotte, individuate in specifiche
fattispecie, che comportano per il loro estrinsecarsi il necessario impiego dello
strumento informatico.
Il reato informatico è stato, cioè, tipizzato dal legislatore il quale ha circoscritto
non solo i suoi elementi oggettivi, caratterizzanti, ma ha anche individuato i criteri di
imputazione soggettiva ed ogni altro requisito capace di influire sulle conseguenze
giuridico – penali.
Il reato informatico, come genus, può configurarsi sia come reato d’azione che
come reato d’evento.17 La condotta del soggetto attivo, infatti, che realizza il fatto
tipico, può consistere sia in un’azione diretta ad un “facere” dal quale non deve
necessariamente scaturire un evento dannoso per il soggetto passivo (ad esempio, la
sola intrusione nel domicilio informatico altrui), sia in un’azione diretta a realizzare un
evento concettualmente separabile dall’azione stessa ed a questa legato da un nesso
di causalità (distruzione di un programma informatico a seguito di introduzione
abusiva nel sistema).
Il comportamento del soggetto attivo, inoltre, può integrare sia una condotta
commissiva, sia una condotta omissiva, a seconda se esso si estrinsechi in un agire
positivo o in una omissione18.
Il reato informatico, in generale, si configura come un reato a forma libera (o
causale puro) non specificando, il legislatore, le modalità di produzione del risultato
lesivo. Ciò consente una copertura legislativa più ampia del bene giuridico oggetto di
17
G. FIANDACA, E. MUSCO, Diritto penale, Parte Generale, Zanichelli, Bologna, 2005, pagg. 173 - 174.
18
G. FIANDACA, E. MUSCO, Op. cit. pagg. 174 - 175.
protezione, non essendo previste all’interno delle diverse fattispecie tutte le possibili
modalità di aggressione al bene stesso.
La poliedricità del reato informatico fa sì, inoltre, che esso si configuri sia come
reato c.d. “istantaneo” e sia come reato c.d. “permanente”.19
Ciò in quanto è possibile che la realizzazione del fatto tipico integri ed esaurisca
l’offesa (un virus informatico può, nel momento in cui entra in contatto con di files di
sistema, danneggiare ipso facto il contenuto dell’hard disk), ovvero che l’agente non si
limiti ad instaurare e nel contempo ad esaurire la situazione antigiuridica (l’intrusione
nel sistema a fini di danneggiamento) ma la protragga ad insaputa del soggetto
passivo persistendo nella condotta lesiva (ad esempio, è ben possibile creare,
sfruttando un c.d. bug (o falla) del sistema informatico, una c.d. backdoor (o porta di
servizio) tramite la quale persistere nella violazione dell’altrui sistema; il concetto di
permanenza si configura, altresì, nel momento in cui, una volta che si è acceduto
regolarmente ad un sistema informatico, il soggetto protragga tale situazione di
accesso ed ometta di uscirne trascorso un termine consentito.
E’ il caso di sottolineare che dal reato permanente la dottrina distingue il reato
“abituale” caratterizzato dalla reiterazione intervallata nel tempo della stessa condotta
lesiva.20
Dalla lettura dell’incipit delle diverse fattispecie relative ai reati informatici,
introdotte nel Codice penale dalla legge 23 dicembre 1993, n. 547, o da questa
modificate, emerge la configurazione del reato informatico come reato comune. Il
pronome personale “chiunque” impiegato all’inizio delle diverse fattispecie
incriminatici, infatti, non fa riferimento ad una specifica qualificazione giuridica
dell’agente e, pertanto, non ne definisce l’autore, pur prevedendo, il legislatore
specifiche circostanze aggravanti.
