ADIR - L'altro diritto

ISSN 1827-0565

Capitolo III
L'approccio normativo alla criminalità informatica

Federico Tavassi La Greca, 2003

Sommario: 1. Introduzione. - 2. La legge n. 547 del 1993, tra necessità ed occasioni perdute. - 2.1 Gli ambiti di intervento. - 3. Hacking e criminalità informatica. - 4. Il reato di accesso abusivo a un sistema informatico o telematico (Art. 615 ter c.p.). - 4.1. Mero accesso abusivo: pericoli e dubbi. - 4.2. Bene giuridico e struttura del reato. - 4.3. Il "domicilio informatico". - 4.4. La messa in pericolo della integrità dei dati e dei sistemi informatici. - 4.5. La messa in pericolo della riservatezza dei dati contenuti nel sistema. - 4.6. La duplice funzione dell'art. 615 ter. - 4.7. Il furto di dati. - 4.8. Sulle misure di sicurezza in particolare. - 4.9. L'introduzione abusiva. - 4.10. L'introduzione abusiva da parte di una persona legittimata all'uso del sistema. - 4.11. La permanenza non autorizzata. - 4.12. Le circostanze aggravanti. - 4.13. Il dolo. - 4.14. Luogo di consumazione del reato. - 5. Il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici (Art. 615 quater). - 5.1. Il reato di detenzione e diffusione abusiva di codici di accesso come reato di pericolo indiretto. Dubbi di legittimità costituzionale. - 5.2. Mezzi di accesso ed ambito di applicazione della fattispecie. - 5.3. Le diverse modalità per procurare a se stessi o ad altri i mezzi idonei a realizzare un accesso abusivo. Il problema della mera detenzione. - 6. I reati di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (Art. 617 quater) e di installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (Art. 617 quinquies). - 6.1. Il bene giuridico. - 6.2. La nozione di comunicazione informatica o telematica. - 6.3. Le condotte previste dall'art. 617 quater. - 6.4. Dolo e circostanze aggravanti. - 6.5. Art. 617 quinquies. - 6.6. Il netstrike. - 7. Il reato di falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (Art. 617 sexies). - 7.1. Condotta e dolo. - 8. La tutela giuridica dei programmi per elaboratore.

1. Introduzione

Lo sviluppo delle nuove tecnologie nel campo dell'informatica e della telematica e l'utilizzazione sempre più intensa ed estesa di impianti di elaborazione e trasmissione elettronica dei dati, hanno determinato, in molti settori di rilevante interesse sociale (1), la nascita di nuove figure di illeciti. Tali condotte hanno convenzionalmente assunto la denominazione di computer crimes essendo, in prima approssimazione, tutte accomunate dall'uso degli elaboratori elettronici.

La necessità di un intervento volto a regolare comportamenti socialmente dannosi o pericolosi legati alle nuove tecnologie era stata avvertita con una certa apprensione fin dai primi anni ottanta sì da indurre numerosi Stati, sia europei (ad esempio, Danimarca, Norvegia, Austria, Francia) che extraeuropei (ad esempio, Stati Uniti, Australia, Canada, Giappone) (2), a dotarsi di una specifica legislazione penale. Un rapido sguardo al panorama internazionale mostra, quindi, come il nostro legislatore si sia mosso con un certo ritardo, avendo posto (o tentato di porre) rimedio alle lacune esistenti nell'ordinamento giuridico solo alla fine del 1993 con la legge 23 dicembre n. 547 ("Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica" (3)). Invero, prima dell'introduzione di detta legge, in Italia, alcuni sporadici interventi settoriali avevano interessato, in maniera più o meno diretta, questa materia: è il caso della legge 18 maggio 1978 n. 191, con la quale era stato introdotto nel codice penale l'art. 420 che, nel sanzionare l'attentato ad impianti di pubblica utilità, menzionava espressamente anche gli impianti di elaborazione di dati (norma oggi integralmente sostituita dall'art. 2 della legge 547) o della legge 1º aprile 1981 n. 121, contenente il "Nuovo ordinamento dell'Amministrazione della Pubblica Sicurezza", istitutiva di un Centro di elaborazione dati presso il Ministero dell'Interno e rappresentativa della prima forma di tutela di dati archiviati in un sistema informatico (4). Altre disposizioni relative a reati informatici sono state, invece, emanate solo negli anni novanta: così, ad esempio, l'art. 12 della legge 5 luglio 1991 n. 197 che punisce l'uso indebito di carte di credito o l'art. 10 del decreto legislativo n. 518 del 1992 che tutela penalmente una serie di condotte riassuntivamente definibili di "pirateria informatica" (5) (decreto aggiornato, negli importi delle sanzioni pecuniarie, dal d. lgs. 205/96 e successivamente modificato dalla legge n. 248 del 2000), fino ad arrivare ad atti normativi più recenti, a tutela della privacy e delle banche di dati, rappresentati dalla legge n. 675 del 1996 ("Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali") (6) e dal decreto legislativo n. 169 del 1999 ("Attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati") (7), nonché a tutela dei minori contro la pornografia infantile su Internet (l. 3 agosto 1998, n. 269, "Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno dei minori, quali nuove forme di riduzione in schiavitù").

In tema di criminalità informatica, e nonostante siano passati molti anni dalla sua entrata in vigore, la legge n. 547 del 1993 conserva un ruolo centrale. Nel proseguo della mia esposizione cercherò di inquadrare il contesto politico-giuridico che ne ha sollecitato l'introduzione e di indicare come il legislatore abbia tentato di risolvere le problematiche che la materia ha posto. Prenderò quindi in considerazione le disposizioni, di diritto sostanziale e processuale, di cui si compone la normativa per, infine, approfondire l'analisi solo di quelle fattispecie che più da vicino interessano il mondo degli hackers. Occorre comunque fin d'ora ricordare come, tra le tante disposizioni penali che oggi presidiano l'uso delle tecnologie informatiche, assume un particolare rilievo, per gli aspetti che qui interessano, la citata disciplina a tutela dei programmi per elaboratore. Tale disciplina, invero, nelle sue previsioni penali, non può essere applicata a condotte realizzate da hackers, riferendosi espressamente a finalità ("lucro", oggi "profitto") incompatibili con l'etica della libera condivisione delle informazioni. Merita peraltro di essere approfondita, rappresentando, la lotta al copyright, elemento distintivo caratteristico dell'underground informatico.

2. La legge n. 547 del 1993, tra necessità ed occasioni perdute

Il periodo che aveva preceduto l'approvazione della legge n. 547, aveva visto parte della dottrina e della giurisprudenza tentare di ricondurre le nuove figure criminose a fattispecie tradizionali. Il problema non si poneva tanto in relazione alla parte fisica del sistema informatico (hardware), che poteva trovare facile riconoscimento nelle ipotesi classiche del danneggiamento, del furto, ecc., quanto piuttosto, ed in primo luogo, per le truffe commesse attraverso l'elaboratore nonché per la tutelabilità del software e del complesso di dati ed informazioni contenute nel sistema informatico stesso.

Per quanto riguarda le truffe a mezzo computer, già nei primi anni ottanta si erano manifestate condotte che avevano per oggetto quelli che all'epoca erano i più diffusi sistemi di elaborazione e di trasmissione dei dati ovvero i sistemi bancari. Prescindendo dalla specifiche modalità tecniche adottate (8), le condotte in esame consistevano nell'alterare il funzionamento dei sistemi di trasferimenti elettronici dei fondi e nell'accreditare a se stessi somme, anche ingenti, di danaro. Tutti sentivano che si trattava di fatti illeciti, di fatti anche molto gravi che assumevano rilevanza penale e che configuravano molto verosimilmente gli estremi della truffa. All'atto pratico, tuttavia, ci si accorgeva che mancavano gli estremi essenziali del reato, gli "artifizi e i raggiri" per indurre in errore una persona. Qui in realtà non si trattava di indurre un soggetto in errore, di creare una falsa apparenza della realtà per indurlo a compiere un atto di disposizione patrimoniale, quanto di incidere sul funzionamento di una macchina, di un elaboratore. L'uomo, la coscienza e la volontà dell'uomo, erano in secondo piano o non esistevano affatto, se non in un momento successivo. Ciononostante, nella giurisprudenza di merito, l'art. 640 c.p. era stato ritenuto applicabile in un caso riguardante l'immissione nell'elaboratore elettronico dell'I.N.P.S. di dati non veritieri relativi a contributi in realtà non versati (Trib. Roma, 20 giugno 1984, Testa ed altri), ritenendosi, peraltro, che in tal modo fossero ingannati i dipendenti preposti al controllo del versamento dei contributi e all'esazione degli stessi, e non il computer. Ancora, era stata ravvisata la truffa aggravata nel caso di un dipendente bancario che, inserendo falsi dati nell'elaboratore, aveva ottenuto che risultassero come avvenuti per contanti versamenti effettuati mediante assegni, al fine di occultare il maggior rischio assunto con la negoziazione di assegni prima che ne fosse stata confermata la copertura e per procurare il maggior lucro ai correntisti attraverso il riconoscimento della valuta liquida (Trib. Roma, 14 dicembre 1985, Manenti ed altri). Anche in tal caso si era ritenuto che fossero stati ingannati gli organi di controllo della banca e non il sistema di elaborazione (9).

Per il software, i dati e le informazioni custodite negli elaboratori, fin dall'inizio era apparso poco agevole affermarne la fisicità (10), e quindi la possibilità di includerli tra i beni materiali già tutelati dal reato previsto dall'art. 635 c.p., nei casi di danneggiamento, ovvero tra le "cose mobili" contemplate dall'art. 624 c.p., per i casi di furto; tra l'altro, dal momento che il "furto" di regola veniva realizzato attraverso la semplice duplicazione del software o dei dati, senza cancellazione dell'originale, non appariva comunque punibile ai sensi dell'art. 624 c.p., mancando, tra gli elementi essenziali del reato, lo "spossessamento" fisico del bene.

Anche in questo caso, però, mentre alcuni orientamenti giurisprudenziali e dottrinari (11) si erano espressi per l'inapplicabilità di norme già esistenti, non ravvisando nel software o nei dati quelle caratteristiche di materialità richieste dai beni oggetto di tali disposizioni, una giurisprudenza, invero piuttosto isolata, e parte della dottrina (12) avevano ritenuto applicabili, di volta in volta, l'art. 635 c.p. (13), l'art. 392 c.p. (14) o anche l'art. 420 c.p. (15).

Per altro verso, per i fatti lesivi del software, seppur con oscillazioni, si erano avute pronunce giurisprudenziali (16) che avevano affermato l'applicabilità delle disposizioni penali contenute nella legge n. 633 del 1941 sul diritto d'autore, in particolare dell'art. 171, benché (prima dell'entrata in vigore del decreto legislativo n. 518 del 1992) si dubitasse in dottrina della configurabilità del software come opera dell'ingegno.

Ancora, deve essere segnalato come il tentativo di rinvenire in fattispecie penali già esistenti condotte "informatiche" ritenute illecite, abbia investito anche ulteriori situazioni: così, per l'accesso abusivo ad un sistema informatico o telematico, si è ritenuto potesse sopperire il reato di violazione di domicilio previsto dall'art. 614 c.p., mentre per l'intercettazione di comunicazioni informatiche o telematiche, si è sostenuta l'applicabilità della disciplina degli artt. 617 e seguenti. Anche in questi casi, però, erano sorte gravi perplessità in ordine a siffatta estensione: oggetto del reato di violazione di domicilio è la tutela della pace domestica e della privata dimora e certamente dubbia appariva l'assimilazione di quei luoghi ad un sistema di elaborazione di dati; analogamente, i reati di cui agli articoli 617 e seguenti del codice prevedono e puniscono le intercettazioni di comunicazioni e di conversazioni telegrafiche e telefoniche che avvengono tra due o più persone e solo attraverso discutibili forzature avrebbero potuto essere riferiti ai casi di intercettazione di comunicazioni informatiche tra sistemi telematici.

La novità della materia e le sue peculiari caratteristiche, richiedevano incontestabilmente un intervento normativo e la pratica invalsa presso una certa giurisprudenza di estendere figure criminose tradizionali alle nuove condotte (e le dispute dottrinarie che ne erano derivate), non avevano fatto altro che confermare tale necessità: più che fondato era infatti apparso il rischio che quel modus operandi avrebbe potuto tradursi in un'inaccettabile violazione del principio di tassatività (17). Con la legge n. 547 è stato così, innanzitutto, riaffermato il principio, già formulato nel diritto romano, "nullum crimen, nulla poena sine lege" e codificato in tutti i paesi dell'Europa occidentale come, ad esempio, con l'art. 1 del codice penale italiano (18), l'art. 4 del codice penale francese o l'art. 103, II comma, della Costituzione della Repubblica Federale di Germania. "Opponendosi a tale indiscriminata e, in sostanza, prevaricatrice estensione, il giurista ha tenuto fermo un canone di civiltà giuridica che nessun progresso tecnico e nessun temuto danno sociale può o deve far venir meno" (19).

Un'altra ragione, di non secondaria importanza, ha motivato l'intervento del legislatore: la volontà di "adeguare la legislazione italiana alle direttive impartite da organismi sopranazionali cui l'Italia aderiva" (20). Tale volontà deve essere interpretata non solo quale adempimento ad obblighi giuridici assunti in campo internazionale, ma anche in relazione alla consapevolezza che solo uniformando le normative dei diversi paesi ed adottando forme di cooperazione che vadano al di là del singolo Stato è possibile combattere in modo efficace un fenomeno che è per definizione sovranazionale (21). Del resto, il legislatore del '93 prendeva dichiaratamente atto del fatto che, nell'individuare le nuove fattispecie da sanzionare penalmente, non solo fosse necessario verificare quali, tra i potenziali fatti rientranti nella criminalità informatica, fossero già dotati di rilevanza penale (22), ma che l'incriminazione di alcune ipotesi potesse trovare giustificazione, quantomeno in ordine ai fatti più gravi, anche in riferimento alla cooperazione internazionale: "È noto infatti che, sia ai fini della estradizione che di altre forme di collaborazione giudiziaria penale, è di regola richiesta la previsione bilaterale del fatto (cosiddetta doppia incriminazione) onde, in mancanza di una apposita norma incriminatrice, lo Stato italiano dovrebbe negare la propria cooperazione agli Stati richiedenti che abbiano già previsto i reati informatici, assenti nella nostra normativa".

Ai fini dell'intervento normativo italiano in materia, ha assunto, in particolare, un ruolo determinante la Raccomandazione "sur la criminalité en relation avec l'ordinateur" adottata dal Comitato dei Ministri del Consiglio d'Europa il 13 settembre 1989 (23). La Raccomandazione ha offerto, all'attenzione di tutti i paesi chiamati a fare i conti con il fenomeno della criminalità informatica, una ricognizione completa delle sue diverse manifestazioni ripartendo le diverse forme di abuso dell'informatica in due gruppi, relativi, rispettivamente, alla condotte che gli Stati erano invitati a reprimere senz'altro con sanzione penale ("lista minima" (24)), ovvero alle condotte la cui repressione penale era lasciata alla valutazione discrezionale dei singoli Stati, non essendosi ancora registrato un consenso unanime sul tipo di tecnica sanzionatoria più adeguato ("lista facoltativa" (25)). Per evitare pericoli di cosiddetti "paradisi informatici", ma soprattutto per la necessità di una stretta collaborazione tra gli ordinamenti nella repressione di un fenomeno criminale, come sopra ricordato, in molte delle sue manifestazioni, a carattere "transnazionale", la Raccomandazione del Consiglio d'Europa prescindeva dalla circostanza che i diversi paesi avessero o meno già provveduto ad introdurre disposizioni apposite in materia.

Secondo Claudia Pecorella (26), ma senza alcun riscontro nella relazione ministeriale al disegno di legge n. 2773, il nostro legislatore avrebbe ulteriormente tenuto conto delle indicazioni emerse nei primi anni novanta nel corso dei colloqui preparatori del XV Congresso dell'AIDP (Association Internationale de Droit Pénal). La Risoluzione finale del Congresso (settembre 1994) confermava, in sostanza, la Raccomandazione del'89 e riteneva necessario estendere la sanzione penale anche alle condotte della lista facoltativa. In particolare, in considerazione dell'entità dei danni che i programmi virus erano in grado di arrecare ai sistemi informatici con i quali venivano in contatto (e quindi anche ai dati e ai programmi in essi contenuti), suggeriva agli Stati di valutare attentamente la possibilità di ricorrere al diritto penale anche per la prevenzione fatti colposi o che creassero rischi pericolosi (recklessness or the creation of dangerous risks): fatti rimasti estranei alla previsione del Consiglio d'Europa, incentrata sulla repressione delle sole condotte dolose.

Vi è di certo che se da un lato i nuovi illeciti introdotti con la 547 (coadiuvata dal d.lgs. 518/92) coprono ipotesi che rientrano in entrambe le liste, dall'altro non sono stati criminalizzati fatti colposi, avendo richiesto il legislatore almeno un dolo generico. In particolare, mi sembra si possa affermare che tutte le figure indicate dal Consiglio d'Europa abbiano trovato una soluzione normativa di carattere penale, eccezion fatta per la "riproduzione non autorizzata di una topografia" (27), per la quale, ad oggi, sono previste solo sanzioni amministrative (28) e per l'"uso non autorizzato di un elaboratore" che, al pari del "furto" di dati (figura, peraltro, non espressamente prevista dalla Raccomandazione Nº R (89) 9), può trovare tutela, anche se solo in via indiretta, attraverso la norma sull'accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.).

In ordine alle modalità dell'intervento apprestato con la l. n. 547/93, il legislatore ha, da un lato, previsto nuove figure criminose, deliberatamente strutturate sulla falsariga di alcuni classici precetti, collocandole nel corpo del codice penale (entro i titoli XII (29) e XIII (30)) e, dall'altro, aggiornato alcune tradizionali incriminazioni codicistiche al fine di renderle atte a ricomprendere, senza le incertezze del passato, le condotte proprie della fenomenologia informatica.

Alcune ipotesi sono state, infatti, disciplinate da norme ad hoc e collocate nel tessuto normativo esistente (si pensi all'articolo 615 ter c.p., relativo all'accesso abusivo ad un sistema informatico o telematico; al danneggiamento di sistemi informatici o telematici, previsto dall'art. 635 bis c.p.; o, ancora, alla frode informatica di cui all'art. 640 ter c.p.); in altri casi, invece, ci si è limitati ad una mera dilatazione di fattispecie già contemplate, attraverso disposizioni che dettano definizioni ed introducono concetti. L'estensione normativa del significato di nozioni già presenti nel codice penale avrebbe così sollevato l'interprete dall'oneroso compito di verificare se quelle nozioni avessero potuto o meno ricomprendere anche fenomeni informatici e scongiurato interpretazioni analogiche vietate dal diritto penale: è stato allora definito il "documento informatico" (art. 3) ai fini dell'applicazione delle norme sulla falsità in atti, il "documento" ai sensi della disposizione dell'art. 621 c.p. (31) (art. 7), la "corrispondenza", ricomprendendovi, accanto a quella epistolare, telegrafica e telefonica, quella "informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza" (art. 5), o la "violenza sulle cose", quale condotta che può ricadere anche su un programma informatico o sul funzionamento di un sistema informatico o telematico (art. 1). Occorre, peraltro, osservare che il legislatore se, da un lato, ha disciplinato la materia anche attraverso l'introduzione di nuove definizioni giuridiche, dall'altro non ha previsto definizioni di ordine tecnico, lasciando inesorabilmente alla dottrina e alla giurisprudenza il compito di individuare la portata di termini quali, ad esempio, "sistema informatico o telematico", "dati", "informazioni", "programma", o "operatore di sistema" (32).

Le ragioni della soluzione normativa appena indicata sono chiaramente esposte nella relazione al disegno di legge n. 2773: si è preferito modificare il codice piuttosto che creare una legge speciale nell'ambito del più ampio disegno di politica penale volto ad arginare la sempre più marcata tendenza alla decodificazione; inoltre, si è scelto di non creare un nuovo titolo del codice nella convinzione che la particolarità della materia non costituisse una ragione sufficiente in tal senso, dal momento che "le figure da introdurre sono apparse subito soltanto quali nuove forme di aggressione, caratterizzate dal mezzo o dall'oggetto materiale (33), a beni giuridici (patrimonio, fede pubblica, eccetera) già oggetto di tutela nelle diverse parti del corpo del codice" (34). Parte della dottrina (35) ha condiviso la scelta del legislatore di rinunciare a dar vita all'ennesima legge speciale vagante nell'ordinamento. Secondo alcuni autori, infatti, l'incontrollato e disordinato espandersi della legislazione penale speciale avrebbe, finito col produrre una vera e propria indecifrabilità del sistema. Si è parlato, in proposito, di "particolarismo giuridico da ancien régime, di una nuova specie di feudalesimo penale" (36) che, sollecitato da spinte contingenti provenienti da centri organizzati di interessi settoriali, avrebbe determinato una situazione di grave ipertrofia ed instabilità del sistema; e, addirittura, di "anomia", per sintetizzare un quadro d'insieme in cui campeggiano precetti onnicomprensivi, spesso avvertiti come artificiosi e privi di persuasività, che minano la complessiva serietà del sistema e determinano nei singoli la perdita dello stesso senso del limite (37).

D'altra parte, c'è chi (38) ha sottolineato come, pur nell'ambito codicistico, la materia in questione avrebbe potuto ricevere un trattamento normativo autonomo o in virtù di un potenziale riconoscimento di nuovi beni giuridici o laddove, prestando una maggiore attenzione alla natura e alla novità - non solo tecnica, ma anche giuridica - della stessa, si fosse preso atto della difficoltà di adagiarsi su concettualizzazioni giuridiche penali proprie di altre, e già superate, realtà fenomeniche.