Il reato informatico, inoltre, non necessariamente presuppone l’intenzione
dell’autore di arrecare danno al sistema, ovvero di violare la privacy dell’individuo
carpendo informazioni personali o che attengono all’attività lavorativa del soggetto. E’
per questo motivo che esso si configura come un reato di pericolo o di semplice
lesione potenziale; ciò che il legislatore valuta sfavorevolmente e punisce penalmente
è il rischio potenziale di un accesso abusivo ad un sistema informatico a prescindere
dal successivo intervento dannoso sul sistema o sulle informazioni contenute in
esso.21
19
G. FIANDACA, E. MUSCO, Op. cit. pagg. 175 - 176
20
G. FIANDACA, E. MUSCO, Op. cit. pag. 177.
21
G. FIANDACA, E. MUSCO, Op. cit. pagg. 179 - 180.
Nel caso del reato di accesso abusivo ad un sistema informatico o telematico,
ad esempio, il momento consumativo del reato, si verifica all’atto stesso dell’accesso
non autorizzato, risultando irrilevante l’effettiva presa di coscienza del contenuto delle
informazioni contenute nel sistema stesso o il semplice intervento dannoso.
Tornando alla struttura del reato informatico come reato d’evento, è opportuno
evidenziare che ove la fattispecie penale descriva un reato così configurato è
necessario, al fine della imputabilità della condotta al soggetto e prima di determinare
l’incidenza dell’elemento soggettivo, individuare il c.d. “rapporto di causalità” che
nell’odierna esperienza giuridica sappiamo porsi su due piani: quello naturalistico e
quello normativo.
Pur non volendo operare una digressione analitica delle diverse teorie sulla
causalità, che nel tempo hanno fornito importanti contributi dottrinari, è opportuno
rilevare che il primo piano dell’analisi prende in considerazione la relazione di tipo
fisico che deve sussistere tra una condotta ed un evento; una volta individuato tale
c.d. “nesso di condizionamento”, è necessario verificare, successivamente, se tale
nesso possa assumere valenza tecnico giuridica di causalità rilevante da un punto di
vista penale; è questo il secondo piano dell’analisi c.d. della imputazione oggettiva.22
Del rapporto di causalità in senso meramente fisicistico ci rende edotti l’art. 40,
laddove è sancito che “nessuno può essere punito per un fatto preveduto dalla legge
come reato, se l’evento dannoso o pericoloso, da cui dipende la esistenza del reato,
non è conseguenza della sua azione od omissione”.
Meno chiaramente, con una formula di non agevole lettura, l’art. 41, secondo
comma, pone all’interprete l’obbligo di verificare se, all’interno di un nesso causale di
condizionamento già accertato, vi siano delle condizioni che, seppur in grado, per sé
stesse, di produrre l’evento siano da considerare penalisticamente irrilevanti. Recita il
secondo comma dell’art. 41: “Le cause sopravvenute escludono il rapporto di causalità
quando siano state da sole sufficienti a determinare l’evento.” Con tale norma, il
legislatore italiano ha inteso temperare le conseguenze derivanti da una meccanica
applicazione della formula della condicio si ne qua non, nei casi caratterizzati da un
decorso causale atipico. Il disposto dell’art. 41, secondo comma, ha dato adito, in
dottrina, a numerosi contributi interpretativi con i quali si è cercato di individuare, per
l’appunto, soluzioni adeguate ai casi di reati c.d. “aggravati dall’evento”.
22
Cfr. G. FIANDACA, E. MUSCO, Op. cit., Parte II, Il reato commissivo doloso, Cap I, Tipicità, Par. 13°, La recente
teoria dell’imputazione obiettiva dell’evento, pagg. 218 e seg.
Secondo un’autorevole opinione,23 per poter affermare l’esistenza del rapporto
di causalità è necessario che si combinino insieme due elementi:
- uno positivo; che il soggetto abbia posto in essere una condotta che abbia i
caratteri della condicio si ne qua non, cioè una condizione senza la quale
l’evento non si sarebbe verificato;
- uno negativo; che nella serie causale non si combinino cause sopravvenute
capaci da sole a determinare l’evento. Tali cause sono quelle c.d. “meramente
occasionali” che, cioè, presentano una minima possibilità di verificazione e
che, pertanto, collocandosi al di fuori della sfera di dominio dell’uomo, non gli
sono addebitabili.