Diversamente, ed in primo luogo, i fatti di criminalità informatica sono stati letti in chiave "tradizionale" ed è stata, quindi, respinta la teoria della tutela penale delle informazioni. Questa teoria si articola sul generale diritto delle informazioni e dell'informatica che presuppone la qualificazione dell'"informazione" come "grandezza base", accanto alla materia e all'energia, la quale, oltre a rappresentare un nuovo bene economico, culturale e politico, costituisce una nuova fonte di pericoli e richiede perciò nuove ed idonee misure di protezione. Secondo questa tesi, gran parte dei reati afferenti alla sfera dei cosiddetti computer crimes consisterebbe nella violazione di detto diritto. Una tale ricostruzione dell'illecito informatico supera la distinzione tra beni materiali e beni immateriali ed evidenzia due problematiche di fondo: la tutela dell'informazione come tale, e quindi, la protezione del "proprietario" o del "possessore" dell'informazione stessa; la tutela dei diritti della personalità dei soggetti cui l'informazione si riferisce (39).

Anche Andrea Monti sostiene che tutte le censure che possono essere mosse alla legge in questione non siano, in realtà, altro che "facce diverse di un unico problema: quello dello statuto giuridico da attribuire all'informazione". Secondo l'autore, l'informazione dovrebbe essere di per sé elevata a bene giuridico di rango costituzionale e, su questa premessa, garantita da un'autonoma tutela penale (40).

In secondo luogo, è stato sostenuto che la scelta di un rigoroso ancoraggio alla sistematica, concettuale e non solo classificatoria, del codice penale avrebbe potuto essere ragionevolmente condivisa, qualora il codice avesse avuto pochi anni di vita, e fosse stato quindi al passo con i tempi. Al contrario, si era di fronte ad un impianto normativo vecchio di circa settant'anni, già ampiamente superato dalla realtà, e che appariva tanto più inattuale proprio in quei settori in cui si andavano ad inserire le nuove norme, e di cui si intendevano riutilizzare le preesistenti categorie concettuali.

In tal senso, si può pensare alla vetustà dell'impianto dei reati patrimoniali, incentrato su un'ottica quasi ottocentesca della proprietà patrimoniale, che aveva subito già ripetute modifiche ed integrazioni allo scopo di un faticoso adeguamento alla nuova delinquenza patrimoniale (ad esempio, in tema di frodi comunitarie, usura, riciclaggio di capitali e altre forme di reimpiego di proventi illeciti, nonché per l'evoluzione delle forme di estorsione e di sequestro di persona), ed aveva ricevuto, da tempo, ampi supporti da normative speciali per quanto riguardava altri illeciti patrimoniali, quali quelli societari, fallimentari, e quelli afferenti alle attività finanziarie ed al mercato mobiliare.

Ancora, ci si può riferire alle molte incongruenze della prolissa e ridondante (già ab origine) normativa sui reati di falso che da tempo si indicava tra le più bisognose di una attenta rivisitazione; o alla assoluta inattualità di molti dei reati contro l'economia ed alla ristrettezza della visione codicistica dei profili di tutela della persona e della sua sfera di autonomia e riservatezza, che ha visto aprirsi nuovi orizzonti proprio in seguito alla immissione delle norme a tutela del cosiddetto domicilio informatico e della riservatezza e genuinità delle comunicazioni telematiche.

Oltretutto la peculiarità dei fenomeni da regolare non consentiva di recuperare logiche normative e concettuali preesistenti, avendo la materia delle tecnologie informatiche non solo introdotto concetti del tutto innovativi, ma anche creato modi operandi e prassi comportamentali del tutto diverse dalla realtà tradizionale.

Ne è un esempio l'impossibilità di riutilizzare, in tema di falso informatico, la distinzione tra falso ideologico e falso materiale, indissolubilmente legata alla figura del documento cartaceo, nel quale contenuto e contenente, supporto e scritto, si fondono fra loro in maniera inscindibile. Il supporto informatico - che reca i documenti elettronici - può, invece, essere separato in qualsiasi momento dal contenuto, e cioè dal documento che contiene, ed è in grado di ricevere migliaia o addirittura milioni di documenti. Ma il legislatore del 1993 non ha compreso tale essenziale differenza e, pressato dalla preoccupazione di collocarsi nell'alveo della sistematica del codice (che è nato quando gli atti pubblici si scrivevano a mano, e le copie autentiche si ricopiavano a mano, in bella grafia, ad opera di copisti destinati ad hoc) e di non porre in crisi la distinzione tradizionale (che non sarebbe comunque venuta meno, conservando la sua validità per gli atti cartacei), ha enunciato un concetto di "documento informatico" (quale "supporto informatico contenente dati o informazioni aventi efficacia probatoria": art. 491-bis c.p.) non solo inutile, ma anzi dannoso per la stessa applicazione della normativa penale esistente agli eventuali falsi informatici (polarizzando il fatto di reato su una ipotesi concreta in realtà insussistente), e smentito dalla normativa successiva.

Di questa diversità strutturale (e quindi concettuale) tra documentazione cartacea e documentazione elettronica si è, del resto, ben reso conto il legislatore del 1997, che con il regolamento approvato con D.P.R. il 10 novembre 1997 n. 513 (41) ha individuato il "documento informatico" non nel "supporto", bensì nella "rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti" (art. 1, lettera a), e cioè, in altri termini, nei "dati" (42). Se il legislatore del 1993 avesse omesso di definire il documento informatico, limitandosi ad affermare l'applicabilità della normativa penale vigente, e lasciando all'interprete il compito di individuare le fattispecie in concreto coerenti con la nuova tecnologia, avrebbe forse ottenuto miglior risultato (43).

Per altro verso, la mera estensione dell'ambito degli "oggetti materiali" di condotte già incriminate da disposizioni codicistiche (fino all'inclusione di ogni nuovo possibile oggetto o mezzo di elaborazione automatica o di comunicazione e trasmissione di dati) non accompagnata da una modifica strutturale delle fattispecie stesse, ha dato luogo ad un ulteriori problemi applicativi. Così operando, infatti, sembra che il legislatore non si sia accorto "di un duplice rischio: aver, da un lato, trascurato gli effetti erosivi, per la determinatezza dei concetti tradizionali, della loro estensione ad ipotesi del tutto eterogenee, che hanno in comune solo un'analoga funzione, mentre del tutto distinti restano gli specifici elementi costitutivi, alla cui stregua si decide della tipicità dei 'nuovi' fatti incriminati; e, dall'altro, aver sottovalutato il profondo condizionamento, che tale diversità contenutistica degli 'oggetti materiali' delle condotte esercita sulla stessa struttura o modalità esecutiva di queste, fino al punto da porne in discussione, in molti casi, la concreta compatibilità o configurabilità logico-giuridica" (44).

Quando agli inizi degli anni novanta si era intensificato il dibattito sull'esigenza di regolare normativamente l'uso delle nuove tecnologie e di delinearne i confini di liceità, penale e non, negli ambienti tecnici degli "addetti ai lavori" era emerso un diffuso scetticismo, non solo e non tanto sull'opportunità della disciplina, quanto sulla sua concreta fattibilità: si riteneva, infatti, impossibile emanare una normativa che regolasse compiutamente l'uso delle tecnologie per il semplice fatto che la velocità di evoluzione delle stesse avrebbe reso, con altissima probabilità, obsoleta una norma già nel percorso tra la sua gestazione e la sua entrata in vigore. Tale scetticismo, invero non del tutto infondato, era accompagnato dalla preoccupazione che una normativa ab origine inadeguata, ovvero non agevolmente aggiornabile con la tempestività che la materia richiedeva, avrebbe potuto limitare o danneggiare lo sviluppo economico del settore. Per questa ragione, soprattutto con riguardo all'uso di Internet, si era ipotizzato di non intervenire con legge, ma di lasciare il compito di disciplinarne l'uso all'autoregolamentazione spontanea.

Ovviamente si trattava di posizioni che non potevano essere condivise in linea di principio (45), perché è compito del legislatore regolare la vita sociale, non potendo permettere che le regole della convivenza, in special modo allorché attengano a fenomeni di particolare rilevanza sociale ed a beni giuridici di primaria importanza, siano dettate dalla prassi ovvero lasciate all'imposizione del soggetto più forte.

Ma le preoccupazioni espresse dagli operatori dell'informatica avevano posto efficacemente in luce l'aspetto più critico dell'intervento normativo nel settore delle tecnologie: quello, cioè, del rispetto della coerenza tra le norme da introdurre e la natura e la struttura operativa delle tecnologie da regolare, e della conseguente necessità non solo di un adeguato approfondimento preventivo dei fenomeni da regolare, ma altresì di prevedere meccanismi di tempestivo adeguamento della normativa all'evoluzione della prassi tecnologica. Per tali ragioni, il legislatore avrebbe dovuto muoversi con estrema prudenza e con la massima attenzione, impegnandosi in un'approfondita conoscenza dei profili tecnici prima di statuire sulla loro regolamentazione. Appare evidente che così non è stato (46).

Tra le altre critiche mosse, si può ancora ricordare come artificiosa sia risultata la scelta sia sul piano della selezione dei beni giuridici, in ordine al quale non sempre felici risultano gli inserimenti sistematici adottati (come quando si è individuato l'accesso abusivo ad un sistema informatico come una sorta di violazione di domicilio; o quando, sempre tra i delitti contro l'inviolabilità del domicilio, è stato inserito il reato di diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, la cui naturale collocazione sarebbe stata, invece, tra i delitti contro il patrimonio, trattandosi di una fattispecie preventiva del delitto di danneggiamento), sia su quello propriamente lessicale, dove l'attaccamento rituale a formule tradizionali non ha permesso di mettere a fuoco i tratti originali della nuova fenomenologia (emblematico è il "si introduce" utilizzato dall'art. 615 ter c.p. - nonostante tecnicamente appropriato fosse l'"accedere" indicato in rubrica -, termine più idoneo a delineare azioni che consistono nel varcare fisicamente i confini di luoghi determinati; ma anche il "distruggere, deteriorare o rendere, in tutto o in parte, inservibile" dell'art. 635 bis c.p., locuzioni queste, riferibili piuttosto a situazioni nelle quali traspare una modificazione o degradazione in senso naturalistico della res).

2.1. Gli ambiti di intervento

L'ampiezza dell'intervento legislativo operato in Italia con la legge in esame e la eterogeneità dei fenomeni criminali presi in considerazione suggeriscono di inquadrare i nuovi reati in termini sistematici.

a) Un primo importante settore nel quale è intervenuta la legge 547 del 1993 è quello delle frodi informatiche, che si caratterizzano rispetto alle frodi tradizionali per il fatto di essere realizzate servendosi dello strumento informatico e quindi senza ricorrere (di regola) alla induzione in errore di un essere umano (47): paradigmatiche in questo senso sono le cosiddette manipolazioni di dati, attraverso le quali è possibile procurarsi un illecito arricchimento interferendo abusivamente nella elaborazione di dati rilevanti sul piano economico e finanziario (si pensi, ad es., alla gestione informatica della contabilità di un'azienda, o della movimentazione dei conti dei clienti di una banca). Per combattere queste forme di impiego fraudolento della nuova tecnologia è stata inserita nel codice penale una nuova figura di reato, la frode informatica (art. 640 ter c.p.), modellata sulla falsariga della fattispecie tradizionale di truffa (48).

Una soluzione differente ha invece ricevuto il problema della rilevanza penale di quella particolare forma di frode informatica rappresentata dall'indebito utilizzo di una carta di pagamento magnetica, sia come strumento di prelievo di denaro contante presso gli appositi distributori automatici, sia come mezzo di pagamento di beni e servizi presso gli esercenti convenzionati: per tale ipotesi il legislatore italiano ha ritenuto preferibile predisporre una disciplina ad hoc, inserita nell'articolo 12 (49) della legge 5 luglio 1991 n. 197, che valorizza soprattutto la funzione di strumento di pagamento alternativo al denaro contante che le carte magnetiche possiedono in comune con le carte di pagamento di tipo tradizionale (carta-assegni e carta di credito).

b) Sul fronte delle condotte di falsificazione aventi ad oggetto documenti, pubblici e privati, predisposti da un sistema informatico - che in quanto tali sfuggivano alla nozione di documento tradizionalmente accolta nel nostro ordinamento -, il legislatore ha optato per l'introduzione di una clausola generale, diretta ad assicurare la piena equiparazione dei documenti informatici a quelli di tipo tradizionale. Attraverso l'introduzione nel codice penale dell'art. 491 bis c.p. si è infatti prevista l'applicabilità delle disposizioni sulla falsità in atti "concernenti rispettivamente gli atti pubblici e le scritture private" in tutti i casi in cui oggetto di falsificazione sia un documento informatico pubblico o privato, inteso come "qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli".

Analogamente, per la falsificazione del contenuto di comunicazioni informatiche, si è creata una nuova fattispecie di falso in comunicazioni informatiche (art. 617 sexies c.p.) che, come la norma corrispondente relativa alle comunicazioni telegrafiche e telefoniche, ricalca lo schema legale del delitto di falsità in scrittura privata (art. 485 c.p.) - richiedendo per la consumazione del reato l'uso del contenuto falsificato della comunicazione -, ed è inserita nella sezione dei delitti contro l'inviolabilità dei segreti.

c) Un altro ambito di notevole rilievo, soprattutto in conseguenza della crescente e rapida diffusione anche nel nostro paese dell'utilizzo delle reti telematiche, è rappresentato dalle aggressioni alla integrità dei dati e dei sistemi informatici: alla repressione delle diverse modalità con le quali è oggi possibile danneggiare o distruggere singoli dati o interi sistemi sono dedicate alcune delle disposizioni contenute nella legge 1993, volte in parte ad integrare la tutela predisposta in questo ambito dalle fattispecie tradizionali, risultate difficilmente applicabili al nuovo fenomeno, e in parte a sanzionare condotte del tutto nuove, come la diffusione dei cosiddetti programmi virus.

Rientrano, infatti, in questa categoria tanto la nuova fattispecie di danneggiamento di sistemi informatici e telematici che, per la stretta affinità con la figura classica di danneggiamento, è stata inserita nell'art. 635 bis c.p., quanto la previsione del reato di diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615 quinquies c.p.), collocato (alquanto impropriamente) tra i delitti contro la inviolabilità del domicilio.

Altre disposizioni della legge del 1993 svolgono poi una duplice funzione, incriminatrice e al contempo chiarificatrice della portata di norme penali preesistenti: è il caso dell'ampliamento della definizione legale di "violenza sulle cose", contenuta nell'art. 392 c.p., con la quale si precisano le situazioni in presenza delle quali l'aggressione rivolta ai beni informatici (50) viene equiparata al danneggiamento (e alla trasformazione) dei beni tradizionali cui fa riferimento quella definizione, nonché della nuova formulazione del reato di attentato ad impianti di pubblica utilità (siano essi appartenenti a enti pubblici o privati; art. 420 c.p.), volta a chiarire l'ambito dei sistemi informatici oggetto di tutela, ma anche ad ampliare l'oggetto materiale della condotta di attentato, includendovi i dati, le informazioni e i programmi, che siano contenuti in quei sistemi informatici o siano comunque ad essi pertinenti (51).

d) Vanno infine ricondotte all'ampia categoria delle aggressioni alla riservatezza dei dati e delle comunicazioni informatiche tutte quelle disposizioni che la legge in esame ha introdotto nel codice penale per reprimere forme di intrusione nella sfera privata altrui.

In particolare, a tutela della riservatezza dei dati e dei programmi contenuti in un computer si è provveduto alla incriminazione dell'accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.), nonché ad assicurare la repressione dei fatti di detenzione e diffusione abusiva dei codici di accesso a sistemi informatici (art. 615 quater c.p.), ritenuti pericolosi per il bene protetto, in quanto propedeutici alla realizzazione del reato di accesso abusivo.

Finalizzata alla tutela della riservatezza di dati e programmi è pure l'estensione dell'ambito di operatività della norma sulla rivelazione del contenuto di documenti segreti (art. 621 c.p.), sì da ricomprendere, tra i documenti 'segreti' protetti, anche quelli contenuti in un supporto informatico (52).

Più specificatamente rivolte alla riservatezza delle comunicazioni informatiche sono invece le disposizioni con le quali si è provveduto a garantire a tali comunicazioni la stessa tutela accordata dal nostro codice penale alle comunicazioni epistolari, telegrafiche e telefoniche: a tal fine, mantenendo la ripartizione tra profilo "statico" e profilo "dinamico" delle comunicazioni oggetto di tutela, il legislatore ha, da un lato, ampliato la nozione di "corrispondenza" contenuta nel quarto comma dell'art. 616 c.p. - e rilevante per tutte le disposizioni della sezione dedicata ai delitti contro l'inviolabilità dei segreti, che a quella nozione facciano rinvio -, sì da ricomprendervi anche quella "informatica o telematica ovvero effettuata con altra forma di comunicazione a distanza"; dall'altro lato, ha introdotto le nuove figure di intercettazione, impedimento o interruzione di comunicazioni informatiche o telematiche (art. 617 quater c.p.) e di installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617 quinquies c.p.), che sono pressoché speculari alle fattispecie tradizionali, rivelatesi inapplicabili ai nuovi fatti di abuso.

Meno significativa, nel quadro degli interventi volti a contrastare la criminalità informatica, appare invece la modifica dell'art. 623 bis c.p., con la quale la portata delle disposizioni sulle comunicazioni informatiche viene estesa "a qualunque altra trasmissione a distanza di suoni, immagini od altri dati": l'esigenza prioritaria del legislatore era, infatti, quella di sostituire l'originario riferimento alle trasmissioni "effettuate con collegamento su filo o ad onde guidate" (53), che aveva creato delle difficoltà in sede di applicazione della norma, ed era comunque diventato anacronistico alla luce dei sistemi di comunicazione a distanza oggi disponibili.

La legge in esame, infine, "in simmetria e congiuntamente con la rivisitazione delle fattispecie sostanziali del codice penale" (54), procede ad una integrazione delle norme processuali penali in materia di intercettazione, per ciò che attiene all'oggetto di quest'ultime e agli strumenti con cui le relative operazioni possono essere condotte.

Quanto al primo aspetto, con l'art. 11, è introdotto l'art. 266 bis c.p.p. che ammette, tra i mezzi di ricerca della prova, "l'intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi". Tale strumento può essere adottato "nei procedimenti relativi ai reati indicati nell'art. 266 c.p.p., nonché a quelli commessi mediante l'impiego di tecnologie informatiche o telematiche".

Considerando quelle informatiche e telematiche come "comunicazioni", deve riconoscersi operante la tutela dell'art. 15 cost., che dichiara "inviolabili" "la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione", ammettendone la limitazione "soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge". La norma in esame, tuttavia, attraverso una formula alquanto generica, estende l'intercettazione informatica anche ai reati "commessi mediante l'impiego di tecnologie informatiche o telematiche". Si pone allora il problema di capire se il legislatore abbia, con tale espressione, voluto fare riferimento ai soli reati informatici previsti dalla legge 547 (ed eventualmente a quelli che potranno, seguendo lo sviluppo tecnologico, essere individuati e definiti come tali) o anche a reati comuni, ma commessi con l'impiego di tecnologie informatiche. In questo caso è preferibile la prima soluzione indicata: si può infatti considerare come la tassatività delle ipotesi nelle quali sono ammesse le intercettazioni - di cui è espressione l'elenco dell'art. 266 c.p.p. - sia, appunto, giustificata dall'esigenza della compiuta attuazione del dettato costituzionale e non possa venir meno solo per un certo tipo di intercettazioni (55).

In ordine al secondo profilo, invece, l'art. 12 contiene una modifica dell'art. 268 c.p.p., intesa a far sì che le intercettazioni di comunicazioni informatiche o telematiche, consentite dall'art. 266 bis c.p.p. (e nel pieno rispetto delle garanzie difensive previste dal capo IV del titolo III del libro III dello stesso codice, debitamente integrate in riferimento a questo tipo di intercettazioni), possano essere effettuate, mediante impianti appartenenti a privati, allorché ricorra l'esigenza di disporre di peculiari strutture o di speciali apparecchiature.

La norma è stata introdotta in considerazione della consapevole possibilità che presso gli uffici delle procure della Repubblica non siano presenti apparecchiature tecnologicamente avanzate e sofisticate. La nuova disposizione non fa cenno, però, alla necessità, prevista invece per i casi in cui il pubblico ministero richieda l'utilizzo di "impianti di pubblico servizio o in dotazione alla polizia giudiziaria" (art. 268, comma 3 c.p.p.), che, per disporre di impianti appartenenti a privati, gli impianti delle procure debbano "risultare insufficienti o inidonei" e debbano sussistere "eccezionali ragioni d'urgenza". Il problema deve essere risolto collegando il nuovo comma 3 bis al comma che lo precede nell'art. 268 c.p.p. e sostenendo, quindi, che i limiti previsti dal comma 3 trovino applicazione anche alla nuova disposizione. Si può in tal senso far leva, da un lato, sulla locuzione "anche" utilizzata dalla nuova norma, dall'altro, e soprattutto, sul fatto che, diversamente, l'azione del pubblico ministero che, ex comma 3, deve essere sostenuta da un provvedimento motivato, risulterebbe, nel caso contemplato dal comma 3 bis, legittima seppur priva di formalità e motivazione, cosa che appare difficilmente giustificabile.

Infine, l'art. 13 integra l'art. 25 ter del d.l. n. 306 del 1992 (convertito, con modificazioni, dalla legge 7 agosto 1992 n. 356) e disciplina le intercettazioni preventive, inserendo, tra quelle ammesse, anche le intercettazioni "del flusso di comunicazioni relativo a sistemi informatici o telematici". In virtù di questo articolo, le intercettazioni informatiche possono essere autorizzate quando siano "necessarie per l'attività di prevenzione e di informazione relative ai delitti indicati nell'art. 51 comma 3 bis c.p.p." (56)

3. Hacking e criminalità informatica

Cercherò in questo paragrafo di chiarire in che termini possa essere definito il rapporto hackers - reati informatici.

Come è emerso dalle pagine direttamente dedicate a tale realtà culturale, siamo in presenza di un fenomeno che, pur conservando una matrice comune, si è poi, nel corso del tempo, sviluppato assumendo una varietà di forme. Ritengo necessario pertanto, nei limiti del possibile e cercando di sintetizzare, tentare di riordinare le idee per restituire al quadro in parte già esposto la dovuta coerenza. Questa operazione permetterà, da un lato, di riportare il fenomeno entro i limiti che gli sono propri, dall'altro, di individuare quali, tra le tante condotte oggi sanzionate penalmente, siano effettivamente ascrivibili ai suoi protagonisti.

In origine un hack era un virtuosismo di qualsiasi tipo rappresentativo di una valida soluzione ad un problema attuale.

Il concetto fu presto riferibile all'informatica perché hackers si autodefinirono i primi brillanti studenti delle università americane (del Mit e di Stanford in particolare) in grado, grazie alle loro intuizioni, di superare i limiti che la tecnologia di volta in volta poneva e contribuire, così, al suo costante progresso. In modo del tutto naturale, questi giovani appassionati ne avevano assimilato la logica: l'informazione deve poter circolare liberamente perché un sistema, qualsiasi sistema, possa offrire il massimo delle sue potenzialità ed evolversi. Nei decenni successivi, l'hacking, nato per gioco e pura passione, uscì dagli angusti centri universitari ed assunse una più matura coscienza di sé: gli hackers, da piccoli gruppi isolati, erano diventati un vero e proprio fenomeno sociale, certo particolarmente variegato e privo di forme di coordinamento definite, ma eticamente contraddistinto da un principio-guida, "information wants to be free". D'altra parte, liberare l'informazione e condividerla universalmente in nome di un presunto progresso tecnologico e civile, non poteva non essere considerato un pericolo per tutti coloro che, enti governativi, istituzioni, imprese pubbliche e private, corporazioni ecc. avevano rimodellato la loro organizzazione secondo i nuovi schemi che l'informatica e la telematica avevano offerto. Gli indubbi benefici della "rivoluzione" avevano ristrutturato l'intera società: i personal computer avevano invaso le case, i sistemi client-server gli uffici, qualsiasi attività era stata riorganizzata secondo la logica funzionale delle nuove forme di comunicazione. Evidentemente, il pericolo che si annidiava in quell'assunto (oltre che nelle debolezze intrinseche della tecnologia stessa) era reale. Da qui l'adozione di strumenti normativi, logici, fisici in grado di proteggere i sistemi informatici e telematici, ma soprattutto l'integrità e la riservatezza dei dati in essi contenuti o con questi trasmessi, dalle nuove forme di aggressione (57).

Come in altra sede ho ricordato, in nome della libertà dell'informazione, alcuni hackers avevano ritenuto eticamente corretto eliminare le protezioni poste dalle software house sui loro prodotti o duplicarli senza possedere le relative licenze d'uso, e, se i primi hackers "bucavano" i sistemi informatici per il solo gusto di mettere alla prova le proprie capacità superando le misure poste a loro protezione, altri avevano elevato a dovere morale l'abusiva introduzione informatica per acquisire informazioni, tecniche o di interesse sociale, ingiustamente negate. Attraverso le BBS in tempi meno recenti, per il tramite di Internet in seguito, i risultati di tali condotte venivano poi resi pubblici.

Fermo restando il principio secondo il quale non si ruba denaro e non si danneggiano sistemi o dati, verso la metà degli anni '80 gli hackers si sono trovati di fronte al bivio che i media avevano costruito, etichettando, senza distinzione di sorta, con questo termine qualsiasi soggetto dedito al crimine tramite computer. È evidente che, di per sé, tale (infondata) denuncia, probabilmente motivata più dalla ricerca di facili sensazionalismi che non da un reale interesse per gli eventi considerati, non avrebbe comunque avuto alcun effetto sul piano comportamentale dei soggetti cui si riferiva. Ad ogni modo è accaduto che, a partire da quegli anni, alcuni hanno deciso di non abbandonare la strada illegale (nei termini sopra indicati) e, sulla scia di personaggi come Emmanuel Goldstein, hanno assunto la veste di difensori della democrazia contro i potenziali abusi della rivoluzione digitale commessi dai governi o dalle grandi corporation. Altri hanno invece preferito recuperare l'originaria filosofia del Mit reinterpretandola in chiave legale ovvero abbracciando il pensiero di Raymond e Stallman e dedicando i loro sforzi ai progetti del free software e dell'open source. Sono questi ultimi ad aver promosso la distinzione tra hackers e crackers: se la stampa e i media avevano bisogno di un termine che fosse sinonimo di criminale informatico, il secondo era certamente più adatto, anche se solo nella sua accezione più tecnica e ristretta (chi spezza le protezioni a tutela dei programmi o dei sistemi) avrebbe potuto riferirsi ai tecno-ribelli alla Goldstein i quali continuavano a perseguire fini certamente più nobili del "rompere le cose" (58).

Infine, secondo un'altra e più ampia nozione, l'hacking è "solo" uno stato mentale, un modo di concepire la vita e le cose che può contemplare o prescindere assolutamente dall'informatica.

Cercando di trasporre questi concetti al mondo giuridico e alle fattispecie penalmente rilevanti, è possibile, a seconda della definizione scelta per il termine hacker, pervenire a diverse conclusioni.

Si potrebbe innanzitutto considerare quella che oggi rappresenta la scelta maggiormente condivisa dall'underground informatico e riconoscere negli hackers coloro che si dedicano allo sviluppo collettivo di programmi liberi. In questo caso, però, è facile avvedersi della impossibilità concettuale di ricollegare tali soggetti ai fatti di criminalità di cui si discute.

Alla stessa conclusione si perviene, ovviamente, nel caso in cui si preferisca liberare il termine hacker dalla dimensione prettamente informatica. Va notato, peraltro, come molti autori che si sono occupati del tema, non ritenendosi comunque "esperti informatici", si siano facilmente identificati nella nozione "pura" di hacker, una sorta di ideale cui conformare la propria esistenza: passione per quello che si fa e desiderio innato di capire come funzionano le cose quali regole cardine.

Ancora, si potrebbero ascoltare i media. Abbandonarsi agli organi di (dis)informazione renderebbe però inutile qualsiasi tentativo di differenziazione: il termine hacker si sovrapporrebbe tout court a quello di "criminale informatico" o di "pirata informatico" ed ogni illecito anche solo lontanamente apparentato all'informatica, potrebbe essere imputato agli "eroi" di Levy.

Infine, potremmo considerare gli hackers di Goldstein (in senso lato), i più attivi politicamente e combattivi sul fronte dei diritti civili. Tra questi, accanto ovviamente alla libertà d'informazione, si riconosce un ruolo di primo piano al correlato diritto di espressione (59) nonché al diritto alla privacy e all'anonimato. In questo caso, avuto riguardo alle finalità perseguite, astrattamente riconducibili alla categoria, sarebbero i reati informatici direttamente - come l'accesso abusivo (art. 615 ter c.p.) - o indirettamente - come la detenzione e diffusione di codici di accesso (art. 615 quater c.p.) - riferibili o all'acquisizione-diffusione di informazioni "riservate" o a forme di contestazione in grado di minare la sicurezza delle telecomunicazioni (60) - come l'intercettazione, l'impedimento o l'interruzione illecita di comunicazioni (art. 617 quater c.p.) o la falsificazione, alterazione o soppressione del loro contenuto (art. 617 sexies c.p.) (61). In tale quadro potrebbero, inoltre, essere approfondite le ipotesi di reato che il legislatore ha posto a tutela del software (normativa sul diritto d'autore: l. n. 633/41 così come modificata dal decreto legislativo n. 518 del 29 dicembre 1992 e più di recente dalla legge n. 248 del 18 agosto 2000), essendo l'underground informatico notoriamente dedito alla lotta al copyright (62).

Mi sembra non possano esserci dubbi sul fatto che la sola soluzione sostenibile sia l'ultima. Sarà, quindi, alle fattispecie per questa menzionate che dedicherò, nei prossimi paragrafi, una maggiore attenzione.

Nella prospettiva indicata rientrano certamente anche le ipotesi previste dagli articoli 616, 617 quinquies, 621 e 623 bis c.p. Si tratta comunque di fattispecie che, nel contesto oggetto di indagine, appaiono meno significative e per le quali è dunque lecito rinviare a quanto già detto.

Non è possibile, invece, ravvisare un legame tra hackers e criminalità informatica per delitti di altro genere. Mi riferisco, in particolare, ai delitti contro l'integrità dei dati e dei sistemi e, quindi, alla diffusione di programmi virus (art. 615 quinquies c.p.), al danneggiamento informatico (art. 635 bis c.p.) e al delitto di attentato a impianti di pubblica utilità (art. 420 c.p.): le condotte contemplate da queste disposizioni sono sempre state fortemente respinte dall'etica hacker come strumento per i propri fini. Lo scontro ideologico, che si realizza sul piano delle conoscenze informatiche, deve mantenersi leale, un duello cavalleresco che non ammette di infierire sull'avversario, ma solo di renderne palesi i limiti (63).

Analogamente, dal momento che gli hackers non hanno mai agito per denaro (64) o per interesse personale, non è possibile ricondurre loro il delitto di frode informatica (art. 640 ter). Invero, la sola eccezione è rappresentata dai comportamenti dei phone phreakers: le modifiche da questi apportate ai sistemi di telecomunicazione delle compagnie telefoniche sono, in effetti, motivate dalla volontà di "procurarsi un ingiusto profitto con altrui danno", ed integrano perfettamente la fattispecie di reato de quo. D'altra parte, è forse la sola forma di frode "ammessa". Probabilmente, ciò si deve al mito che le blue boxes hanno assunto alla fine degli anni sessanta: efficace strumento per tenere unita la compagine che manifestava contro la guerra del Vietnam e il potere costituito e brillante hack al servizio di tutti coloro che le forme monopolistiche di comunicazione tendono ingiustamente a tagliar fuori. Anche in questo caso, però, non è la logica del denaro a motivare le azioni: l'"ingiusto profitto" di cui stiamo parlando si traduce, infatti, nel solo evitare l'addebito dei costi.

Un discorso a parte può forse meritare la previsione dell'art. 392 c.p.: a fronte di un attacco subito, la tentazione negli hackers di tutelare autonomamente i propri diritti può essere particolarmente forte. Nella logica che li contraddistingue, ricorrere alla magistratura e alle forze dell'ordine (con le quali non hanno mai avuto un buon rapporto) significherebbe ammettere la propria incapacità ed i propri limiti. Da qui la possibilità di una reazione che può, a volte, coinvolgere più gruppi e che ha come fine ultimo quello di screditare l'avversario agli occhi della comunità informatica.

È evidente, infine, che la possibilità di ricondurre le condotte degli hackers a specifiche fattispecie criminali dipende anche dalla normativa di riferimento, non essendoci dubbio sulla non perfetta corrispondenza tra le ipotesi delittuose contemplate nei diversi ordinamenti giuridici internazionali.

4. Il reato di accesso abusivo a un sistema informatico o telematico

Art. 615 ter - Accesso abusivo a un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

  1. se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore di sistema;
  2. se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
  3. se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

4.1. Mero accesso abusivo: pericoli e dubbi

Non c'è autore che non ricordi come il reato in questione abbia rappresentato la reazione al dilagante fenomeno degli hackers. Di regola, questa prima affermazione è fatta seguire da considerazioni sulla realtà culturale cui tali soggetti appartengono non sempre condivisibili, se non addirittura fuorvianti (65). Lascerei gli apprezzamenti etici, culturali, sociologici agli addetti ai lavori per non rischiare di fare confusione, soprattutto tra hackers e crackers, figure nettamente distinte per natura etica e finalità d'azione. In particolare, anche se una buona parte dei soggetti cui è riconducibile l'accesso abusivo a sistemi informatici appartiene ad una fascia d'età molto giovane, non mi sembra che questo possa indurre a ritenere, come è stato affermato, che gli hackers, da "eroi della rivoluzione informatica", si siano trasformati in delinquenti "dai pantaloncini corti" (66) (nessun hacker che possa dirsi tale potrebbe essere confuso con un ragazzino inesperto che tenta di emulare le imprese del giovane di War Games). Osserverei invece, più obbiettivamente, che un hacker ha certamente tra i suoi requisiti, le capacità e le conoscenze necessarie per accedere "abusivamente" ad un sistema informatico e che alcuni soggetti hanno abbandonato l'originaria etica (in ordine, se non altro, al divieto di servirsi della tecnologia per scopi illeciti di lucro o di danno) e, di fatto, in più occasioni, realizzato tale condotta. Ma, hacker o meno, e rammentando che oggi qualsiasi appassionato di informatica mediamente esperto è in grado di violare un sistema, è indubbio che la crescente diffusione delle reti telematiche, all'interno delle quali i sistemi informatici possono dialogare tra loro attraverso le tradizionali linee telefoniche (commutate o dedicate) (67), ha esposto dati e programmi ad una nuova, quanto pericolosa, forma di aggressione. L'accesso non autorizzato ad un sistema informatico, oltre ad arrecare il più delle volte un immediato (ancorché di solito modesto) pregiudizio economico alla vittima - mi riferisco soprattutto ai costi legati alle verifiche e agli accorgimenti necessari da operare una volta venuti a conoscenza dell'intrusione - risulta estremamente pericoloso per la riservatezza e integrità dei dati e dei programmi che vi sono memorizzati: l'intruso, se esperto, può acquisire quelli che tecnicamente si chiamano privilegi di root così da poter gestire la macchina 'attaccata' come fosse la propria, ovvero in piena libertà operativa. Una volta aggirate le restrizioni, qualsiasi operazione può risultare accessibile, dati e programmi possono essere letti, duplicati, modificati o cancellati. In altri termini, la pericolosità di tale condotta deve essere valutata alla luce del suo essere, di regola, prodromica alla realizzazione di altri reati informatici (danneggiamento, frode, falsificazione di documenti, violazione della corrispondenza, ecc.).

D'altra parte, a differenza di quanto può dirsi in ordine ad altre manifestazioni della criminalità informatica, in passato è mancato un consenso unanime sulla necessità di sanzionare penalmente la condotta in questione. A livello internazionale, di recente, il Consiglio dell'Unione Europea ha approvato una Decisione-Quadro relativa agli attacchi ai sistemi d'informazione (68) e il Consiglio d'Europa un Trattato sul cybercrime (69) che hanno confermato una scelta in tal senso. Eppure, nell'ambito del XV Congresso dell'Associazione Internazionale di Diritto Penale (AIDP), tenutosi a Rio de Janeiro nel settembre 1994, era stata segnalata la necessità di un ripensamento della figura de quo così come espressa dall'amplissima definizione inserita nella Raccomandazione dello stesso Consiglio d'Europa del 1989 (secondo tale Raccomandazione l'illecito era genericamente individuato nell'accedere, senza esserne autorizzati, ad un sistema o ad una rete informatica violando misure di sicurezza (70)) (71).

Anche Carlo Sarzana, che ha fatto parte della commissione ministeriale incaricata di elaborare il testo poi tradottosi nell'attuale legge n. 547/93, prendeva atto di una iniziale riluttanza da parte di vari governi ad affrontare in modo deciso la repressione dell'accesso illegittimo puro e semplice ad un sistema di trattamento dell'informazione e di elaborazione di dati: "In massima parte il problema riguarda l'hacking benevolo, cioè il fatto di colui che penetra in un sistema senza intenzioni nocive o malevoli ed acquisisce informazioni, usando mezzi illegali per guadagnare l'accesso, quali l'uso di password non ottenute lecitamente, l'elusione di sistemi di sicurezza, ecc. ..." (72).

Il reato così configurato si presenta, quindi, come un reato di pericolo, la cui soglia di punibilità è arretrata rispetto all'effettiva lesione di beni di natura personale o patrimoniale.

In effetti, la sanzione penale applicata al mero accesso abusivo può apparire sproporzionata, anche in ordine al principio di sussidiarietà della legge penale, per tale evidente anticipazione della tutela (73). Disposizioni in tema di danneggiamento e spionaggio informatico potrebbero già garantire un'adeguata tutela, mentre l'accesso abusivo potrebbe, come molti hanno auspicato, essere ridotto a semplice circostanza aggravante di tali comportamenti.

Un'altra considerazione appare lecita: anche se si ritenesse di particolare disvalore sociale la condotta dell'accesso abusivo in sé, si potrebbe forse subordinare la sanzione penale ai soli casi in cui il sistema violato fosse di particolare importanza per i dati contenuti o per le funzioni cui è adibito. A ben guardare, la stessa Raccomandazione del Consiglio d'Europa (Nº R (89) 9), dalla quale anche il nostro legislatore ha preso le mosse per criminalizzare la condotta in esame, nonostante non vi faccia mai esplicito riferimento, è proprio con riguardo a sistemi pubblici o privati di particolare rilievo che descrive il fenomeno; probabilmente la ragione di questo atteggiamento va ricercata nel fatto che sono gli episodi che hanno coinvolto questo tipo di sistemi ad essere venuti alla ribalta e con riguardo ad essi soltanto l'opinione pubblica si è giustamente allarmata.

4.2. Bene giuridico e struttura del reato

L'articolo 615 ter c.p. affianca, secondo la scelta "evolutiva" del legislatore del 1993, ovvero in ragione di una pretesa omogeneità di beni, interessi o valori prioritariamente tutelati, una fattispecie di reato già esistente nel codice penale.

Se il reato di accesso abusivo, come già la frode informatica (art. 640 ter c.p.) o il danneggiamento informatico (art. 635 bis c.p.), assume infatti una caratterizzazione peculiare rispetto alle corrispondenti fattispecie di altri ordinamenti, è perché è stato considerato dal nostro legislatore, come una particolare forma del tradizionale reato di violazione di domicilio (art. 614 c.p.) e, quindi, ricostruito secondo quella logica e quei termini.

Tralasciando le disposizioni di altri ordinamenti che reprimono l'intrusione nell'elaboratore altrui in quanto finalizzata alla commissione di un (ulteriore) reato informatico (sia esso una frode, un danneggiamento o un'indebita acquisizione di dati o programmi) (74), può dirsi che in tutte le altre norme sull'accesso abusivo si notano alcune costanti, tali da rendere chiaro, già a una prima lettura, quale sia l'ambito di tutela ad esse assegnato:

  1. La norma sanziona l'indebita introduzione nel sistema informatico altrui con qualsiasi mezzo realizzata, al fine di ricomprendere sia l'accesso "da lontano", attraverso le vie di telecomunicazione, sia quello "da vicino", conseguito da chi si trova a diretto contatto con l'elaboratore altrui (75).
  2. La tutela penale è riservata ai soli sistemi provvisti di dispositivi di sicurezza contro gli accessi indesiderati (76).
  3. Perché sia repressa anche la condotta di chi, legittimato all'uso dell'elaboratore, non sia anche autorizzato all'accesso di documenti o programmi conservati in particolari settori della memoria interna del sistema, frequente è la previsione dell'introduzione, oltre che al sistema nel suo complesso, anche in una sola sua parte; precisazione, questa, opportuna nei casi in cui la norma non individua, quale oggetto materiale dell'accesso abusivo, direttamente i dati o i programmi contenuti nel sistema (77).
  4. L'incriminazione de quo è volta a proteggere la riservatezza dei dati o dei programmi contenuti nel sistema. L'esperienza ha infatti insegnato che, salvi i casi, pur numerosi, di introduzioni abusive fine a se stesse o a solo scopo di divertimento, l'accesso è di regola finalizzato all'acquisizione di dati e/o programmi non disponibili altrimenti (o, quantomeno, alle stesse condizioni). Deve essere comunque rilevato che nessuna delle disposizioni presenti nel panorama internazionale fa riferimento a questo risultato (l'acquisizione) annoverandolo tra gli elementi costitutivi della fattispecie (al più integrando tale requisito gli estremi di una circostanza aggravante (78)). La norma assume, quindi, i contorni di un reato di pericolo, in particolare, di pericolo astratto.

Come accennato, rispetto a disposizioni analoghe di altri paesi, l'art. 615 ter c.p. presenta delle particolarità nella descrizione della condotta tipica tali da dover rinviare, solo a conclusione dell'analisi di tutti gli elementi della fattispecie, una valutazione in ordine al se possa ritenersi differente o meno l'ambito di operatività della norma stessa.

Innanzitutto, la principale questione esegetica che dottrina e giurisprudenza hanno dovuto affrontare, e dalla cui soluzione vengono tratte conseguenze diverse in ordine ai contenuti e all'orbita applicativa della fattispecie, è rappresentata dalla ricostruzione del bene giuridico tutelato.

Si rinvengono, in merito, opinioni divergenti e spesso antitetiche, effetto inevitabile di confuse, se non contraddittorie indicazioni emergenti non solo dalla collocazione sistematica della norma, ma anche dalla sua formulazione, dalla previsione delle circostanze aggravanti, nonché dalla relazione che ha accompagnato la presentazione alle Camere del disegno di legge in materia (79).

4.3. Il "domicilio informatico"

Secondo una prima ricostruzione, che attribuisce particolare rilievo alla collocazione dell'art. 615 ter c.p. tra i delitti contro l'inviolabilità del domicilio (sezione IV del capo III del titolo XII del libro II del codice penale) e alla giustificazione che di questa scelta ha fornito il legislatore, con la norma in esame si sarebbe tutelato il cosiddetto domicilio informatico (o telematico), "un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 (80) del codice penale" (81).

In questa prospettiva il reato in esame è, quindi, un reato di danno, perché l'intrusione nell'elaboratore altrui realizzerebbe già compiutamente la lesione di quella che potrebbe definirsi "privacy informatica" e sarebbe, di conseguenza, punibile anche nella forma soltanto tentata (82). L'elaboratore, inoltre, potrebbe o meno contenere dati o programmi di qualsivoglia tipo, ma, ai fini della realizzazione del reato in esame, tale elemento non avrebbe alcun rilievo, non essendo in gioco l'integrità o la riservatezza di questi ultimi, ma solo la tutela, più formale e al tempo stesso più generale e onnicomprensiva, dell'involucro che può contenerli (83); del resto, anche in base all'art. 614 c.p., nessuna rilevanza viene attribuita, nella tutela del domicilio, alla circostanza che l'abitazione o il luogo di privata dimora ad essa equiparato siano del tutto privi di arredi, essendo sufficiente al riguardo che si tratti di luoghi destinati, sia pure in via occasionale, alla "libera esplicazione della personalità umana" (84).