In epoca più moderna, grazie all’elaborazione dogmatica tedesca, si è cercato
di individuare differenti parametri di attribuzione “giuridica” della responsabilità, ulteriori a
quelli condizionalistici e di natura non strettamente causale.
Essi sono fondamentalmente due: quello c.d. dell’aumento del rischio e quello c.d.
dello scopo della norma violata.
Secondo il primo, l’imputazione obiettiva dell’evento presuppone, oltre al nesso
condizionalistico, che l’azione posta in essere abbia aumentato la possibilità di verificazione
dell’evento dannoso; sarebbero, pertanto, irrilevanti le condotte che non comportano un
pericolo disapprovabile o che non aumentino le chances di verificazione dell’evento lesivo.
In base al secondo criterio, invece, l’imputazione della responsabilità verrebbe
meno ogni qualvolta il fatto che si è verificato, pur essendo casualmente riconducibile alla
condotta dell’autore, non costituisce concretizzazione dello specifico rischio che la norma
tende a prevenire.
Nella costruzione teorica della struttura del reato, secondo la teoria c.d.
“tripartita”, che è la teoria maggioritaria in dottrina,24 accanto all’elemento del fatto
tipico occorre prendere in considerazione l’ulteriore elemento della c.d.
“antigiuridicità” che sappiamo porsi non solo su di un piano meramente penale ma
anche generale.
In altri termini, per poter considerare un fatto come reato non è sufficiente che
lo stesso sia qualificato come tale dal legislatore, attraverso la previsione di un
apposita fattispecie, ma è altresì fondamentale che il fatto sia antigiuridico alla luce di
altri principi generali forniti dall’ordinamento quali, ad esempio, le c.d. “scriminanti” o
23
F. ANTOLISEI, Manuale di diritto penale, Parte generale, Giuffré, Milano, 1994, pagg. 221 e 222.
24
Tra i sostenitori della teoria tripartita del reato si ricordano, oltre a FIANDACA e MUSCO, MANTOVANI,
DELITALA, MAGGIORE, PETROCELLI, ALIMENA e BETTIOL.
cause di giustificazione che impediscono che un fatto sia qualificabile alla stregua di
un illecito.25
Ad esempio, l’accesso abusivo ad un sistema informatico o telematico non è
ravvisabile qualora vi sia il preventivo consenso del titolare dei dati contenuti nel
sistema stesso (l’accesso non sarebbe ovviamente abusivo); tale causa di
giustificazione (o scriminante) è disciplinata nel codice penale all’art. 50, rubricato
appunto “consenso dell’avente diritto”.
Da ultimo, elemento fondamentale nella costruzione della teoria tripartita del
reato è quello della c.d. “colpevolezza” che si riferisce alla relazione di ordine
psicologico che deve sussistere tra il fatto oggettivo ed il suo autore.
Il collegamento di ordine psicologico si costruisce, in teoria generale, secondo
tre profili: quello del dolo, quello della colpa e quello della preterintenzione.
Poiché il reato informatico è stato configurato dal legislatore come un reato
commissivo doloso è opportuno focalizzare l’attenzione sull’elemento psicologico del
dolo nei suoi diversi aspetti semantici.
L’art. 42, secondo comma, cod. pen. recita che: “Nessuno può essere punito
per un fatto preveduto dalla legge come delitto, se non l'ha commesso con dolo, salvi i
casi di delitto preterintenzionale o colposo espressamente preveduti dalla legge” e
l’art. 43, primo comma, dispone che: “il delitto è doloso, o secondo l'intenzione,
quando l'evento dannoso o pericoloso, che è il risultato dell'azione od omissione e da
cui la legge fa dipendere l'esistenza del delitto, è dall'agente preveduto e voluto come
conseguenza della propria azione od omissione”.