La dottrina prevalente (85), tuttavia, respinge la ricostruzione in questi termini della figura di reato in esame, sottolineando i contorni del tutto evanescenti di questa (presunta) nuova dimensione della sfera di riservatezza individuale: è evidente, infatti, che, nonostante la correttezza dell'osservazione che evidenzia il "valore acquisito dal computer per l'uomo d'oggi quale sorta di propaggine della propria mente e di tutte le conoscenze, i ricordi, i segreti che essa custodisce" (86) ed anche a prescindere dalle contrastanti interpretazioni che la nozione tradizionale di domicilio riceve in dottrina e in giurisprudenza, i sistemi informatici o telematici cui fa riferimento l'art. 615 ter c.p. non possono in alcun modo essere assimilati ai luoghi privati espressamente menzionati nell'art. 614 c.p. ("abitazione", "luoghi di privata dimora" e "appartenenze di essi"), in quanto luoghi di effettiva proiezione spaziale della persona (87).

Da un lato, infatti, la tutela contro gli accessi abusivi non può non riguardare anche sistemi informatici utilizzati nel settore industriale e commerciale, nonché in quello pubblico, per i quali, soprattutto, si ricorre all'impiego di misure di protezione, stante l'importanza e la riservatezza dei dati che vi sono contenuti (88). L'estensione dell'ambito di operatività dell'art. 615 ter c.p. al di là degli angusti confini segnati dalla natura in vario modo "privata" del sistema informatico violato è, del resto, confermata dalla previsione, tra le circostanze aggravanti del reato, della eventualità che "i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico" (art. 615 ter, comma 3 c.p.).

Dall'altro, considerando le esigenze di tutela della riservatezza individuale, il computer non ha nulla in comune con i diversi ambiti spaziali nei quali la persona può liberamente esprimersi e che entrano a far parte della nozione di domicilio, presentando piuttosto notevoli affinità con il più tradizionale cassetto che per anni ha svolto, e in gran parte continua ancora oggi a svolgere, la stessa funzione dei più moderni elaboratori; certo, il cassetto non elabora dati e non svolge altra funzione che quella di conservare e custodire al riparo da terzi, ma la ratio dell'art. 615 ter c.p. sembra del tutto estranea a quella ulteriore dimensione dei sistemi informatici, limitandosi, secondo le parole del legislatore, a proteggerli in quanto spazio privato, "espansione ideale dell'area di rispetto pertinente al soggetto interessato" (89).

In questa prospettiva, tra l'altro, risulta poco comprensibile anche la scelta del legislatore di circoscrivere la tutela ai soli sistemi "protetti da misure di sicurezza": l'affermazione dell'esistenza di un ambito inviolabile di privacy informatica imporrebbe il riconoscimento di un'identica tutela a tutti indistintamente i soggetti possessori di un elaboratore, prescindendo dall'eventualità che abbiano dotato il sistema di misure di sicurezza, ma a condizione, piuttosto, che abbiano reso esplicito (anche) all'agente, attraverso quelle misure o in qualsiasi altro modo, il loro dissenso all'accesso da parte di terzi.

Considerazioni in gran parte analoghe suggerisce la diversa tesi, secondo la quale l'art. 615 ter c.p. proteggerebbe l'interesse alla "indisturbata fruizione del sistema da parte del gestore", non diversamente da come l'art. 637 c.p., nel reprimere l'ingresso abusivo nel fondo altrui, protegge "da ogni possibile turbativa la proprietà fondiaria" (90). Nonostante sia stata collocata tra i delitti contro il patrimonio, in ragione della "funzione strettamente patrimoniale del fondo" (91), quest'ultima disposizione risulta, infatti, orientata alla tutela del pacifico godimento di un luogo che costituisce una proiezione spaziale della persona, anche se tale luogo è privo del carattere strettamente personale che caratterizza il domicilio (92).

Alle perplessità che suscita ogni tentativo di assimilare i sistemi informatici e telematici cui fa riferimento l'art. 615 ter c.p. ad ambiti spaziali nei quali la persona deve poter estrinsecare liberamente la propria personalità, si sommano nuove perplessità per l'incongruenza che verrebbe a determinarsi tra il disvalore della condotta così considerata e il relativo trattamento sanzionatorio: la scarsa lesività della condotta descritta nell'art. 637 c.p., consistente nel mero turbamento della signoria sull'immobile, trova infatti corrispondenza nella previsione di una pena pecuniaria che, pur dopo diversi aggiornamenti, non supera le (vecchie) duecentomila lire; per l'accesso abusivo nell'elaboratore altrui che, secondo questa tesi, pure si limiterebbe a violare la sfera di signoria sull'elaboratore, l'art. 615 ter c.p. prevede invece la ben più grave pena della reclusione sino a tre anni (che corrisponde a quella comminata dall'art. 614 c.p. per la violazione di domicilio).

Bisogna prendere atto, in ogni caso, che la tesi del "domicilio informatico", seppur rivisitata, è stata adottata dal nostro massimo organo giurisdizionale. Con la sentenza n. 3067 del 4 ottobre 1999 (93), la sesta sezione della Corte di Cassazione ha, per la prima volta, dato una propria definizione di tale concetto.

La Corte ha avuto modo di esprimersi nell'ambito di un procedimento di riesame di un provvedimento cautelare relativo ad una persona imputata dei reati di frode informatica (art. 640 ter c.p.) e di accesso abusivo a un sistema informatico (art. 615 ter c.p.). L'imputata aveva generato, servendosi del sistema telefonico di una filiale di Brindisi della Telecom Italia S.p.A., "un consistente, anomalo traffico telefonico verso l'estero (Oceania e Isole Cook)", a beneficio dei titolari delle due utenze estere oggetto di frequenti collegamenti. A tali soggetti veniva, infatti, versata una parte delle somme pagate - come da convenzione - dalla Telecom italiana agli enti gestori della telefonia nei paesi destinatari delle chiamate. A pronunciarsi sulla questione del bene giuridico tutelato dalla norma sull'accesso abusivo, la Corte è stata indotta dalla circostanza che il Tribunale di Lecce, come Tribunale del riesame, aveva escluso che, nel caso di specie, si fosse verificata una violazione di tale disposizione, non avendo l'imputata ottenuto, con la sua condotta, "alcuna informazioneriservata che potesse ledere la riservatezza individuale dei soggetti che a tali sistemi possono legittimamente accedere".

Nell'annullare sul punto l'ordinanza cautelare, la Cassazione ha precisato che, delle diverse opinioni emerse in dottrina al riguardo, quella preferibile è nel senso che oggetto della norma in esame sia "lo ius excludendi del titolare del sistema informatico, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla propria sfera di pensiero o alla propria attività (lavorativa e non)".

Questo indirizzo, spiega la Corte, è conforme sia alla lettera della legge, la quale non opera distinzioni tra sistemi a seconda dei contenuti (esclusivamente limitandosi ad accordare tutela ai sistemi protetti da misure di sicurezza), sia alla sua ratio, in quanto, se si limitasse a tutelare il diritto alla riservatezza della vita privata, escluderebbe "aspetti non secondari, quali ad esempio quelli connessi ai profili economico-patrimoniali dei dati", lasciando quindi sforniti di protezione i diritti di enti e di persone giuridiche, non tanto per essere incerta l'estensione a tali categorie soggettive della tutela della riservatezza e in genere dei diritti della personalità (94) quanto piuttosto "perché principalmente fra dette categorie si rinvengono soggetti titolari di sistemi informatici protetti da misure di sicurezza (enti, anche pubblici; grandi società commerciali) per i quali lo ius excludendi è correlato prevalentemente, se non esclusivamente, a diritti di natura economico-patrimoniale" (95).

A sostegno di tale tesi, la scelta del legislatore di inserire tale illecito tra i delitti contro l'inviolabilità del domicilio, ovvero di un luogo fisico in cui può estrinsecarsi la personalità umana e "nel quale è contenuto l'oggetto della tutela (qualsiasi tipo di dato e non i dati aventi ad oggetto particolari contenuti)". Finalità della disposizione sarebbe, in altri termini, salvaguardare tale luogo da qualsiasi tipo di intrusione. Del resto, nota la Corte, una volta individuato, nell'accesso abusivo ad un sistema informatico, un reato contro la libertà individuale, il legislatore è stato quasi "costretto" dalla sistematica del codice a quel tipo di collocazione, "senza però che con la collocazione stessa abbia voluto anche individuare, in via esclusiva, il bene protetto con riferimento alle norme sulla violazione di domicilio, cioè la pax domestica ovvero la quiete e la riservatezza della vita familiare" (96).

4.4. La messa in pericolo della integrità dei dati e dei sistemi informatici

Secondo una diversa lettura, l'art. 615 ter c.p., nonostante la sua collocazione sistematica, sarebbe finalizzato a proteggere l'integrità dei dati e dei programmi in esso contenuti, dal pericolo cui risulterebbe esposta in presenza di un accesso abusivo (97). Significativa, in tal senso, sarebbe la previsione di un aumento di pena nel caso in cui "dal fatto derivi la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti" (art. 615 ter c.p., comma 2 n. 3): tali eventi esprimerebbero, infatti, l'effettiva lesione del bene in gioco.

Indubbiamente la circostanza che il legislatore nel configurare le aggravanti per l'accesso abusivo abbia considerato, tra i tanti possibili sviluppi dannosi del fatto, esclusivamente quello consistente nel danneggiamento o nella distruzione del sistema e/o delle sue componenti - anziché quello della indebita acquisizione di dati e programmi, come in altri ordinamenti - rende plausibile questa interpretazione. Eppure, non sembra che la fattispecie circostanziale possa validamente contribuire, in modo tanto decisivo, alla ricostruzione del contenuto della norma incriminatrice, sino ad inserire nella previsione del reato contenuti non espressamente previsti. Lascia perplessi, in particolare, il ruolo che in tal modo si attribuirebbe alla norma in esame, sia nei confronti del fenomeno che si vuole reprimere, sia sul piano dei rapporti con le numerose altre disposizioni a tutela dell'integrità dei dati e dei sistemi, introdotte nel codice penale con la stessa legge 547 del 1993.

Così interpretata, infatti, la nuova figura di reato mirerebbe a prevenire una conseguenza dell'accesso abusivo - la causazione volontaria o involontaria di un danno al sistema o alle sue componenti - che statisticamente risulta avere un rilievo episodico e secondario, rispetto all'obiettivo primario, costituito dall'acquisizione di informazioni "riservate", ovvero dal conseguimento di prestazioni senza esborso di denaro (es., effettuare telefonate facendone ricadere il costo sull'utente legittimo del sistema) (98).

A ciò si aggiunga che, così inteso, il reato di accesso abusivo si troverebbe a concorrere, nella tutela dell'integrità dei sistemi informatici e delle loro diverse componenti, con tutte le altre disposizioni esistenti a riguardo nel codice penale: disposizioni che già reprimono sia condotte dannose che pericolose - basta pensare al delitto di danneggiamento di sistemi informatici o telematici (art. 635 bis c.p.), punibile anche nella forma tentata, nonché al delitto di attentato a impianti di pubblica utilità, di cui all'art. 420 c.p. -, e che arrivano persino a reprimere la messa in pericolo anche solo in via indiretta - come l'art. 615 quinquies c.p., che punisce la diffusione di programmi virus e similari.

Dubbia è la funzione che, in un quadro così composito, potrebbe svolgere la norma sull'accesso abusivo, così come di difficile interpretazione risulterebbe, anche in questo caso, la delimitazione della tutela ai soli sistemi informatici protetti da misure di sicurezza.

4.5. La messa in pericolo della riservatezza dei dati contenuti nel sistema

Rispetto a queste due interpretazioni, che rappresentano per certi aspetti due modi opposti di considerare il reato di accesso abusivo (un reato di danno nei confronti del domicilio informatico; un reato di pericolo nei confronti del patrimonio), sembra possibile una terza lettura dell'art. 615 ter c.p., che da un lato rispetti l'intenzione del legislatore di "aggiornare" il nostro codice penale anche sul fronte delle aggressioni alla sfera personale oltre che alla sfera patrimoniale e, dall'altro, superi le incertezze e le ambiguità che caratterizzano il concetto di "domicilio informatico".

Sembra soddisfare entrambe queste esigenze l'individuazione del bene giuridico, protetto dalla disposizione in esame, nella riservatezza dei dati e dei programmi contenuti in un sistema informatico, la quale risulta messa seriamente in pericolo dalle intrusioni di terzi non autorizzati per la facilità con la quale è possibile procurarsi dati e programmi una volta superate le barriere poste a protezione del sistema.

Anche in questa prospettiva, l'art. 615 ter c.p. presenta lo schema di un reato di pericolo astratto (99). Tuttavia, a differenza di quanto potrebbe affermarsi se oggetto di tutela fosse l'integrità dei dati e dei programmi, la circostanza che l'acquisizione indebita del materiale contenuto nell'elaboratore costituisca, secondo l'id quod plerumque accidit, una conseguenza tipicamente ricollegata alla condotta incriminata, allontana ogni dubbio sulla legittimità costituzionale della norma, almeno sotto questo profilo.

D'altro canto, a differenza di quanto discenderebbe dalla considerazione del reato in esame come diretto a reprimere la lesione del "domicilio informatico", lo stesso principio di offensività, cui deve necessariamente essere orientata l'interpretazione dell'art. 615 ter c.p., così come ogni reato di pericolo astratto, porta ad escludere la sussistenza del reato ogni qual volta oggetto di violazione sia un sistema che, pur essendo protetto da misure di sicurezza, non contenga alcun dato o programma o contenga esclusivamente dati o programmi di pubblico dominio, facilmente reperibili per chiunque: in questi casi, infatti, viene meno ogni ragione di tutela da parte della legge penale, essendo il fatto del tutto inoffensivo per il bene protetto (100).

L'individuazione della riservatezza dei dati contenuti in un sistema informatico come oggetto di tutela consente, inoltre, di attribuire un significato coerente al requisito della protezione del sistema mediante "misure di sicurezza": non essendo infatti scontato che il titolare del sistema possa avere interesse alla riservatezza dei dati e dei programmi contenuti nel sistema stesso - mentre è pressoché certo un interesse alla loro integrità ed utilizzabilità -, la sanzione è giustamente riservata a quei soli casi nei quali la vittima abbia chiaramente manifestato tale interesse, attraverso l'installazione di barriere di protezione contro eventuali intrusioni. La delimitazione ai soli sistemi informatici protetti da misure di sicurezza finisce quindi per svolgere un'importante funzione di responsabilizzazione della vittima, la quale potrà fare affidamento sulla sanzione penale, nella repressione di eventuali intrusioni da parte di soggetti non autorizzati, solo se avrà in precedenza provveduto a proteggere il suo sistema in uno dei tanti modi che la tecnologia rende disponibili.

4.6. La duplice funzione dell'art. 615 ter

La necessità di porre l'attenzione ai dati piuttosto che al sistema è sostenuta in particolare da Ferrando Mantovani (101).

Originariamente, ravvisa l'autore, la sezione IV del codice penale ("Dei delitti contro l'inviolabilità del domicilio") contemplava i soli delitti di "Violazione di domicilio" (art. 614 c.p.) e di "Violazione di domicilio commessa da un pubblico ufficiale" (art. 615 c.p.). Successivamente, per far fronte alle nuove tipologie di aggressione rese possibili dal progresso tecnologico, il legislatore ha introdotto, con l.n. 98/1974, il delitto di "Interferenze illecite nella vita privata" (art. 615 bis) e, con l.n. 547/1993, i delitti di "Accesso abusivo a un sistema informatico o telematico" (art. 615 ter), di "Detenzione e diffusione abusiva di codici di accesso a un sistema informatico o telematico" (art. 615 quater c.p.) e, infine, di "Diffusione di programmi diretti a danneggiare o a interrompere un sistema informatico" (art. 615 quinquies c.p.).

Eppure, nonostante siano state collocate sotto la stessa sezione, tali fattispecie tutelano, di fatto, oggetti giuridici diversi. In particolare: il bene di riferimento dell'art. 615 quinquies c.p. è il patrimonio, essendo tale fattispecie preventiva dell'ipotesi speciale di danneggiamento prevista dall'art. 635 bis c.p.; l'oggetto giuridico dell'art. 615 quater c.p. coincide con il bene specifico (riservatezza, patrimonio, fede pubblica, ecc.) tutelato dalle norme sui diversi reati informatici o telematici che detta fattispecie mira a prevenire; le figure di originaria introduzione (artt. 614 e 615 c.p.) tutelano il bene della libertà domiciliare; infine, le disposizioni degli artt. 615 bis e ter c.p. si rivolgerebbero al bene della riservatezza domiciliare.

La libertà domiciliare consiste nel "diritto alla esclusività di presenza umana nella sfera privata domiciliare, comprendente la duplice facoltà di ammissione (jus admittendi) e di esclusione (jus prohibendi), onde nessuno (diverso da eventuali co-domicilianti) può ivi fisicamente introdursi o trattenersi invito domino". La riservatezza domiciliare, invece, nel "diritto alla esclusività di conoscenza di ciò che attiene alla sfera privata domiciliare, nel senso che nessuno può prendere conoscenza o rivelare quanto di tale sfera il soggetto non desidera che sia da altri conosciuto".

Il domicilio è, quindi, il luogo in cui tali diritti di esclusività, posti entrambi a salvaguardia della cosiddetta pace domestica, vengono esercitati.

Anche se il diritto di libertà domiciliare si traduce in una tutela indiretta della riservatezza domiciliare, le due oggettività giuridiche rimangono nitidamente distinte. Cercando si semplificare, la libertà domiciliare presidia lo spazio (chiuso o aperto, ma pur sempre) delimitato, il "contenitore" per intenderci, la riservatezza domiciliare, invece, garantirebbe quanto in detto spazio trova espressione, ovvero, direttamente, il "contenuto". A questa logica risponde l'art. 615 bis c.p. posto a tutela del "contenuto", che l'agente si "procura" (102) in modo "indebito" ("attraverso l'uso di strumenti di ripresa visiva o sonora"): l'oggetto giuridico è individuato, infatti, nella "riservatezza (domiciliare)", non nella "libertà (domiciliare)". Analogamente, l'art. 615 ter c.p., pur ricalcando la formulazione dell'art. 614 c.p. anziché quella dell'art. 615 bis c.p., si rivolgerebbe al solo "contenuto" e, quindi, al solo diritto di riservatezza. In questo caso però, non potendo la norma, diversamente dall'art. 615 bis c.p. (" ... nei luoghi indicati dall'art. 614 c.p."), richiamare la nozione di domicilio penalmente rilevante (secondo i luoghi tipizzati dall'art. 614 c.p.: "abitazione altrui, altro luogo di privata dimora o appartenenze di essi"), potrà presidiare una forma di riservatezza distintamente qualificata. Mantovani parla allora di riservatezza informatica.

Pur prendendo atto che la fattispecie non è incentrata sulla condotta del "prendere cognizione", ritiene tale riservatezza categoria a sé stante e a funzione incriminatrice, primaria ed autonoma, dell'indiscrezione informatica o telematica, "cioè dell'accesso quale presa di cognizione, sottrazione dei dati, contenuti nell'elaboratore elettronico o trasmessi dal sistema telematico" (103). L'autore supporta questa conclusione con le seguenti motivazioni: a) la mera introduzione non sembra legittimare la sanzione penale, non potendo costituire bene meritevole di tutela l'"inviolabilità" del sistema informatico o telematico come tale, altrimenti, si attribuirebbe ai dati informatici una tutela più incisiva rispetto a quelli contenuti nei supporti tradizionali (e conservati, ad esempio, in un cassetto, in un archivio), incriminandosi una condotta prodromica alla loro acquisizione e presa di conoscenza; b) perché le altre condotte aggressive, diverse dalla indiscrezione, sono punite dagli artt. 635 bis, 640 bis, 476-491 bis, 617 quater, onde, per esclusione, l'art. 615 ter c.p. si riferisce ai fatti di introduzione-indiscrezione; c) perché il reato di accesso, affiancandosi al reato di indiscrezione domiciliare dell'art. 615 bis c.p., appare condividerne sia il tipo di aggressione dell'indiscrezione, sia l'oggettività giuridica della riservatezza; d) perché la condotta alternativa del "rimanere nel sistema informatico o telematico" ha un senso solo se riferita al continuare a prendere conoscenza o, al più, al continuare a servirsi dell'elaboratore, nonostante l'intervenuto divieto del soggetto titolare dello jus excludendi (104).

Sempre secondo l'autore, l'art. 615 ter c.p., svolgerebbe, inoltre, un'ulteriore funzione incriminatrice "secondaria e sussidiaria" delle residue ipotesi di introduzione non rientranti nelle suddette norme e, in particolare, dell'introduzione-furto di servizi informatici o telematici, "cioè dell'uso non autorizzato dell'altrui sistema informatico o telematico, che altrimenti resterebbe impunito, non essendo riconducibile alle tradizionali fattispecie del furto e dell'appropriazione indebita (così, ad esempio, lo sfruttamento del computer dell'azienda da parte dell'impiegato senza autorizzazione od oltre i limiti dell'autorizzazione ricevuta)" (105).

Ad un primo approccio, la prospettiva di Mantovani mi è apparsa lucidamente argomentata. Condivido la tesi che individua il bene giuridico tutelato nella riservatezza dei dati; che riconosce come il fine avuto di mira dall'agente sia, di regola, il prendere conoscenza di dati e/o programmi; che, di converso, respinge categoricamente la prospettiva del "domicilio informatico". Nonostante tutto, mi sembra che tale tesi presenti un grave limite: essa, in realtà, non può non fare i conti col fatto che ciò che il legislatore ha voluto punire non è l'effettiva lesione del bene giuridico, ma solo la sua messa in pericolo.

L'autore parte dalla personale premessa che la fattispecie in esame non possa punire la mera introduzione. Definisce allora il reato de quo come reato di introduzione-indiscrezione individuandolo, per esclusione, rispetto a tutte quelle altre forme di introduzione (introduzione-danneggiamento, introduzione-frode patrimoniale, introduzione-falsificazione documentale, introduzione-intercettazione di telecomunicazioni, ecc.) che la norma, qualora intesa in senso ampio, potrebbe contemplare, ma che, diversamente, trovano già specifica tutela in altre disposizioni normative sui reati informatici. In questa prospettiva, la condotta dell'introduzione, per ricadere in una fattispecie di reato, dovrebbe essere sempre accompagnata da un'ulteriore operazione dell'agente. Nel nostro caso, appunto, dalla presa di cognizione di dati.

Su questa riflessione può essere incentrata anche la critica a quella funzione "secondaria e sussidiaria" assegnata alla norma: la disposizione sanziona la semplice messa in pericolo della riservatezza dei dati e/o programmi e prescinde da qualsiasi ulteriore operazione che l'agente possa realizzare.

Inoltre, se l'introduzione-furto di servizi informatici o telematici si riferisse al caso dell'impiegato che eccede i limiti dell'autorizzazione, pur mantenendosi all'interno della zona dell'elaboratore a questi accessibile (ci troveremmo, quindi, di fronte ad un'ipotesi di "permanenza", non di "introduzione"), l'ambito di operatività dell'art. 615 ter c.p. risulterebbe dilatato in modo improprio investendo anche ipotesi di assoluta inoffensività per il bene protetto (individuato, appunto, nella riservatezza).

Piuttosto il furto di servizi informatici o telematici, laddove non integri, di per sé, gli estremi della frode informatica (art. 640 ter c.p.) (106) - per mancanza, ad esempio, della necessaria "manipolazione" del sistema (107) - potrebbe rientrare nell'"accesso abusivo" se si ritenesse, con la giurisprudenza (108), che oggetto di tutela fosse proprio quel "domicilio informatico", di fatto escluso dalla tesi menzionata. Nel momento in cui, invece, si adotta la logica della riservatezza, il mero furto di servizi non può essere punito dalla norma in esame. Per questa ragione, non può trovare sanzione penale l'indebita introduzione in sistemi informatici predisposti esclusivamente alla gestione e al controllo del funzionamento di apparecchi che erogano, appunto, beni o servizi. Rientrano in questa tipologia diversi casi di accesso abusivo, verificatisi negli Stati Uniti d'America, che hanno avuto ad oggetto il sistema informatico utilizzato dalle compagnie telefoniche per la gestione del servizio di telefonate interurbane ("long distance call"). "In questi casi, l'accesso abusivo è strumentale al conseguimento di beni o servizi senza pagare il corrispettivo dovuto, assumendo rilevanza penale solo in quegli ordinamenti nei quali costituisce reato anche l'uso non autorizzato del sistema informatico, oppure il conseguimento fraudolento delle sue prestazioni" (109).

Nel caso, invece, in cui il sistema informatico nel quale si è conseguito indebitamente l'accesso svolga diverse funzioni, consentendo agli utenti sia di beneficiare di alcune prestazioni (ad esempio, di un servizio di caselle postali elettroniche) sia di consultare una o più banche dati o comunque di ricevere delle informazioni "riservate" (quelle, ad esempio, relative alla situazione del proprio conto corrente, nell'ambito del servizio di home banking), sussiste indubbiamente l'esigenza di tutelare anche la riservatezza dei dati accessibili dall'interno del sistema, che risulta messa in pericolo dall'intrusione di un soggetto non autorizzato.

Significativo, in proposito, è il caso dei distributori automatici di banconote. Il loro funzionamento è gestito da un sistema informatico cui si accede attraverso l'introduzione di un'apposita carta magnetica e la digitazione di un codice di identificazione personale (PIN). Può accadere che lo sportello utilizzato per il prelievo appartenga ad una banca diversa da quella che ha rilasciato la carta magnetica. Dal momento che, in questo caso, l'utente potrà solo richiedere denaro contante (nei limiti e alle condizioni stabiliti dalle banche), dovrà ritenersi esclusa la sussistenza del reato in esame al caso di specie. Nell'ipotesi, invece, in cui venga utilizzato uno sportello automatico della banca emittente, l'utente potrà non solo ottenere denaro contante, ma anche ricevere alcune informazioni sul conto corrente corrispondente alla carta magnetica inserita, quale il saldo contabile, quello disponibile, i movimenti del conto nel mese in corso, ecc. Questa seconda situazione, ovvero la condotta di chi si è inserito nel sistema utilizzando una carta magnetica falsa o appartenente ad altri e digitando il codice di identificazione ad essa abbinato, integra senz'altro gli estremi del reato di accesso abusivo anche se tale norma è destinata a soccombere di fronte all'applicazione dell'art. 12 della legge 197 del 1991, costituendo l'accesso abusivo un antefatto non punibile del diverso e più grave reato di utilizzazione indebita di un "documento ... che abilita al prelievo di denaro contante" (110).

4.7. Il furto di dati

Le considerazioni appena svolte, richiamano l'ulteriore problematica del "furto di dati". In merito si può osservare che l'indebita acquisizione di dati o di programmi 'riservati' non può essere ricondotta alla norma sul furto (art. 624 c.p.), almeno tutte le volte in cui essa non si realizzi attraverso la sottrazione, sia pure momentanea, del supporto materiale (disco o nastro magnetico, ottico o similare) sul quale tali dati o programmi sono memorizzati. Diversamente, si finirebbe con l'affermare, in violazione del divieto di analogia in materia penale, che rientrano nella nozione di "cosa mobile altrui", ai sensi dell'art. 624 c.p., anche le informazioni 'riservate' rappresentate in forma elettronica, che di quei dati o programmi costituiscono il contenuto. L'estraneità del fenomeno in esame alla fattispecie del furto risulta evidente, inoltre, se si considera che l'acquisizione di dati o programmi indipendentemente dal loro supporto, si realizza attraverso la riproduzione di essi su un altro supporto magnetico, che non compromette né l'integrità dei dati originari, né la loro piena disponibilità da parte del detentore; "ne segue che ciò che soltanto può essere considerato oggetto di 'impossessamento' - il contenuto dei dati riprodotti - non può dirsi al contempo oggetto di sottrazione, potendosi quest'ultima al limite riferire alla esclusività del possesso di quei dati o programmi da parte del detentore" (111).

Nella relazione ministeriale più volte citata si legge: "La sottrazione di dati, quando non si estenda ai supporti materiali su cui i dati sono impressi (nel qual caso si configura con evidenza il reato di furto) altro non è che una 'presa di conoscenza' di notizie, ossia un fatto intellettivo rientrante, se del caso, nelle previsioni concernenti la violazione dei segreti".

Senza disturbare le "previsioni concernenti la violazione dei segreti", si può comunque sostenere che l'acquisizione indebita di dati 'riservati' trova tutela proprio attraverso la disposizione sull'accesso abusivo. Il fatto è confermato, tra l'altro, sia dalla sentenza del tribunale di Torino del '98, secondo la quale la duplicazione non autorizzata dei dati di un sistema informatico è condotta che rimane confinata nell'art. 615 ter c.p. perché "se il legislatore avesse voluto punire il 'furto informatico' l'avrebbe fatto espressamente" (112); sia da Carlo Sarzana: "Il modo indiretto con il quale si è cercato di ovviare alla illecita presa di conoscenza di dati o di informazioni o programmi è stato quello relativo alla introduzione di una norma che punisce l'accesso non autorizzato" (113).

4.8. Sulle misure di sicurezza in particolare

Le "misure di sicurezza" hanno la funzione, secondo quanto affermato nella relazione al disegno di legge, di circoscrivere la tutela non a qualsiasi dato memorizzato, ma solo a quei dati rispetto ai quali il titolare del sistema ha manifestato, attraverso la loro predisposizione, un interesse alla riservatezza (114).

Può trattarsi sia di misure di sicurezza logiche (lato software) come, ad esempio, di codici alfabetici o numerici da digitarsi alla tastiera o memorizzati sulla banda magnetica di una tessera da introdurre in un apposito lettore, o di dati antropometrici - impronta digitale o reticolo venoso della retina dell'occhio - rilevabili da un apposito sensore; sia di misure di tipo fisico (lato hardware) come, ad esempio, una chiave metallica per l'accensione dell'elaboratore. L'idoneità di queste ultime, occorre precisare, è limitata ad una protezione del sistema soltanto rispetto ad accessi realizzati "da vicino" e non anche "da lontano" (caso in cui l'elaboratore sia collegato in rete) (115).

In realtà, sul fatto che misure di tipo fisico rientrino nella nozione di "misure di sicurezza", non esiste consenso unanime in dottrina, ma, in contrario, oltre che sulla funzione cui sono preordinate, è possibile far leva sul n. 2 del secondo comma dell'art. 615 ter c.p. che prevede, come circostanza aggravante, l'uso di violenza sulle cose.

In particolare, non rientrano nella nozione in esame le eventuali misure di protezione dei locali nei quali è custodito il sistema informatico (116): l'art. 615 ter c.p., infatti, attribuisce il requisito direttamente al "sistema informatico o telematico" oggetto di accesso abusivo, perché è solo attraverso misure di questo tipo che la vittima manifesta in modo inequivoco l'interesse alla riservatezza dei dati e/o programmi che vi sono contenuti. L'interdizione all'accesso al locale in cui si trova il computer da parte di soggetti non autorizzati offre una protezione solo indiretta ed eventuale al sistema informatico: oltre a non rivestire alcun ruolo nei casi di accesso abusivo "per via elettronica" (similmente alle altre misure di tipo fisico) è, infatti, generalmente finalizzata ad evitare l'utilizzo del sistema da parte di estranei, con il rischio conseguente di danni, volontari o accidentali, alle componenti fisiche o logiche (dati e programmi) del sistema stesso.

Alla luce della funzione che svolge il requisito in esame, non è necessaria, per la sussistenza del reato, la violazione delle misure di sicurezza da parte dell'agente che, infatti, a differenza di gran parte delle analoghe disposizioni di altri ordinamenti, non è richiesta espressamente dalla norma italiana. È sufficiente che il sistema sia protetto e che l'agente ne sia a conoscenza. L'art. 615 ter c.p. si applica, ad esempio, anche nel caso in cui l'introduzione abusiva si verifichi in una situazione di temporanea disattivazione di tali misure (perché, ad esempio, in corso di sostituzione) (117). Nessuna violazione delle misure di protezione si avrà, del resto, nelle ipotesi di permanenza nel sistema informatico altrui contro la volontà espressa o tacita del titolare dello ius excludendi, dal momento che l'introduzione all'interno del sistema sarà avvenuta legittimamente o in modo del tutto casuale (118).

Non può, inoltre, essere condivisa la tesi, sostenuta dal tribunale di Roma (119), secondo la quale l'idoneità dei dispositivi deve essere valutata in base alla loro effettiva capacità di impedire l'accesso al sistema: il tribunale, evidentemente, omette di considerare un dato fondamentale e cioè che sistemi veramente sicuri non esistono e che la costante e continua evoluzione dell'informatica e della telematica è in grado di rendere in breve tempo obsolete "misure" considerate, al momento della loro predisposizione, di assoluta efficacia.

La norma si limita a richiedere che il sistema sia dotato di misure di sicurezza così che l'agente possa avvedersi della necessità di un'autorizzazione per l'accesso ai dati memorizzati. Nulla dice, invece, in ordine alla loro idoneità, nonostante il tribunale dichiari che "l'esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie incriminatrice di cui all'art. 615 ter c.p." e che tali mezzi debbano "offrire certezza assoluta di impenetrabilità". In ogni caso, tale "efficacia" dovrebbe essere valutata in base alla funzione affidata a tali dispositivi e non alla stregua di eventuali quanto improbabili standard di sicurezza. Il fatto poi che gli amministratori di sistema debbano mantenere costantemente aggiornate le misure di protezione per evitare abusi, nulla toglie alla configurabilità della fattispecie in discorso anche laddove, a presidiare l'elaboratore, vi sia una password banale (120).

In ordine al requisito in esame, mi sono sembrate piuttosto significative, tra le altre, le considerazioni di Francesco Mucciarelli (121). Questi si domanda se la formulazione del precetto consenta di estendere l'applicabilità della norma al fatto di chi acceda ad un sistema non protetto in presenza di un divieto espresso del titolare del diritto di esclusione. In effetti, sostiene l'autore, coerenza sistematica indurrebbe ad una risposta affermativa, dal momento che il mezzo di protezione tiene in sostanza luogo del divieto, espresso o tacito, del titolare del sistema. In contrario, osserva, il rispetto del principio di tassatività delle fattispecie penalmente rilevanti impone all'interprete di limitarsi a prendere atto di questa lacuna, irrimediabile se non attraverso un'inammissibile lettura analogica in malam partem della disposizione. Alla stessa conclusione si perviene a fortiori, per la condotta alternativa del "mantenersi": in questo caso, la norma richiede espressamente, in aggiunta al requisito della protezione, la "volontà espressa o tacita" del titolare dello ius excludendi, così che, se sussiste quest'ultimo elemento, ma manca il primo, l'agente non realizza il reato de quo.

Nella stessa direzione di Mucciarelli, si svolgono le riflessioni di Francesco Pazienza il quale, in sintesi, sostiene che la locuzione in questione altro non sia se non un inutile e grave duplicato del già enunciato "contro la volontà espressa o tacita di chi ha il diritto di escluderlo". L'affermazione è evidentemente viziata dall'aver riferito quest'ultimo elemento ad entrambe le condotte (122), ma non perde di validità se comunque si considera che la condotta dell'"introdursi" è caratterizzata da quell'"abusivamente" che, appunto, "null'altro può significare se non che il soggetto attivo del reato ha operato 'contro la volontà espressa o tacita di chi ha il diritto di escluderlo'" (123). In altri termini, la norma non avrebbe perso in vigore ed efficacia se, più semplicemente e linearmente, il legislatore avesse detto: "Chiunque accede a un sistema informatico o telematico ovvero vi permane contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito ...".

Il problema è stato affrontato anche dalla Corte di Cassazione nella sentenza n. 1675 del 2000 (124): chiamata a pronunciarsi su un'ipotesi di permanenza in un sistema, da un lato, ha sostenuto la necessità che "il sistema informatico non sia aperto a tutti", dall'altro, però, ha chiarito che tale condotta illecita "è caratterizzata dalla contravvenzione alle disposizioni del titolare" e che vi sono casi in cui "è evidente che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei".

In questa prospettiva, le "misure di sicurezza" appaiono affermare una incongrua discriminazione tra sistemi che ne sono assistiti e sistemi che ne sono sprovvisti.

Un sistema, sembra confermare la Corte, dovrebbe giuridicamente essere tutelato a prescindere dalla predisposizione di dette misure e l'esistenza di un illecito dovrebbe essere ricondotta principalmente all'elemento soggettivo della fattispecie di reato e cioè all'elemento psicologico di chi agisce: la semplice consapevolezza dell'altruità del sistema dovrebbe implicare la necessità del consenso del titolare per qualsiasi tipo di disposizione e gestione dei dati (125).

Le osservazioni appena svolte sembrerebbero fondate, ma, ad un'analisi più approfondita, ci si accorge che muovono da una premessa, sulla funzione delle misure di sicurezza, incentrata anziché sul bene giuridico della riservatezza, su quello, dalla giurisprudenza condiviso, del "domicilio informatico" (126). La predisposizione di misure di sicurezza, invece, non rappresenta solo un indice significativo del dissenso all'accesso o alla permanenza del titolare del sistema, ma opera nel senso di individuare quali, tra i dati del sistema, sono "riservati" e, quindi, oggetto di tutela. In particolare, con riguardo alla condotta alternativa del "mantenersi", tale requisito, permette di evitare l'incriminazione di ipotesi di utilizzo indebito dell'elaboratore da parte di insider (127) che il legislatore non risulta aver voluto sanzionare (almeno penalmente): il rischio di una generalizzata applicazione della norma in esame anche in ipotesi di "così limitata dannosità", esporrebbe la disposizione stessa a censura d'incostituzionalità per violazione del principio di proporzione (128).

In ordine all'avverbio "abusivamente" che qualifica l'introduzione, vi sono autori che considerano tale termine una clausola di antigiuridicità speciale: secondo Antolisei, potrebbero integrare l'inciso in discorso "pregnanti esigenze morali e di difesa della propria onorabilità o la necessità di contrastare condotte violatrici di specifici principi deontologici" (129); per Fondaroli si tratta di un rinvio "alla normativa extrapenale cui è demandato il compito di regolare l'accesso 'lecito' al sistema di elaborazione" (130).

Mi sembra invece, con Mantovani, che il termine "nulla appare aggiungere all'antigiuridicità generale e non concorre, perciò, a descrivere il fatto, limitandosi, pleonasticamente, a ribadire la necessità dell'assenza di scriminanti a cominciare dal consenso dell'avente diritto" (131).

Ritengo, ad ogni modo, che alla base della prolissa formulazione della norma e delle difficoltà interpretative e, quindi, applicative della stessa, vi sia stata, oltre che una certa atecnicità nel rapportarsi alla problematica, la volontà del legislatore, da un lato, di seguire la terminologia indicata dal Consiglio d'Europa (con la Raccomandazione Nº R (89) 9), dall'altra, di riagganciare lo schema della condotta sanzionabile alla "violazione di domicilio". Alla fine non ha rinunciato né all'"abusivo" e alle "misure di sicurezza", né al "contro la volontà espressa o tacita".

4.9. L'introduzione abusiva

Secondo il disposto dell'art. 615 ter c.p., il reato di accesso abusivo può consistere innanzitutto nel fatto di "introdursi abusivamente" in un sistema informatico o telematico protetto da misure di sicurezza: la simmetria con la norma che tutela la violazione di domicilio, assunta dal legislatore a modello di riferimento, si ritrova sia nella definizione di questa forma della condotta tipica come "introduzione", anziché come "accesso", secondo la formula più diffusa nelle norme di questo tipo, sia nella rilevanza che viene attribuita, già sul piano del fatto tipico, al dissenso del titolare del sistema informatico violato, o più precisamente del titolare dello ius excludendi. In questo senso, infatti, deve essere interpretato l'avverbio "abusivamente", con il quale il legislatore ha caratterizzato la condotta "introduttiva", così come, per la diversa ipotesi della "permanenza", ha previsto che essa avvenga "contro la volontà espressa o tacita di chi ha il diritto di escluderlo", utilizzando una formula differente per soddisfare, verosimilmente, esigenze di forma e di stile più che riflettere diversità di sostanza.

Del resto, dal momento che la disposizione in esame non richiede che l'introduzione - così come la permanenza - si realizzi attraverso la violazione di misure di sicurezza, il fatto di accedere ad un sistema informatico o telematico protetto appare del tutto lecito e inoffensivo del bene giuridico tutelato, sino a quando non si specifica che deve trattarsi di un accesso non autorizzato, ossia non sorretto dal consenso del titolare dei dati e dei programmi conservati nel sistema stesso.

L'introduzione in un sistema informatico ai sensi dell'art. 615 ter c.p. consiste nell'ottenere l'accesso alla memoria interna del sistema, mettendosi così nella condizione di poter richiamare i dati e i programmi che vi sono registrati o che sono eventualmente contenuti su supporti esterni collegati con il sistema stesso, senza che sia, a tale fine, necessario superare ulteriori barriere logiche o fisiche: è solo a partire da questo momento che si determina quella situazione di pericolo per la riservatezza dei dati e dei programmi in vario modo presenti nell'elaboratore, e perciò attraverso di esso consultabili e riproducibili, che giustifica l'intervento della sanzione penale (132).

Irrilevante, ovviamente, è l'eventualità che l'accesso ad alcuni dei dati o dei programmi presenti nel sistema violato sia condizionato al superamento di ulteriori misure di protezione: ad integrare il reato in esame è infatti sufficiente l'accesso alla memoria interna del sistema o, quanto meno, a una parte di tale memoria che risulti protetta contro le intrusioni di soggetti non autorizzati.

In base al tenore letterale della norma è da escludere che il reato di accesso abusivo - che come si è detto assume i caratteri di un reato di pericolo astratto - si perfezioni solo nel momento in cui l'agente ha preso conoscenza dei dati e dei programmi memorizzati nel sistema violato (133): l'art. 615 ter c.p., infatti, si limita a reprimere l'introduzione nel sistema altrui, anticipando così la punibilità ad uno stadio anteriore rispetto a quello della conoscenza dei dati e dei programmi, che potrebbe quindi non realizzarsi. Certo la conoscenza di alcuni dati è inevitabilmente presente in tutti i casi di accesso abusivo, perché chi riesce ad introdursi nella memoria del sistema vede di solito riprodotto sullo schermo dell'elaboratore, anche se in modo sintetico e talvolta simbolico, l'insieme dei documenti e dei programmi che vi sono contenuti o che sono comunque in quel momento accessibili (perché, ad esempio, presenti su supporti di memoria esterni): solo in questo senso può quindi dirsi che l'introduzione nel sistema informatico altrui coincide con l'accesso alla conoscenza di alcuni dati e programmi, restando peraltro chiaro che ove, per qualsiasi ragione, non si dovesse pervenire alla conoscenza neppure di questi dati la fattispecie di accesso abusivo risulterebbe comunque integrata, quantomeno nella condotta tipica.

La nozione di introduzione viene ulteriormente specificandosi in base al tipo di misura di sicurezza installato nel sistema informatico violato: poiché, infatti, il legislatore ha voluto delimitare l'ambito di applicazione della norma ai soli casi di introduzione abusiva in un sistema informatico "protetto", la tutela penale appare destinata ad operare allorché le misure di protezione adottate dal titolare del sistema non siano più in grado di svolgere la loro funzione, essendo state aggirate o comunque superate dall'utente abusivo.

Così, ad esempio, se l'accesso al computer è subordinato esclusivamente all'inserimento di un'apposita chiave di accensione, l'introduzione abusiva potrà dirsi avvenuta sin dal momento in cui si inizia a dialogare con l'elaboratore indebitamente messo in funzione attraverso l'inserimento di una chiave falsa o della chiave vera illecitamente posseduta, oppure approfittando consapevolmente della temporanea disattivazione della protezione: è a partire da questo momento, infatti che il superamento dei dispositivi di questo tipo comporta una totale libertà di movimento all'interno dell'elaboratore. Qualora, invece, l'ingresso nel sistema richieda l'introduzione di una o più password o di un codice personale, si avrà accesso abusivo non già al primo contatto con l'elaboratore, ma solo al termine della procedura di identificazione dell'utente, e solo a condizione che essa abbia avuto esito positivo (134).