Secondo la definizione legislativa, dunque, la nozione di dolo si incentra su tre
elementi: previsione, volontà ed evento (dannoso o pericoloso). I primi due elementi
hanno natura strutturale in quanto indicano le componenti che caratterizzano il dolo
come fenomeno psicologico. Il terzo elemento attiene, invece, all’oggetto che deve
riflettersi nella rappresentazione e nella volizione.26
Il dolo può presentare un’intensità diversa, in rapporto al rispettivo grado di
consistenza della componente rappresentativa e/o volitiva: di tale graduazione deve
tener conto il giudice ai fini della commisurazione della pena, posto che l’art. 133 cod.
pen. rapporta la gravità del reato (tra l’altro) all’intensità del dolo.
Una distinzione diffusa e rilevante nella prassi è quella tra dolo generico e dolo
specifico. Il primo corrisponde alla nozione tipica del dolo, nel senso che esso consiste
nella coscienza e volontà di realizzare gli elementi costitutivi del reato: caratteristica
25
G. FIANDACA, E. MUSCO, Op. cit., pag. 163.
26
G. FIANDACA, E. MUSCO, Op. cit., pag. 314.
del dolo generico è la congruenza tra volontà e realizzazione, cioè è necessario che il
contenuto del volere trovi attuazione nella realtà (almeno a livello di tentativo).27
Il dolo specifico, invece, consiste in uno scopo o in una finalità particolare e
ulteriore che l’agente deve prendere di mira, ma che non è necessario si realizzi
effettivamente perché il reato si configuri.
Nel reato informatico, se da un lato ricorre abitualmente il dolo generico, da
altro lato non sono infrequenti fattispecie che richiedono che il fatto tipico integri una
componente intenzionale aggiuntiva; ad esempio, l’art. 615 quater cod. pen., nel
momento in cui disciplina il reato di detenzione e diffusione abusiva di codici di
accesso a sistemi informatici o telematici, punisce chiunque lo faccia “al fine di
procurare a sé o ad altri un profitto o di arrecare ad altri un danno”.
Al pari di ogni altro elemento costitutivo della fattispecie, il dolo deve essere
provato. L’indagine del giudice, considerando la difficoltà di argomentare su di un
elemento di carattere psicologico, quindi interno al soggetto, deve pertanto tenere
conto di tutte le circostanze che possano assumere un valore sintomatico ai fini
dell’esistenza della volontà del colpevole. Ciò significa che, in concreto, la prova
dell’esistenza del dolo può essere desunta da tutte le modalità estrinseche alla
condotta, dallo scopo perseguito dall’agente, nonché dal comportamento tenuto dal
colpevole dopo la commissione del fatto.
Il dolo deve sempre costituire oggetto di accertamento e non può essere
presunto nella commissione di un fatto, salvo ammetterne la prova contraria, (c.d.
dolus in re ipsa).
Sempre nell’ambito di un’analisi preliminare degli aspetti comuni al reato
informatico, è da rilevare che un altro tema sul quale si è dibattuto in passato in
dottrina e sul quale solo recentemente è stata fatta chiarezza da parte del legislatore
riguarda l’atteggiarsi della responsabilità penale del provider e cioè del fornitore di
accesso alla rete, inteso anche come fornitore di servizi o di contenuti accessibili via
web, per i reati commessi on line attraverso i propri server.
Il tema della responsabilità penale del provider, infatti, ripropone la discussione
dogmatica sulle diverse tipologie della condotta, sia essa attiva, ovvero omissiva
propria o omissiva impropria, del gestore dei servizi, per omesso controllo o omesso
impedimento della commissione di reati.28
Difatti, se da un lato il fatto di predisporre delle strutture che offrano
connettività in rete, quindi di veicolare le informazioni, costituisce libero esercizio di
27
G. FIANDACA, E. MUSCO, Op. cit., pag. 332.
28
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pag. 123
un’attività privata lecita, dall’altro ben potrebbe, il gestore dei servizi, integrare delle
condotte illecite proprio attraverso il tramite delle proprie linee di comunicazione; tale
forma di responsabilità non potrebbe che ricondursi ad una condotta attiva dell’agente
e, pertanto, non potrebbe non configurare una responsabilità penale a titolo di azione.