Può accadere, infine, che le misure di protezione del sistema - qualunque esse siano: una chiave di accensione o un qualche dispositivo per il riconoscimento dell'utente - siano state già superate regolarmente da una persona autorizzata che si sia poi temporaneamente allontanata dall'elaboratore, offrendo così l'opportunità a un terzo estraneo di inserirvisi. Tale situazione può essere equiparata a quella, già vista, della temporanea disattivazione delle misure di sicurezza e, quindi, può per essa ripetersi quanto già affermato: la condotta integrerà gli estremi dell'introduzione abusiva qualora il terzo si serva del sistema pur essendo a conoscenza che lo stesso, nonostante l'apparenza, sia protetto. In questo caso, infatti, la semplice lettura dei dati eventualmente presenti sullo schermo già acceso non sarà sufficiente ad integrare la condotta in esame, mentre potrà dirsi realizzata un''introduzione' abusiva, ai sensi dell'art. 615 ter c.p., a partire dal momento in cui l'agente utilizzi materialmente l'elaboratore per eseguire una qualche operazione (ad esempio, richiamare dati o anche solo visualizzare il menù dei documenti e dei programmi disponibili) che "determini una situazione di ulteriore e più immediato pericolo per la riservatezza dei dati e dei programmi in esso contenuti" (135).

4.10. L'introduzione abusiva da parte di una persona legittimata all'uso del sistema

Benché il fenomeno dell'accesso abusivo venga solitamente trattato con riferimento alle imprese degli hackers, che si introducono nei sistemi informatici attraverso un sistema di telecomunicazione, servendosi di un altro computer (cosiddetto accesso da lontano), ancora più diffusi e pericolosi sono i casi nei quali l'intrusione è opera di una persona che, spesso per ragioni di lavoro, si trova a diretto contatto con il sistema o con un suo terminale (cosiddetto accesso da vicino): l'esperienza ha infatti dimostrato che gli accessi abusivi sono realizzati soprattutto da dipendenti (insider), che riescono ad aggirare senza grosse difficoltà le misure di sicurezza di cui è dotato il sistema informatico del loro datore di lavoro (servendosi, ad esempio, della password assegnata ad un collega), o che approfittano della loro legittimazione all'uso dell'elaboratore per accedere a dati e programmi "riservati". Come la maggior parte delle norme sull'accesso abusivo introdotte negli altri paesi, anche la norma italiana risulta in linea di massima applicabile a tutte la forme di accesso sino ad oggi note: può trattarsi, indifferentemente, di intrusioni realizzate per via telematica, da chi si trova anche a notevole distanza dal computer violato, così come di accessi a distanza ravvicinata, da parte di chi sia fisicamente a contatto col computer ed operi direttamente sulle sue componenti. Allo stesso modo, irrilevante è il fatto che l'introduzione abusiva sia posta in essere da una persona del tutto estranea al sistema (outsider hacking) oppure da una persona con la quale la vittima intrattiene dei rapporti, lavorativi o di altro tipo, in occasione dei quali si è reso possibile l'abuso (insider hacking) (136).

Qualche perplessità può sorgere, però, sulla riconducibilità all'art. 615 ter c.p. di quelle ipotesi nelle quali ad introdursi abusivamente sia una persona provvista di un'autorizzazione all'uso del sistema, ancorché si tratti di un'autorizzazione condizionata alla consultazione e all'impiego di alcuni soltanto dei dati e dei programmi presenti nella memoria del sistema: la norma italiana, infatti, non prevede espressamente l'ipotesi - di solito contemplata dalle norme straniere, proprio per ricomprendere i casi in esame (137) - che l'accesso abusivo abbia ad oggetto una parte soltanto del sistema informatico (rectius: della sua memoria interna), dando così apparentemente rilevanza solo agli abusi realizzati da outsider, ovvero da insider privi di qualsiasi autorizzazione all'uso dell'elaboratore.

Nonostante il silenzio del legislatore sul punto, non sembra tuttavia possa dubitarsi che integri un'introduzione abusiva in un sistema protetto ai sensi dell'art. 615 ter c.p. la condotta del dipendente che, oltrepassando i limiti della propria legittimazione, si inserisca in una zona della memoria interna dell'elaboratore che non solo sia diversa da quelle nelle quali gli è consentito l'ingresso, ma che sia anche dotata di un autonomi dispositivi di protezione, ossia di congegni di sicurezza ulteriori rispetto a quelli che egli deve (e può) eventualmente superare in quanto utente legittimo del sistema.

Ad una diversa conclusione potrebbe pervenirsi considerando come "sistema protetto" soltanto quello che richiede (anche o in via esclusiva) il superamento di barriere logiche o fisiche già per la sua semplice accensione o comunque per l'ingresso "iniziale" nella memoria interna, e non invece quello che, pur non risultando protetto nel suo complesso, contenga delle misure di sicurezza per prevenire l'accesso ad alcuni dei dati e dei programmi che vi sono immagazzinati (138). Un'interpretazione così riduttiva di tale elemento tipico non pare però in alcun modo giustificabile sulla base del tenore letterale dell'art. 615 ter c.p., che fa genericamente riferimento alla necessità che il sistema informatico sia protetto da misure di sicurezza, senza specificare natura e funzioni di queste ultime; ciò che importa ai fini della sussistenza del reato sembra piuttosto che il sistema informatico violato sia dotato di misure di sicurezza e che l'intrusione si sia verificata proprio nella zona protetta del sistema.

In definitiva, del reato previsto dall'art. 615 ter c.p., può essere richiamato a rispondere sia colui che da estraneo al sistema se ne procuri abusivamente l'accesso (può trattarsi di un outsider ovvero di un insider cui non sia in alcun modo consentito l'utilizzo del sistema), sia colui che, pur essendo autorizzato ad accedere ad alcune parti del sistema, riesca ad inserirsi abusivamente in una parte protetta da misure di sicurezza nella quale si trovano dati e/o programmi alla cui consultazione egli non sia legittimato.

Fuoriescono, invece, dall'ambito di operatività della disposizione in esame tutte quelle ipotesi in cui la condotta abusiva posta in essere da una persona legittimata all'uso del sistema si esaurisca nello svolgimento di operazioni non consentite, come ad esempio la richiesta di visualizzare o stampare certi dati, l'utilizzo di un programma particolare ecc. (sulla impossibilità di ricondurre questa condotta all'ipotesi della permanenza abusiva in un sistema protetto, vedi paragrafo successivo). Si tratta, del resto, di condotte non pericolose per la riservatezza dei dati e dei programmi contenuti nel sistema - quantomeno secondo la valutazione del soggetto interessato, che non ha provveduto a prevenirle attraverso la predisposizione di apposite misure di protezione -, e che, pur potendo comportare dei costi non indifferenti per il titolare del sistema stesso, non sono state considerate penalmente rilevanti dal legislatore italiano, neanche nell'ipotesi più significativa del c.d. furto di tempo (139);

Non potrebbe, ad esempio, essere ricondotto alla norma italiana sull'accesso abusivo, il caso, giudicato dalle Corti federali americane, di un impiegato che, essendo legittimato all'accesso ad un sistema informatico per ragioni di lavoro, si era servito dell'elaboratore per ottenere informazioni a scopo personale. L'impiegato operava presso la sede di Boston della Divisione Servizi Contribuenti dell'Erario (Taxpayer Services Division of the Internal Revenue Service), suo compito era quello di fornire agli utenti informazioni riguardanti la loro situazione contributiva. A tal fine si serviva di un terminale collegato ad un sistema informatico denominato Sistema integrato di ricerca informazioni (Integrated Data Retrieval System) per richiamare i dati delle dichiarazioni dei redditi dei singoli contribuenti. Nonostante il regolamento interno proibisse un uso del sistema non finalizzato all'adempimento delle proprie prestazioni lavorative, l'imputato si era ripetutamente servito dello stesso per richiamare dati senza che vi fosse stata alcuna richiesta in proposito, ma solo per esclusivo interesse e vantaggio personale (140).

Alla stessa conclusione, ovvero di escludere che la mera utilizzazione indebita possa integrare gli estremi del reato di accesso abusivo, si perviene pacificamente in quegli ordinamenti in cui la condotta tipica si caratterizza, tra l'altro, per la violazione delle misure di sicurezza. Con tale espressa previsione, il legislatore ha evidentemente inteso sanzionare solo comportamenti in cui non vi sia alcun dubbio sul carattere non autorizzato dell'accesso realizzato dal dipendente; a fortiori, non potrebbero rientrare nella norma ipotesi in cui l'agente si limita a utilizzare l'elaboratore per finalità diverse da quelle per le quali solo gli è consentito di usarlo.

In altri ordinamenti, invece, nei quali il requisito della violazione delle misure di sicurezza è assente dalle norme sull'accesso abusivo, l'obiettivo di limitare la rilevanza penale degli abusi degli insider alle sole ipotesi di vera e propria intrusione in settori della memoria interna del sistema per i quali non opera l'autorizzazione, siano o meno protetti con apposite misure di sicurezza, viene perseguito valorizzando la distinzione tra fatti commessi in mancanza di autorizzazione (penalmente rilevanti) e fatti realizzati oltrepassando i limiti dell'autorizzazione ricevuta (penalmente irrilevanti). Si tratta, come è evidente, di un criterio di applicazione non sempre facile, come dimostra l'esperienza della giurisprudenza inglese, e ancor più di quella nordamericana, la quale si trova spesso a dover applicare disposizioni sulla criminalità informatica - emanate sia a livello federale che statale - nelle quali la differenza tra access without authorization ed exceeding authorized access è stata espressamente sancita dal legislatore.

4.11. La permanenza non autorizzata

Oltre all'introduzione abusiva, l'art. 615 ter c.p. contempla, sulla falsariga dell'art. 614 c.p., ma in modo alquanto originale nel panorama internazionale, la diversa ipotesi della permanenza non autorizzata in un sistema informatico protetto. La fattispecie si realizza quando l'agente "vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo". Trattandosi di due condotte tra loro alternative ("ovvero"), la permanenza abusiva ha come presupposto che l'introduzione nel sistema protetto sia avvenuta per caso - in conseguenza, ad esempio, di un errore nella digitazione dell'indirizzo di un sito raggiungibile via Internet - o comunque in modo lecito, e che sia quindi solo la "sosta" nella memoria interna dell'elaboratore a non essere autorizzata. D'altra parte, non essendoci alcun dubbio, in base alla formulazione letterale della norma, sul fatto che anche questa ipotesi debba avere ad oggetto sistemi informatici provvisti di congegni di sicurezza, è evidente che l'agente deve trovarsi all'interno di un'area protetta del sistema, senza cioè che a tal fine sia necessario superare delle barriere di protezione: è solo a queste condizioni, infatti, che la sua permanenza comporta la protrazione nel tempo di quella situazione di pericolo, per i dati e i programmi, che deriva dalla possibilità che egli ha di far svolgere al sistema una qualsiasi delle tante operazione consentite all'utente legittimo (prima fra tutte quella di visualizzare i dati e riprodurli).

Un'ulteriore delimitazione della condotta in esame si impone alla luce della funzione che svolge, all'interno della norma, l'incriminazione della permanenza non autorizzata: quella di completare la tutela già assicurata al titolare del sistema nei confronti degli accessi abusivi veri e propri, consistenti nell'introduzione in una zona protetta, salvaguardando la riservatezza dei dati e dei programmi anche dal pericolo rappresentato da chi si trova all'interno del sistema in conseguenza di un ingresso lecito, e quindi sfugge sia ad un'eventuale responsabilità per le modalità di intrusione, sia allo sbarramento rappresentato dalle misure di sicurezza predisposte dal titolare che, in quanto già oltrepassate, casualmente o comunque lecitamente, non possono più svolgere alcuna funzione protettiva. Muovendo da questa premessa, si può ravvisare una permanenza non autorizzata in un sistema protetto solo in presenza di una condotta che avrebbe integrato gli estremi della "introduzione abusiva" se non fosse avvenuta per caso o sulla base di un'autorizzazione iniziale: questa precisazione sembra indispensabile per evitare che a questa ipotesi vengano ricondotti tutti quei casi di indebito utilizzo dell'elaboratore da parte di insider, che non costituiscono - nel nostro, come in molti altri ordinamenti - un accesso abusivo in senso stretto, perché non comportano l'intrusione in un'area protetta del sistema.

In definitiva, realizza una permanenza "abusiva" in un sistema informatico protetto colui il quale, essendosi trovato casualmente all'interno del sistema, non provveda a chiudere il collegamento (telefonico o di altro tipo) o comunque a cercare la strada verso l'uscita, una volta appreso che si tratta di un sistema protetto, rispetto al quale la sua presenza non è autorizzata.

Più delicato, invece, è il caso in cui ad un'introduzione nel sistema inizialmente autorizzata faccia seguito una permanenza abusiva: per le ragioni sopra esposte vengono qui in rilievo solo quelle autorizzazioni all'accesso ad un sistema protetto che sono per certi aspetti eccezionali, in quanto attribuite ad una persona solo per lo svolgimento di certe operazioni e per il tempo ad esse strettamente necessario (si pensi, ad esempio, al tecnico incaricato di risolvere un problema per il quale si renda necessario 'entrare' nel sistema, così come al programmatore che deve installare un nuovo programma, o anche ad un impiegato cui si richiede, in via occasionale e temporanea, l'esecuzione di un lavoro attraverso l'elaboratore). In presenza di un'autorizzazione di questo tipo, che lascia del tutto impregiudicata l'interesse del titolare alla riservatezza dei dati e dei programmi presenti nel sistema anche nei confronti della persona 'eccezionalmente' legittimata all'accesso, si realizza una permanenza abusiva allorquando l'estraneo si intrattiene nel sistema protetto una volta completata l'operazione della quale era stato incaricato e per lo svolgimento della quale soltanto era stato autorizzato ad inserirvisi. Come per l'ipotesi precedente, anche in questo caso non si richiede che l'agente effettui una o più operazioni non consentite sui dati o sui programmi esistenti nel sistema, "avendo il legislatore sanzionato la mera 'permanenza' nel sistema e non le attività poste in essere contestualmente" (141).

Non diversamente da quanto si è visto a proposito dell'introduzione, anche per l'ipotesi della permanenza, la contraria volontà "espressa o tacita" del titolare dello ius excludendi contribuisce a caratterizzare la condotta tipica: tale volontà - che, a differenza di quanto prevede l'art. 614 c.p. per la permanenza nell'altrui abitazione, può essere anche 'tacita' - potrà ricavarsi, ad esempio, dalla circostanza che l'area del sistema nel quale ci si è venuti a trovare è un'area protetta, per il cui ingresso non si è ricevuta alcuna autorizzazione, oppure potrà essere nota all'agente in quanto manifestata dal titolare dello ius excludendi in via preventiva, oppure successivamente, attraverso una comunicazione elettronica, qualora il sistema informatico coinvolto sia collegato in rete.

4.12. Le circostanze aggravanti

Il reato di accesso abusivo prevede diverse circostanze aggravanti, in presenza delle quali la pena base della reclusione fino a tre anni è sostituita dalla reclusione da uno a cinque anni o dalla reclusione da tre a otto anni se la circostanza del terzo comma coesiste con una di quelle indicate nel secondo comma. In base al quarto comma della disposizione, la presenza di una circostanza aggravante rende il delitto perseguibile, non più a querela della persona offesa, ma d'ufficio.

Tra le circostanze previste nel secondo comma, quelle di cui ai nn. 1 (142) e 2 (143) corrispondono (la prima, in parte), rispettivamente, alle aggravanti del delitto di interferenze illecite nella vita privata (art. 615 bis c.p.) e di violazione di domicilio (art. 614 c.p.) (144).

In questa sede prenderò, quindi, in considerazione, solo quelle circostanze che in modo peculiare caratterizzano la disposizione in esame.

Tra queste, merita innanzitutto attenzione l'originale previsione (nell'ambito del n. 1) che ricollega un aumento di pena all'ipotesi in cui il fatto sia stato commesso "con abuso della qualità di operatore di sistema". Tale circostanza caratterizza diverse ipotesi di reato introdotte con la legge n. 547 del 1993 (frode informatica, falso informatico, danneggiamento informatico, ecc.) e trova la sua ratio nella posizione privilegiata in cui si trova chi, per svolgere le sue mansioni, è autorizzato ad accedere al sistema.

L'aumento di pena previsto dalla circostanza aggravante in esame è stato indubbiamente determinato dalla volontà del legislatore di punire più gravemente quei soggetti che fossero incorsi nel reato de quo approfittando delle conoscenze acquisite in virtù del loro rapporto privilegiato con l'elaboratore. È evidente, infatti, che operare su un dato sistema permette di maturare conoscenze sul funzionamento dello stesso che possono agevolare la commissione del reato.

La questione interpretativa che parte della dottrina si è posta, è stata cercare di capire quanto "privilegiato" dovesse essere questo rapporto, se cioè fosse necessario distinguere, tra i diversi soggetti abilitati ad operare sul sistema, quelli il cui rapporto con lo stesso non si qualificasse come particolarmente pericoloso per la riservatezza dei dati in esso contenuti e che, quindi, non sarebbero stati contemplati dall'aggravante, da quelli che, invece, ma sempre in ragione dei compiti loro assegnati, disponessero di una libertà operativa e di conoscenze tali da poter commettere il reato con quella speciale facilità da giustificare l'applicazione dell'aggravante. Claudia Pecorella, ad esempio, ritiene che per "operatore di sistema" debba intendersi quella particolare figura di tecnico dell'informatica che assume la qualifica di system administrator (145). Questi presiede al corretto funzionamento del sistema e della rete, stabilisce le condizioni e le procedure che legittimano gli utenti all'accesso, organizza la condivisione delle risorse disponibili, ha, in altri termini, piena disponibilità dell'intera struttura informatica. Il fatto che possa accedere a qualsiasi settore della memoria del sistema lo rende oltremodo "pericoloso" per la riservatezza dei dati. Seguendo questa logica, potrebbe facilmente esulare dalla nozione in esame il semplice "operatore" (operator), che svolge funzioni meramente esecutive e manuali, ma, allo stesso modo, non vi potrebbero rientrare quelle altre figure professionali - come ad esempio, il programmatore, il sistemista o l'analista - che disponendo di una conoscenza settoriale e limitata del sistema, non sarebbero in condizione di poter realizzare un accesso abusivo (o qualsiasi altro reato informatico) con altrettanta facilità.

Mi sembra invece che, come indicavo all'inizio, la figura in esame coincida con qualsiasi soggetto che, operando sul sistema, abbia potuto realizzare la condotta dell'introdursi o del mantenersi (146), in virtù di quelle conoscenze specifiche maturate nell'ambito delle mansioni cui era preposto.

Nell'assumere questa posizione, seguo la tesi di Giorgio Pica il quale, da un lato, spiega come non sia possibile identificare il soggetto indicato dalla circostanza aggravante in base alla sua qualifica professionale, dall'altro che "la disposizione in esame vuole piuttosto sottolineare il momento di collegamento 'funzionale' (anche se occasionale) di un determinato soggetto, per ragioni inerenti ai suoi compiti professionali, con il sistema informatico violato" (147). È punito più gravemente, infatti, chi approfitta delle proprie personali e particolari conoscenze, non astrattamente intese, ma concretamente riferibili al sistema sul quale opera e che lo privilegiano, di conseguenza, nella possibilità di commettere il reato. Se la previsione legislativa fosse ancorata ad una specifica qualifica lavorativa o ad una determinata qualità tecnico-professionale astratta del soggetto, da un lato, la disposizione perderebbe qualsiasi garanzia di certezza e tassatività, e rischierebbe di restare in balia delle categorie professionali che nel settore informatico sono soggette a continue mutazioni, dall'altro, vedrebbe snaturata la sua funzione di aggravare la pena non per le conoscenze teoriche dell'agente, ma per avere questi "abusato" del rapporto funzionale di cui era investito nei confronti del sistema. In altri termini, l'aumento di pena si fonda sul fatto che l'agente abbia approfittato del rapporto privilegiato con la tecnologia che poi viola, e del rapporto di fiducia che lo legava al titolare del sistema violato (148).

La norma, va ribadito, richiede che tale soggetto abbia "abusato" della sua "qualità", cosa che si verifica tutte le volte in cui questi eccede i limiti dei compiti ad esso affidati: "per cui ben si applicherà l'aggravante al tastierista, o al programmatore, all'analista o al tecnico installatore, i quali, rispettivamente chiamati ad immettere in un sistema nuovi dati, ovvero a programmare nuove funzioni, o a correggere errori o difetti di programmazione, o ad installare nuovi software, approfittino di tale funzione per introdursi (o mantenersi) in settori o dati dello stesso sistema diversi da quelli sui quali sono chiamati ad operare" (149).

In ordine alla circostanza aggravante incentrata sulla causazione di un danno al sistema o alle sue componenti, logiche o fisiche, in conseguenza di un accesso abusivo (secondo comma, n. 3), se da un lato tali evenienze sono statisticamente irrilevanti, e sarebbe forse stata più appropriata la previsione di un aumento di pena per l'eventuale acquisizione o riproduzione indebita di dati e di programmi, dall'altro non si può non censurare la formulazione contorta e il carattere ridondante di questa disposizione: perché si configura distintamente, accanto al "danneggiamento", la "distruzione" e l'"interruzione" del sistema, dimenticandosi che queste ultime due ipotesi rientrano nella prima (l'interruzione quale danneggiamento per procurata inservibilità del sistema), come insegnano gli artt. 392/2 e 635 c.p., nonché gli artt. 392/3 e 635 bis c.p.; perché al "danneggiamento" per procurata inservibilità del sistema sono riconducibili anche la distruzione e il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti; perché l'inspiegabile difformità di linguaggio, usato negli artt. 392/3, 420/2, 615 ter, 615 quater e 635 bis c.p., "caotizza" il necessario ordine sistematico; perché l'ipotesi dell'"interruzione del funzionamento del sistema", informatico o telematico, rende ancor più arduo il già difficile coordinamento con l'ipotesi dell'interruzione di comunicazioni, informatiche o telematiche (150).

Con tale formulazione, il legislatore ha voluto, comunque ed evidentemente, ricomprendere qualunque forma di danno al sistema e al suo funzionamento.

In ogni caso, deve trattarsi di eventi dannosi che, oltre ad essere direttamente derivati dall'accesso abusivo (151), non sono stati voluti dal reo, essendo altrimenti applicabile l'art. 635 bis c.p., ovvero l'art. 420 c.p., ove si tratti di sistemi informatici o telematici di "pubblica utilità" e, secondo la relazione al disegno di legge, il fatto "sia fonte di immediato pericolo per l'ordine pubblico o per gli interessi socioeconomici della collettività". Inoltre, in base alla nuova disciplina dell'imputazione delle circostanze aggravanti, introdotta dalla legge n. 19 del 17 febbraio 1990, nel secondo comma dell'art. 59 c.p., il danneggiamento del sistema o dei dati e dei programmi che vi sono contenuti, se non previsto dall'agente, dovrà essere stato quantomeno da lui prevedibile come possibile conseguenza dell'accesso abusivo realizzato (152). Diversamente, non mi sembra possa sostenersi, con Mucciarelli, che la circostanza in discorso si configuri come "mero evento aggravatore" (153), intendendo con detta espressione che tale evento sia ascrivibile all'agente per il solo fatto di essere stato conseguenza della condotta incriminata. In altri termini, se la circostanza fosse posta a carico dell'agente a prescindere dall'elemento soggettivo (154), si verserebbe in un'ipotesi di responsabilità oggettiva (per la quale è, appunto, sufficiente il solo nesso di causalità tra la condotta e l'evento) della cui incostituzionalità non si può non dubitare (155).

Infine, il terzo comma dell'art. 615 ter c.p. prevede un aggravamento del trattamento sanzionatorio sia dell'ipotesi base di accesso abusivo, sia di quella circostanziata ai sensi del secondo comma, qualora il sistema informatico violato sia un sistema di interesse pubblico. La circostanza riflette la considerazione della delicatezza dei dati che possono essere immagazzinati in tali sistemi e dell'interesse generale al loro regolare funzionamento. Se la scelta di principio del legislatore non si può che condividere, risulta, tuttavia, poco felice la formulazione della norma: l'individuazione dei sistemi di interesse pubblico attraverso un'elencazione esemplificativa ("sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile"), seguita da una formula di chiusura (" ... o comunque di interesse pubblico"), se risulta pienamente soddisfacente sul piano del rispetto del principio di tassatività, non trova però riscontro, quantomeno sul piano letterale, con le espressioni - tra loro pure diverse - utilizzate in altre disposizioni per individuare gli stessi sistemi informatici meritevoli di una tutela rafforzata, in quanto, appunto, finalizzati a soddisfare rilevanti interessi pubblici. A questo proposito, si può considerare la circostanza prevista dal comma 4, n. 1, dell'art. 617 quater c.p. (applicabile, tra l'altro, anche al reato di detenzione e diffusione abusiva di codici di accesso dell'art. 615 quater c.p.) che fa riferimento all'ipotesi in cui il fatto sia commesso "in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità". Lo stesso può dirsi per la circostanza contenuta nell'art. 625 n. 7 c.p., che risulta applicabile in caso di danneggiamento informatico in base all'art. 635 bis comma 2 c.p., e in virtù della quale viene attribuita rilevanza ai sistemi informatici "esistenti in uffici o stabilimenti pubblici ... o esposti per necessità o per consuetudine o per destinazione alla pubblica fede ... o destinati a pubblico servizio o a pubblica utilità". Diversa appare, infine, la formula usata dal legislatore nell'ambito dell'art. 420 c.p. ("sistemi informatici o telematici di pubblica utilità") per individuare quei sistemi informatici il cui danneggiamento potrebbe mettere in pericolo l'ordine pubblico, turbando l'ordinata convivenza civile.

4.13. Il dolo

Il dolo richiesto è un dolo generico, che consiste nella volontà di introdursi o di mantenersi nella memoria interna di un elaboratore, in assenza del consenso del titolare dello ius excludendi, e con la consapevolezza che quest'ultimo ha predisposto delle misure di protezione per i dati che vi sono memorizzati.

Non sarà, in particolare, punibile l'agente che, per errore, si sia rappresentata una situazione che lo legittima ad accedere nel sistema o a permanervi ed a fruire dello stesso con particolari modalità (156).

4.14. Luogo di consumazione del reato

Il reato di accesso abusivo deve ritenersi formalmente perpetrato nel luogo in cui si trova il sistema che subisce l'attacco e non nel luogo ove l'agente fisicamente si trova nel momento in cui pone in essere la condotta incriminata (157).

Tra le numerose ragioni che limitano le forze dell'ordine e la magistratura nel perseguire efficacemente il reato in esame (ed in generale qualsiasi altro reato informatico), si colloca anche la circostanza appena indicata: essa non fa che accrescere le difficoltà di intervento sia in termini probatori che giurisdizionali, soprattutto se il reato è commesso da o verso un altro Stato: "Può verificarsi la possibilità che la presenza in territorio estero del soggetto individuato possa rallentare o limitare l'effettivo esercizio dell'attività giurisdizionale" (158).

In termini generali, l'estendersi della interconnessione delle reti di computers e dei flussi transfrontalieri dei dati determina enormi dilemmi quanto all'individuazione del luogo di commissione del reato e della giurisdizione competente. La gravità della problematica è facilmente intuibile se si pensa che a causa della diffusione globale di Internet, che comporta l'accessibilità planetaria delle informazioni, ogni qualvolta si verifica un illecito a mezzo informatico, si rende necessario coniugare le diverse regole processuali sulla giurisdizione dei diversi ordinamenti statali interessati alla persecuzione dell'illecito (159). Nell'attuale mancanza di regole di diritto internazionale, la tendenza è comunque quella di applicare la regola dell'ubiquità, prevista dal secondo comma dell'art. 6 del codice penale, secondo la quale "il reato si considera commesso nel territorio dello Stato, quando l'azione o l'omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è verificato l'evento che è la conseguenza dell'azione od omissione" (160).

Devono, peraltro, essere segnalate in proposito le indicazioni espresse dal Consiglio dell'Unione Europa nell'ambito della ricordata "Decisione-Quadro relativa agli attacchi ai sistemi d'informazione" (161). Premesso che tali indicazioni si riferiscono espressamente ai reati di "accesso illecito a sistemi di informazione" (art. 3) e di "interferenza illecita con sistemi di informazione" (art. 4) nonché ai casi di "istigazione, favoreggiamento, complicità e tentativo" (art. 5) nella loro commissione, l'art. 11 della Decisione prevede:

  1. Ciascuno Stato membro adotta le misure necessarie a stabilire la propria giurisdizione sui reati di cui agli articoli 3, 4 e 5 laddove i reati siano stati commessi:
    1. interamente o in parte sul suo territorio o
    2. da un suo cittadino, ai danni di individui o gruppi dello Stato stesso, o
    3. a beneficio di una persona giuridica che ha la sua sede principale nel territorio dello Stato membro stesso.
  2. Nello stabilire la propria giurisdizione ai sensi del paragrafo 1, lettera a), ogni Stato membro provvede a che tale giurisdizione abbracci i casi in cui:
    1. l'autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato commesso il reato si trovi o meno nel suo territorio, o
    2. il sistema di informazione contro il quale è stato commesso il reato si trova nel suo territorio, indipendentemente dal fatto che l'autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.
  3. Uno Stato membro può decidere di non applicare o di applicare solo in situazioni o circostanze specifiche le regole di giurisdizione di cui al paragrafo 1, lettere b) e c).
  4. Ciascuno Stato membro adotta le misure necessarie anche per stabilire la propria giurisdizione sui reati di cui agli articoli da 3 a 5 nei casi in cui rifiuta di consegnare o estradare una persona sospettata o condannata per tali reati ad un altro Stato membro o ad un paese terzo.
  5. Qualora un reato rientri nella giurisdizione di più di uno Stato membro e quando ciascuno degli Stati interessati potrebbe validamente avviare un'azione penale sulla base degli stessi fatti, gli Stati membri interessati cooperano per decidere quale di essi perseguirà gli autori del reato allo scopo, se possibile, di concentrare i procedimenti in un solo Stato membro. A tal fine, gli Stati membri possono fare ricorso a qualsiasi organismo o meccanismo istituito all'interno dell'Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il coordinamento del loro operato.
  6. Qualora decidano di avvalersi del paragrafo 3, gli Stati membri ne informano il Segretariato generale del Consiglio e la Commissione, precisando, ove necessario, i casi e le circostanze specifiche in cui si applica tale decisione

5. Il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici (Art. 615 quater)

Art. 615 quater - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni.

La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617 quater (162).

5.1. Il reato di detenzione e diffusione abusiva di codici di accesso come reato di pericolo indiretto. Dubbi di legittimità costituzionale

Con l'introduzione di questa disposizione, il legislatore italiano sembra aver recepito le sollecitazioni emerse durante il XV Congresso dell'Association Internationale de Droit Pénal (AIDP) sull'opportunità di incriminare anche il "commercio di codici d'accesso ottenuti illecitamente o di altre informazioni idonee a conseguire un accesso non autorizzato a sistemi informatici" (163). In quella sede, infatti, si era soprattutto segnalata l'esigenza di reprimere il fenomeno, ben noto, dello scambio di password tra hackers mediante BBS (164): a tale scopo si era proposto di creare una figura sui generis di ricettazione, avente ad oggetto entità incorporee - come i "codici di accesso ottenuti illecitamente" e le "altre informazioni" similari -, che sanzionasse ogni attività connessa allo scambio di tali beni, anche se posta in essere dalla stessa persona che per prima ne avesse illecitamente ottenuto la disponibilità, non essendo quest'ultima condotta riconducibile, in quasi tutti gli ordinamenti, alle norme che reprimono l'indebita acquisizione di "cose" altrui (salvo il caso della contestuale asportazione supporto materiale).

In una direzione in parte diversa si è però mosso il legislatore italiano, il quale si è essenzialmente preoccupato di rafforzare la tutela della riservatezza dei dati e dei programmi contenuti in un elaboratore, sanzionando penalmente una serie di condotte prodromiche alla (eventuale) realizzazione del reato di accesso abusivo, in quanto consistenti nel procurare a sé o ad altri la disponibilità dei mezzi di accesso necessari per superare le barriere protettive di cui un sistema informatico può essere dotato (165): coerentemente con questa prospettiva nessuna rilevanza assume, ai sensi dell'art. 615 quater, la circostanza che il codice di accesso al sistema informatico altrui, oggetto di "cessione" ad altri, sia stato o meno ottenuto illecitamente, dallo stesso agente o da terzi che poi all'agente lo abbiano trasmesso; inoltre, accanto alle condotte consistenti nel "commercio" di tali mezzi di accesso (quali sono quelle di chi "diffonde, comunica ... consegna ... o comunque fornisce indicazioni o istruzione idonee"), si è dato rilievo anche al fatto di chi abusivamente se li "procura" o li "riproduce", e quindi ne viene in possesso.

Il risultato raggiunto appare tuttavia poco convincente: considerando, infatti, che il reato di accesso abusivo è un reato di pericolo - con il quale si punisce il solo ingresso (o permanenza) nella memoria interna del sistema, dalla quale è possibile consultare e riprodurre i dati che vi sono immagazzinati -, la fattispecie delineata nell'art. 615 quater c.p. assume inevitabilmente i contorni di un reato di pericolo (necessariamente) indiretto (166), in quanto dal suo realizzarsi deriva il pericolo che chi è entrato in possesso del codice di accesso ad un sistema informatico altrui possa servirsene per commettere un accesso abusivo a quel sistema - che è fatto di per sé pericoloso -, ovvero possa a sua volta contribuire alla ulteriore circolazione di esso, cedendolo ad esempio ad altre persone, le quali, a loro volta, potranno rendersi responsabili di un accesso abusivo oppure di una ulteriore diffusione presso terzi.

Ad ogni modo, l'art. 615 quater c.p. appare difficilmente conciliabile con il principio di proporzione, alla cui stregua deve essere valutata la legittimità costituzionale dei reati di pericolo indiretto, trattandosi di reati che in via del tutto eccezionale incriminano atti meramente preparatori di altri fatti delittuosi (167): se, infatti, alla luce di questo principio, la legittimità del ricorso alla pena può essere affermata solo in presenza di un ragionevole rapporto tra la gravità dell'offesa che si reprime e il rango del bene protetto, non pare proprio che la tutela della riservatezza dei dati immagazzinati in un sistema informatico - bene importante, ma non certo di rango primario e ancor meno "indispensabile per l'integrità delle istituzioni e per la sopravvivenza stessa della società" (168) -, possa giustificare l'arretramento della soglia d'intervento penale ad uno stadio nel quale il pericolo, cui tale bene viene esposto, è solamente "indiretto", in quanto pericolo di un pericolo di lesione (169). Né si oppone a questa conclusione la circostanza che l'art. 615 quater c.p. subordini la rilevanza penale delle condotte incriminate all'esistenza di un dolo specifico, consistente nel "fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno", nonostante tale elemento della fattispecie consenta di delimitare l'ambito di applicazione della norma, salvaguardando tutti i casi in cui la ricezione o la comunicazione di codici o di altri mezzi idonei all'accesso abbia finalità lecite, quali ad esempio, quelle di studio, sperimentazione o ricerca. Questo discorso vale soprattutto per "gli altri mezzi idonei" che, sotto forma di programmi o manuali tecnici, circolano in rete al solo fine (almeno così dichiarato nei sempre presenti disclaimers (170) dei siti web) di rendere comprensibili fenomeni informatici a chi intenda studiarli. Non mi sembra, a questo proposito, come è stato sostenuto (171), che il dolo richiesto dal reato in esame permetta esclusivamente di estromettere i casi nei quali l'acquisizione o la diffusione dei codici di accesso sia oggettivamente inidonea (ancorché soggettivamente diretta) a realizzare un accesso abusivo (ad esempio, perché il codice è stato nel frattempo sostituito dal titolare del sistema interessato) (172).

Per quanto detto, ben si comprende, allora, come in nessuno degli ordinamenti di civil law a noi vicini per tradizioni giuridiche sia stata sino ad oggi introdotta una norma analoga a quella dell'art. 615 quater c.p., a prescindere dal carattere più o meno "risalente" delle legislazioni sui reati informatici (173): verosimilmente, sono state ritenute insuperabili le perplessità collegate ad una tale anticipazione della tutela penale della riservatezza di dati e programmi, ben al di là di quella - già di per sé problematica - realizzata dalla incriminazione dell'accesso abusivo. D'altra parte, la diffusa consapevolezza che il fenomeno del "commercio" di password, oltre ad essere per lo più circoscritto all'attività delle BBS "pirata", può comunque essere contenuto entro limiti accettabili attraverso una sostituzione periodica dei codici di accesso al sistema (174) ha forse trattenuto i legislatori di quegli Stati dal ricorso alla sanzione penale per reprimere tale fenomeno.

Solo nella legislazione statunitense - sia a livello statale che federale - si ritrovano alcune disposizioni di quest'ultimo tipo, anche se viene attribuita rilevanza penale pressoché esclusivamente alla condotta di chi "procura ad altri" la disponibilità di un mezzo di accesso ad un sistema altrui; similmente alla previsione contenuta nell'art. 615 quater c.p., peraltro, si prescinde dalla provenienza lecita o illecita di tali mezzi, consentendo così di perseguire penalmente anche chi diffonde o comunque rende nota a terzi la password necessaria per entrare nel sistema informatico altrui della quale sia lecitamente a conoscenza, in quanto, ad esempio, dipendente del titolare del sistema stesso (175).

Nonostante alcuni aspetti comuni tra tali disposizioni e la norma italiana sulla diffusione abusiva di codici di accesso, ogni confronto con quest'ultima appare tuttavia fuorviante, in considerazione del diverso contesto legislativo nel quale esse si inseriscono: la legislazione americana, infatti, si caratterizza per un'estesa criminalizzazione degli abusi dell'informatica, che spesso ricomprende ogni operazione non autorizzata che può essere svolta attraverso il computer al quale ci si è previamente procurati l'accesso (176); di riflesso - e a prescindere dalla ratio dell'incriminazione -, il "commercio" di codici di accesso risulta strumentale a tutte queste condotte e non solo all'intrusione vera e propria nella memoria interna del sistema, sì che la sua repressione, se da un lato non risulta condizionata dalla particolare natura del reato di accesso abusivo che attraverso di esso può essere realizzato, dall'altro lato assicura una tutela anticipata di tutti i diversi interessi che le singole norme sugli abusi dell'informatica sono dirette a proteggere (dall'integrità dei dati e dei sistemi informatici, al patrimonio del titolare del sistema o dei beni che attraverso di esso siano eventualmente gestiti, ecc.) (177). Al contrario, la fattispecie delineata dall'art. 615 quater c.p. non solo va interpretata, nei suoi diversi elementi, alla luce della funzione strumentale che è destinata a svolgere rispetto al (solo) delitto di accesso abusivo previsto dall'art. 615 ter c.p., e quindi in sintonia con l'ambito di tutela a quest'ultimo assegnato, ma, in virtù di quella stessa funzione, risulta finalizzata alla protezione di un bene la cui modesta rilevanza non può giustificare, come si è detto in precedenza, un così accentuato arretramento della soglia dell'intervento penale (178).

In questo contesto può, inoltre, essere segnalata la posizione di Giorgio Pica (179). Secondo l'autore la norma in esame ha come obiettivo immediato e diretto la tutela della "riservatezza" dei codici di accesso, "che sono giustamente considerati dal legislatore alla stregua di qualità personali riservate, in quanto identificatrici della persona, che abilitano a fruire di ogni genere di servizi informatici". Questa riflessione deve essere valutata unitamente a quella secondo la quale la funzione della norma è sì preventiva degli accessi abusivi, ma solo "di quegli accessi abusivi che avvengono non alterando il software di protezione dei sistemi-bersaglio, bensì con sostituzione (illegittima) dell'agente al legittimo titolare dell'accesso, mediante uso della di lui (legittima) password". In merito, occorre ribadire come la fattispecie di cui all'art. 615 quater c.p. sia funzionalmente collegata alla disposizione dell'art. 615 ter c.p. e debba quindi per essa rinvenirsi, quale bene giuridico tutelato, lo stesso bene contemplato da quest'ultima ovvero la riservatezza dei dati e dei programmi contenuti in un sistema informatico. Inoltre, l'autore sembra ignorare il fatto, sia esplicitato dalla norma che di pratica configurabilità, che non solo password o parole chiave possono essere concretamente idonee a consentire l'accesso ad un sistema informatico protetto, ma anche "altri mezzi" nonché "indicazioni o istruzioni" di qualsiasi tipo: come ho spiegato nel capitolo dedicato agli attacchi ai sistemi informatici, spesso le misure poste a protezione di un sistema sono superate sfruttando debolezze (cosiddetti bugs) intrinseche ai programmi che ne permettono il funzionamento.

5.2. Mezzi di accesso ed ambito di applicazione della fattispecie

L'art. 615 quater c.p. individua l'oggetto materiale del reato nei mezzi necessari a realizzare un accesso abusivo ad un sistema informatico protetto: può trattarsi di codici di accesso (o parole-chiave: password) alfabetici, numerici, o alfanumerici da digitare alla tastiera o altrimenti da comunicare all'elaboratore (ad esempio, mediante un microfono o un lettore ottico), così come, più in generale, di "altri mezzi idonei all'accesso", come una chiave metallica per l'avvio del sistema o una tessera magnetica da introdursi in un apposito lettore. Accanto a questi mezzi, con i quali si rende possibile un accesso "regolare", ancorché abusivo, al sistema informatico altrui, vengono poi menzionate - con una formula che riecheggia quella usata dal legislatore federale americano - le "indicazioni o istruzioni idonee al predetto scopo", con riferimento a tutte quelle informazioni che consentono, a chi ne è a conoscenza, di eludere o neutralizzare le misure che proteggono il sistema e che sono perciò idonee ad ottenere l'accesso al sistema informatico altrui (180).

Non può, quindi, essere condivisa l'interpretazione data da Mucciarelli alla locuzione "predetto scopo" (181). In effetti, la condotta descritta nella seconda ipotesi del primo comma dell'art. 615 quater è formulata in modo alquanto impreciso perché quell'esplicito richiamo dovrebbe rinviare ad un fine descritto nella prima parte della disposizione, mentre l'unica clausola di tal genere è quella relativa al dolo specifico richiesto. Tuttavia, considerando sistematicamente la norma incriminatrice, non vi possono essere dubbi sul fatto che l'idoneità delle indicazioni o delle istruzioni al "predetto scopo" coincida con l'idoneità delle stesse a consentire l'accesso ad un sistema informatico protetto (182). L'autore sostiene, invece, che detta espressione valga a richiamare, fra le indicazioni o le istruzioni rilevanti, "quelle idonee a consentire o facilitare l'individuazione o la realizzazione, ovvero la riproduzione o la diffusione, comunicazione e consegna di mezzi di accesso a sistemi informatici o telematici protetti". La condotta consistente nel "fornire indicazioni o istruzioni idonee" all'accesso ad un sistema rappresenta un'ipotesi di "chiusura" perché volta a comprendere tutte le condotte non rientranti nell'elenco della prima parte della fattispecie e non legittima, invece, la tesi che la vuole finalizzata alla realizzazione delle condotte comprese nella prima ipotesi formulata.

Le espressioni utilizzate dal legislatore ricomprendono tutte le "chiavi" logiche, o fisiche, con le quali è possibile superare i dispositivi di protezione di cui può essere dotato un sistema informatico, e in particolare - in base a quanto si è detto in merito ai sistemi informatici suscettibili di accesso abusivo ai sensi dell'art. 615 ter c.p. - un sistema informatico che non sia esclusivamente funzionale alla gestione e al controllo del funzionamento di apparecchi che erogano beni o servizi: l'introduzione abusiva in sistemi di questo tipo non determina, infatti, quella situazione di pericolo per la riservatezza di dati e programmi, per la quale soltanto è stato previsto l'intervento della sanzione penale.

Vanno quindi considerati estranei alla norma in esame, ad esempio, i casi di indebita diffusione o acquisizione di carte di credito telefoniche e del relativo codice di identificazione, poiché il loro impiego abusivo comporta soltanto l'illecito conseguimento delle prestazioni di un apparecchio telefonico, a spese del titolare della carta e del codice ad esso abbinato (183).