Nondimeno, un omesso controllo o una mancata rimozione delle informazioni
nocive transitate o residenti presso il server potrebbe, qualora ne fosse disciplinata la
condotta, ben integrare una responsabilità di tipo omissivo proprio, mentre non
sembra agevole, secondo un orientamento dottrinale29, estendere al gestore dei
servizi la categoria dogmatica della responsabilità omissiva impropria, giacché la
maggior parte dei reati commessi on line sono descritti come fattispecie di mera
condotta, a carattere istantaneo, le quali, non tutelando beni primari quali la vita o
l’integrità fisica, rendono problematica l’applicazione della clausola di equivalenza di
cui all’art. 40, secondo comma, cod. pen.: “Non impedire un evento, che si ha
l’obbligo giuridico di impedire, equivale a cagionarlo”.
In tema di responsabilità omissiva impropria del gestore di servizi, il Tribunale
di Milano, nel 2004, ha avuto modo di riaffermare proprio il principio sopra
menzionato, argomentando che per sostenere una responsabilità a titolo di omissione
del service o host provider (che consente all’utente finale il collegamento ad internet)
per il fatto illecito del content provider (autore materiale dell’immissione in rete di dati
illeciti) occorrerebbe affermare, a suo carico, un obbligo giuridico di impedimento della
condotta illecita del content provider e, quindi, una sua posizione di garanzia,
unitamente alla possibilità effettiva di controllo preventivo sul contenuto dei dati.30
Per quanto riguarda l’aspetto della responsabilità omissiva propria, il nostro
ordinamento non prevede ipotesi che si riferiscano e, quindi, disapprovino l’omesso
controllo dei dati che transitano sulle linee del provider, nonché la loro mancata
rimozione in caso di memorizzazione sul server. In tal senso si è espresso anche il
D.Lgs. 9 aprile 2003, n. 70, che ha attuato nel nostro ordinamento la direttiva
europea sull’e-commerce, concernente, tra altro, alcuni fondamentali principi in ordine
alla temporanea o prolungata memorizzazione di dati ed informazioni presso i gestori
di servizi di rete. Con tale provvedimento, il legislatore ha individuato tre tipologie di
transito dei dati all’interno del server che possono consistere in:
(A) un’attività di mero trasporto degli stessi (mere conduit), art. 14;
(B) un’attività di memorizzazione temporanea (caching), art. 15;
(C) un’attività di memorizzazione permanente (hosting), art. 16.
29
D. PETRINI, Op. cit., pag. 125.
30
Trib. Milano, 25 febbraio 2004, in Foro Ambrosiano, 2004, pag. 181.
Ebbene, per tutte e tre le tipologie di traffico di dati suindicate il legislatore non
ha previsto responsabilità di alcun genere (neppure amministrative) a carico del
provider, sempreché vengano rispettate determinate condizioni espressamente
indicate; ad esempio, il prestatore di servizi non deve esso stesso dare origine alla
trasmissione dei dati, ovvero selezionare il destinatario della trasmissione o anche
modificarne anche in minima parte il contenuto.
La ragione per la quale al gestore di servizi non è imputata alcuna forma di
responsabilità, nei limiti delle condizioni specificate di volta in volta negli articoli di
normazione, è da rinvenire in una molteplicità di fattori31.
Innanzitutto, è da rilevare che mal si attaglia ad un ente di tipo privatistico (il
provider) l’attribuzione di responsabilità che hanno, per loro natura, un carattere
eminentemente pubblicistico.
In secondo luogo, non è da sottovalutare il fatto che un controllo totale delle
informazioni veicolate o residenti sul server è pressoché impossibile da realizzare dati,
da un lato, gli alti costi di gestione che tale attività potrebbe comportare e, dall’altro,
considerando l’illegittimità di tale comportamento nel caso in cui il controllo debba
essere riferito alla corrispondenza riservata.
In terzo luogo, anche la previsione di un obbligo in capo al gestore di servizi di
rimuovere il materiale illecito presente sul server pone evidenti problemi in ordine alla
prova dell’elemento soggettivo del dolo, cioè della conoscenza, da parte del provider,
non solo della presenza di tale materiale nelle proprie strutture di rete, ma anche della
loro illiceità.
In quarto luogo, ulteriori problemi in ordine all’attribuzione di una responsabilità
in capo al provider, sorgono anche laddove si cerchi di assimilare la gestione di un
servizio di accesso alla rete alla gestione di una testata giornalistica che, del pari,
pubblica contenuti. Conseguentemente, non è estensibile al provider la responsabilità
che, invece, grava nei confronti del direttore del giornale in ordine alle notizie ivi
pubblicate32.
In assenza di norme penali specifiche, pertanto, ogni responsabilità dei gestori
della rete per omesso controllo è da escludere in virtù del divieto di applicazione
analogica delle norme penali in malam partem.
La Convenzione di Budapest del 23 novembre 2001, ratificata in Italia con la
legge n. 48/2008 ha, in questo ambito, fornito un contributo essenziale circoscrivendo
alcune regole generali per i gestori dei servizi di rete.
31
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pagg. 180 e seg.
32
L. CUOMO, R. RAZZANTE, La disciplina dei reati informatici, Giappichelli, Torino, 2007, pag. 29.
In particolare, la Convenzione ha istituito alcuni importanti obblighi di
collaborazione del provider; difatti, gli Stati membri devono, a norma della
Convenzione, adottare le misure necessarie per consentire che i fornitori di servizi
raccolgano e registrino i dati sul traffico, oppure collaborino con le autorità competenti
nella fase delle indagini dell’autorità giudiziaria. In relazione a fatti particolarmente
gravi, si dovrà, poi, provvedere affinché il provider sia obbligato non solo a raccogliere
ed a registrare i dati relativi al traffico ma anche quelli relativi alle comunicazioni
riservate.
Tali misure si sono tradotte, in riferimento all’ordinamento nazionale, in
modifiche all’art. 132 del Codice in materia di protezione dei dati personali, di cui al
D.Lgs. 30 giugno 2003, n. 196.
L’art. 10 della legge n. 48/2008, al comma 4 ter, difatti ha disposto, tra altro,
che il Ministro dell’Interno o, per sua delega, i responsabili degli uffici centrali
specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei
carabinieri e del Corpo della guardia di finanza, nonché altri soggetti appositamente
indicati, possono ordinare ai fornitori e agli operatori di servizi informatici o telematici
di conservare e proteggere, secondo le modalità indicate e per un periodo non
superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i
contenuti delle comunicazioni, ai fini dello svolgimento di investigazioni preventive,
ovvero per finalità di accertamento e repressione di specifici reati.
Si può osservare, che gli obblighi del provider, pertanto, si traducono,
nell’attuale quadro normativo, in un dovere di collaborazione con le autorità nella fase
della repressione di ogni sorta di attività illecita.33
A corollario di una disamina di quelli che sono gli aspetti che afferiscono ad una
trattazione generale del reato informatico, e prima di addentrarci nell’analisi
approfondita delle fattispecie di reato che tutelano il domicilio informatico, oggetto di
studio del presente lavoro, è opportuno trattare, da ultimo, l’argomento del c.d. “locus
commissi delicti” che, nella materia in discussione assume una rilevanza del tutto
peculiare; ciò in quanto i reati commessi attraverso l’impiego delle moderne tecniche
di comunicazione a distanza non consentono un’ agevole adattamento dei principi che
presiedono all’applicazione della legge penale nello spazio, così come codificati dal
legislatore penale del 1930.34
33
L. CUOMO, R. RAZZANTE, Op cit., pag. 37.
34
D. PETRINI, La responsabilità penale per i reati via internet, Jovene, Napoli, 2004, pag. 238.