Diverso è invece il caso delle carte di debito magnetiche e dei numeri di identificazione personale ad esse abbinati (PIN: personal identification number), con i quali è possibile, oltre che ottenere contante dagli appositi sportelli automatici ed eseguire pagamenti presso i punti convenzionati (P.O.S: point of sale), acquisire diverse informazioni sul proprio conto corrente, utilizzando uno degli apparecchi installati dallo stesso istituto di credito che ha rilasciato la carta magnetica. Rispetto a questi mezzi di accesso l'art. 615 quater c.p. viene indubbiamente a completare la tutela già predisposta dall'art. 12 della legge n. 197 del 1991, nei confronti di chi "possiede, cede o acquisisce tali carte ... di provenienza illecita"; in particolare, saranno riconducibili all'art. 615 quater c.p. tutte le condotte di diffusione o acquisizione aventi ad oggetto i soli numeri di identificazione personale - alle quali non è applicabile l'art. 12 l. 197/91 -, così come tutti quei casi nei quali l'agente possiede, cede o acquisisce carte di debito magnetiche che non sono di provenienza illecita ai sensi di quella disposizione (184).

Identica deve essere poi la soluzione relativa alle ipotesi di diffusione o acquisizione abusiva dei codici di accesso necessari per utilizzare quei servizi di telematica interattiva conosciuti nel nostro ordinamento attraverso l'esperienza - fallimentare e oramai conclusasi - del Videotel: corretta, in questo senso, appare una sentenza del tribunale di Torino che ha ravvisato gli estremi del reato in esame nella condotta di chi, telefonando a utenti del servizio Videotel e presentandosi come dipendente della società di gestione del servizio telefonico (la Telecom Italia s.p.a.), si sia procurato abusivamente i codici di accesso al sistema (185), che la società assegna direttamente ai singoli abbonati, e che sono da questi ultimi immodificabili (186). Attraverso l'utilizzo di quei codici - e delle password personali ad essi abbinate - era infatti possibile consultare gli archivi di dati messi a disposizione da una serie di società denominate "Fornitori di Informazioni", facendone addebitare il costo all'utente legittimo.

Date queste premesse, non sembra, invece, condivisibile l'affermazione, contenuta in una recente sentenza della Corte di Cassazione - che sembra anche l'unica pronuncia edita sulla norma in esame -, secondo la quale oggetto delle condotte descritte nell'art. 615 quater possono essere anche le cosiddette pic-cards, ossia quelle schede magnetiche che vanno inserite in un apposito apparecchio decodificatore (decoder) al fine di attivarne il funzionamento e rendere quindi visibili "in chiaro" trasmissioni televisive diffuse in forma codificata (187). Il fenomeno, che nel nostro paese ha raggiunto il grosso pubblico soprattutto con l'esperienza di Telepiù, consiste nella diffusione via satellite di programmi il cui segnale, pur potendo essere captato da ogni televisore in quanto codificato secondo standard particolari, stabiliti a livello internazionale, risulta incomprensibile all'utente sino a quando non viene decodificato da un apposito apparecchio che viene fornito dall'emittente stesso, insieme alla pic-card corrispondente, a chi si sia abbonato al servizio.

Così stando le cose, è evidente che la funzione assolta dalle pic-cards niente ha in comune con password e mezzi analoghi che consentono l'accesso ad un sistema informatico protetto, ai quali fa riferimento l'art. 615 quater c.p.: l'inserimento della pic-card nel decoder consente, infatti, soltanto di attivarne il funzionamento, e quindi di ricevere le trasmissioni televisive "in chiaro". In questo caso il sistema violato - benché ad accesso limitato, e quindi "protetto" - non svolge una funzione di "archivio" di dati e programmi, e risulta quindi del tutto estraneo a quelle esigenze di tutela della riservatezza che stanno alla base della previsione di una sanzione penale per le intrusioni non autorizzate.

Il fatto che all'ipotesi in esame non possa essere applicata la disposizione dell'art. 615 quater deriverebbe, per altro verso, da un altro fondamentale rilievo: l'impossibilità di considerare il sistema di trasmissione utilizzato dalle emittenti satellitari un sistema informatico o telematico. In particolare, rispetto al sistema telematico, cui sembra riconducibile, è privo di quella fondamentale caratteristica rappresentata dalla interattività, ovvero della possibilità dello scambio reciproco di dati: nel sistema di trasmissione satellitare, infatti, una stazione trasmittente (il satellite) invia un segnale ad un numero indeterminato di stazioni riceventi (i decoders) senza ricevere da queste alcun messaggio o segnale di risposta e senza poter attuare alcuno scambio di dati o di informazioni; pertanto l'apparato satellite - parabola - decoder - pic-cards (188) non realizza un sistema informatico né un sistema telematico, a nulla rilevando che singoli componenti di questo insieme possano rientrare, singolarmente considerati, nell'una o nell'altra categoria (189). In questi termini si è espresso, correttamente (190), il sostituto procuratore della Repubblica, Michele Toriello, in ordine ad una richiesta di archiviazione presentata al G.i.p. di Crotone il 18 marzo 2002 (191).

Ad analoghe critiche si espone quell'orientamento giurisprudenziale che ritiene applicabile l'art. 615 quater c.p. ai casi in cui oggetto di diffusione abusiva sia il numero di codice seriale di un telefono cellulare regolarmente abilitato dall'utente legittimo, attraverso il quale è possibile, per chi sia a conoscenza anche del numero telefonico ad esso corrispondente, ottenere l'abilitazione al sistema di telefonia cellulare di un altro apparecchio, avente lo stesso codice seriale e lo stesso numero di telefono (cosiddetta clonazione): ai sensi della disposizione in esame, tali "numerazioni seriali" sono state ritenute idonee "a consentire l'accesso alla rete cellulare della Telecom Italia, mediante erronea identificazione dell'utente abilitato da parte del sistema informatico e telematico di gestione delle comunicazioni telefoniche cellulari" (192).

La figura di reato descritta nell'art. 615 quater c.p. viene quindi ritenuta funzionale, tra l'altro, alla repressione del fenomeno sempre più diffuso della clonazione di telefoni cellulari, assicurando la punibilità (in forma anticipata) di fatti che sarebbero altrimenti destinati a restare impuniti: nell'indebito utilizzo di telefoni cellulari clonati non sono, infatti, ravvisabili gli estremi della frode informatica (art. 640 ter), alla luce della particolare configurazione che ad essa ha dato il legislatore italiano, e ancor meno quelli della truffa (art. 640 c.p.), dal momento che una falsa rappresentazione dell'impiegato della società che gestisce il sistema di telefonia cellulare, oltre ad essere del tutto ipotetica, stante il livello di informatizzazione raggiunto nel settore delle comunicazioni, interverrebbe comunque in un momento successivo rispetto a quello del conseguimento dell'ingiusto profitto con altrui danno - rappresentato dalle telefonate a spese altrui effettuate -, e non potrebbe quindi considerarsi causa di quest'ultimo.

Non diversamente da quanto si è detto a proposito dell'utilizzo di questa disposizione per reprimere fatti di pirateria televisiva, la norma in esame, limitandosi a sanzionare fatti prodromici alla realizzazione di un accesso abusivo ad un sistema informatico dotato di misure di sicurezza, non sembra suscettibile di alcuna applicazione nei confronti di fatti che, pur riguardando sistemi informatici "protetti", si risolvono nella indebita acquisizione delle loro prestazioni e non in una introduzione abusiva. Per reprimere questi fatti il legislatore italiano dovrebbe piuttosto decidersi ad introdurre una fattispecie di conseguimento fraudolento delle prestazioni di apparecchi automatici e/o informatici, seguendo l'esempio di altri ordinamenti (193).

5.3. Le diverse modalità per procurare a se stessi o ad altri i mezzi idonei a realizzare un accesso abusivo. Il problema della mera detenzione

La figura di reato in esame contempla due distinte ipotesi: l'una, propriamente coerente con la rubrica, in quanto valorizza, descrivendole analiticamente, tutte le possibili condotte riconducibili alle nozioni di detenzione e diffusione; l'altra, avente invece riguardo al fatto di chi fornisce a terzi le indicazioni o le istruzioni idonee alla realizzazione dello scopo vietato.

Più analiticamente: le forme di manifestazione considerate nella prima ipotesi consistono nel procurarsi, riprodurre, diffondere, comunicare o consegnare "codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza". Le espressioni "diffondere, comunicare e consegnare" sembrano sostanzialmente equivalenti, pur contenendo caratterizzazioni diverse ("diffondere" vale a denotare una distribuzione della cosa o dell'informazione in modo indifferenziato, mentre il termine "comunicare" ha invece per lo più come destinatario un numero determinato di soggetti e sembra alludere ad un trasferimento d'informazione privo di un substrato materiale, connotazione, quest'ultima, che appare invece propria del "consegnare"): rimane comunque certo che il legislatore ha qui inteso reprimere qualunque forma di circolazione dei mezzi idonei a consentire l'accesso a sistemi protetti (194). Con il "procurarsi" viene invece in rilievo l'attività dell'agente nel momento che logicamente precede la detenzione e la diffusione: tale modalità della condotta punibile può consistere tanto nell'acquisire da un terzo il mezzo di accesso, quanto nell'individuarlo o nel realizzarlo in prima persona e senza l'altrui collaborazione (195).

Nonostante compaia nella rubrica dell'articolo, non è invece prevista nell'elencazione delle condotte tipiche, la mera "detenzione" di codici d'accesso da parte di chi non sia autorizzato a farne uso. Tale mancanza, per il doveroso rispetto del principio di legalità, induce a ritenere tale fatto penalmente irrilevante (196). La scelta di non assoggettare a sanzione questa condotta può tuttavia trovare giustificazione nel rilievo che la mera detenzione designa una situazione nella quale l'esposizione a pericolo del bene protetto appare ancora più remota rispetto a quelle cui rimandano le altre condotte tipiche. È indubbio, infatti, che il "procurarsi" il mezzo di accesso allude senz'altro a una modalità attiva del comportamento, alla quale non è estranea una prospettiva (seppur implicita) di utilizzazione, così come le condotte di riproduzione, diffusione, comunicazione e consegna contengono, rispetto alla mera detenzione, una nota di maggior pericolosità collegata al profilo della messa in circolazione. Non è possibile, inoltre, sostenere che tale situazione integri gli estremi del tentativo del reato in esame, per la difficoltà di configurare quest'ultimo rispetto ad un reato di pericolo indiretto, la cui disciplina già solleva consistenti dubbi di legittimità costituzionale per l'arretramento della tutela penale che essa comporta (197); piuttosto, è probabile che, nella prassi, la detenzione dei codici di accesso "altrui" venga considerata ai fini dell'art. 615 quater c.p., in quanto prova difficilmente confutabile di una precedente condotta del soggetto volta a "procurarsi" la disponibilità di tali codici.

Quanto alla condotta di "riproduzione" è sufficiente dire che essa si estrinseca in qualunque forma idonea allo scopo di ottenere una o più copie del mezzo di accesso.

Per la seconda ipotesi prevista dall'art. 615 quater, il legislatore ha utilizzato un termine più generico e onnicomprensivo per indicare la condotta avente ad oggetto le "indicazioni o istruzioni idonee" a realizzare un accesso abusivo: è punito, infatti, chi "fornisce" indicazioni di questo tipo ad una persona estranea al sistema, attraverso una qualsiasi delle modalità di condotta in precedenza menzionate, o ogni altra che possa ipotizzarsi.

Analogamente a quanto si è visto per il reato di accesso abusivo, il termine "abusivamente" previsto dalla disposizione, deve essere interpretato come un mero richiamo al momento dell'antigiuridicità della condotta, ovvero di una condotta che si realizza al di fuori di qualsiasi norma scriminante che la autorizzi o la imponga. Ad ogni modo, anche se non pare possa ravvisarsi in tale elemento una nota di "antigiuridicità speciale" (198), limitandosi a ribadire la necessità dell'assenza di scriminanti, nondimeno può ritenersi opportunamente inserita nella fattispecie perché, richiamando immediatamente l'attenzione sull'illegittimità del comportamento, "serve a delineare, già a prima vista, la reale portata della fattispecie, altrimenti sconcertante, espungendo dal novero delle condotte incriminate, quelle non abusive" (corsivi propri) (ad esempio, le comunicazioni del codice o le informazioni sul funzionamento del sistema, da parte dell'operatore del sistema al nuovo addetto).

Deve, infine, essere segnalato che in conseguenza della scelta del legislatore di sanzionare anche la condotta consistente nel procurarsi in qualsiasi modo la disponibilità di mezzi di accesso ad un sistema informatico altrui, si è posto il problema del concorso del reato in esame con quello di accesso abusivo, eventualmente realizzato servendosi della password indebitamente acquisita. Problema che certo non si pone per quelle disposizioni di altri ordinamenti che si limitano a reprimere la condotta di chi procura ad altri tali mezzi di accesso: la rinuncia a sanzionare penalmente il fatto di procurarsi la disponibilità di un mezzo di accesso ad un sistema informatico protetto sembra frutto della considerazione che tale condotta è di per sé inoffensiva, fino a quando non si traduce in un impiego del mezzo di accesso acquisito oppure in una sua cessione a terzi, integrando così le relative ipotesi di reato.

Nel nostro ordinamento comunque, nonostante alcune opinioni in senso contrario emerse in dottrina (199), non sembra configurabile un concorso del reato in esame con quello previsto dall'art. 615 ter c.p.: poiché infatti quest'ultima norma reprime l'accesso abusivo solo se realizzato nei confronti di un sistema informatico protetto, per la consumazione di tale reato sarà pressoché indispensabile la previa acquisizione indebita del mezzo che consente l'accesso al sistema stesso, quantomeno nella forma di una "autonoma elaborazione" attraverso diversi tentativi di intrusione. Sembra dunque potersi concludere che il reato di detenzione e diffusione abusiva di codici di accesso di cui all'art. 615 quater c.p. sia destinato a restare assorbito nel reato di accesso abusivo ad un sistema informatico o telematico, costituendo rispetto a quest'ultimo un mero antefatto non punibile (200).

Il secondo comma dell'art. 615 quater c.p. contempla un'ipotesi aggravante il cui contenuto è definito attraverso il richiamo alle figure circostanziate dell'art. 617 quater comma 4 nn. 1 e 2 c.p.

Per entrambe le circostanze aggravanti, si può rinviare a quanto esposto in tema di accesso abusivo.

6. I reati di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (Art. 617 quater) e di installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (Art. 617 quinquies)

Art. 617 quater - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

  1. in danno di un sistema informatico o telematico utilizzato dalla Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
  2. da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;
  3. da chi esercita anche abusivamente la professione di investigatore privato.

Art. 617 quinquies - Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche

Chiunque, fuori dei casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'art. 617 quater.

6.1. Il bene giuridico

Con l'introduzione delle disposizioni in esame, il legislatore del 1993 ha voluto estendere alle comunicazioni informatiche e telematiche la tutela già apprestata alle comunicazioni telegrafiche e telefoniche (artt. 617 e ss.).

Per l'aggiornamento delle norme sulle comunicazioni in atto, non ha però ritenuto sufficiente ampliare la nozione di "comunicazioni e conversazioni" contenuta nell'art. 623 bis c.p., ma ha ravvisato la necessità di creare nuove figure di reato, modellate su quelle poste a tutela delle comunicazioni tradizionali (201): la libertà e la riservatezza delle comunicazioni informatiche (o telematiche) sono state così assicurate attraverso l'introduzione nel codice penale degli articoli 617 quater e 617 quinquies c.p., volti a reprimere, rispettivamente, l'intercettazione, l'impedimento o l'interruzione illecita (nonché la rivelazione al pubblico del contenuto, ex secondo comma) di tali comunicazioni, ovvero l'installazione di apparecchiature atte a realizzare queste condotte. In tal senso, ovvero che oggetto di tutela delle disposizioni citate siano la libertà e la riservatezza delle comunicazioni, si è espressa gran parte della dottrina (202). Non sembra, invece, che le norme tutelino, in modo esclusivo o comunque prevalente rispetto ai beni indicati, la "sicurezza del sistema informatico o telematico", e cioè "la sua capacità tecnica ed attitudine a diffondere e veicolare comunicazioni tra più soggetti non solo in condizioni di effettiva affidabilità e di sostanziale fedeltà quanto ai contenuti e alla destinazione dei messaggi, ma anche in modo tale da precludere che il circuito liberamente attivato e controllato dai soggetti, che di tale sistema informatico e telematico si avvalgono, possa essere in qualche modo alterato, violando il rapporto fiduciario con il gestore della rete o stravolgendo i criteri prescelti circa l'accesso alle informazioni" (203). Si può infatti rilevare come alla tutela dell'interesse, pubblico e privato, alla regolarità e correttezza del funzionamento dei sistemi informatici la l. n. 547/93 abbia, direttamente o indirettamente, dedicato numerose altre disposizioni (come gli artt. 392, 420, 615 quinquies, 635 bis, nonché gli artt. 615 ter (204) e quater c.p.) che, riferendosi genericamente a sistemi informatici o telematici, si prestano a ricomprendere qualsiasi sistema utilizzato, occasionalmente o permanentemente, come strumento di comunicazione.

Tra gli altri, Pica sembra preferire una posizione intermedia. L'autore individua infatti l'aspetto di maggior rilievo delle nuove fattispecie, nel duplice profilo della "genuinità" e della "riservatezza" delle comunicazioni: "genuinità" intesa quale "esigenza di autenticità del contenuto e di inviolabilità ab externo della tecnologia" (formulazione diversa, ma concetto identico a quello di "sicurezza informatica" appena citato); "riservatezza", invece, quale "perdurante ed innegabile esigenza che anche per le comunicazioni telematiche sia tutelata la privacy dei contenuti, i quali sono pur sempre, al di là della 'veste tecnologica' che li recepisce e li trasmette, espressione di idee, emozioni, pensieri, volontà delle persone che li formano e li affidano alle tecnologie" (205).

Come dicevo all'inizio, credo debba essere condivisa la tesi secondo la quale le disposizioni in esame tutelano la libertà e la riservatezza delle comunicazioni informatiche (e telematiche), almeno in via principale. Solo ulteriormente ed in secondo luogo, il loro ambito di applicazione può estendersi al bene della sicurezza dei sistemi che dette comunicazioni veicolano, una "sicurezza", però, che, diversamente da quanto sostenuto da Corasaniti e Pica, prescinda da qualsiasi riferimento alla "genuinità" del contenuto delle comunicazioni (206), bene al quale il legislatore ha apprestato garanzia con la distinta previsione dell'art. 617 sexies (207). Di questo avviso, sembra, peraltro, Parodi (208), il quale, commentando la già citata sentenza del 13 marzo 1998 del Tribunale di Torino (209), che ha, tra l'altro, ritenuto applicabile l'art. 617 quater c.p. in un caso di sostituzione abusiva delle password di alcuni utenti Videotel impedendo così a questi ultimi il legittimo accesso al sistema, ha individuato il bene giuridico tutelato dalla normativa sia nella "riservatezza delle persone coinvolte nella comunicazione", sia nella "idoneità tecnica del mezzo di comunicazione a svolgere un'essenziale funzione sociale ed economica volta a costituire presupposto per l'interscambio efficace di dati o di messaggi tra soggetti privati reciprocamente o tra privati ed amministrazioni pubbliche" ovvero nella "funzionalità" dei sistemi (210).

Infine, Berghella e Blaiotta, rinvengono nell'art. 617 quater, la stessa esigenza di tutela posta a presidio dell'art. 615 ter (accesso abusivo), ovvero quella di assicurare l'indisturbata fruizione del sistema da parte del gestore. Secondo questi autori, infatti, "le azioni di impedimento e di interruzione delle comunicazioni informatiche e telematiche rilevano non tanto in funzione dell'interesse alla riservatezza delle stesse, quanto, invece, in relazione alla ben più importante esigenza di assicurare il corretto funzionamento dei delicati e complessi meccanismi del sistema" (211). Certamente le condotte tipiche dell'impedimento e dell'interruzione, non richiamano, con la stessa facilità ed immediatezza dell'intercettazione, il bene della riservatezza, ma questo non legittima un'interpretazione palesemente in contrasto con l'intento del legislatore e la collocazione sistematica delle fattispecie.

Rispetto al modello di partenza (gli artt. 617 e 617 bis c.p.), le nuove disposizioni sono parzialmente diverse sia nella formulazione - in ossequio alle peculiarità del nuovo fenomeno -, sia nella previsione delle circostanze aggravanti; immutato è rimasto, invece, il regime di perseguibilità e il trattamento sanzionatorio, sia dell'ipotesi base che di quelle aggravate (212).

6.2. La nozione di comunicazione informatica o telematica

In simmetria con quanto comunemente ritenuto in relazione agli artt. 617 e 617 bis c.p., sulla cui falsa riga le norme in esame sono formulate, deve trattarsi di comunicazioni informatiche in fase di trasmissione, essendo il "profilo statico" della comunicazione, consistente nella fissazione del pensiero, comunicato o da comunicare, su un supporto idoneo, già considerato dall'art. 616 c.p., posto a tutela della corrispondenza (213). A ben guardare, l'interpretazione prevalente, facendo leva sul bene giuridico della riservatezza della comunicazione, porta a differenziare le fattispecie in esame dall'art. 616 c.p. (così come ampliato dalla l. n. 547/93) per il solo aspetto citato: l'art. 617 quater (e, per altro verso, il 617 quinquies) finisce, quindi, per tutelare una forma di corrispondenza qualificata dal suo essere "in atto" (214). Stando così le cose, mi sembra doveroso ricordare che la nozione di "corrispondenza", la cui libertà e segretezza è dichiarata "inviolabile" dall'articolo 15 della Costituzione, si riferisce ad una comunicazione attuale e personale. Quanto all'attualità, è stato osservato che "l'espressione di pensiero inizia ad essere comunicazione nel momento dell'affidamento a mezzo idoneo a trasmetterlo ... e cessa di essere tale quando, per decorso del tempo o per altra causa, perda il valore di comunicazione personale, non potendosi ad essa attribuire che un valore meramente retrospettivo, affettivo, collezionistico, storico, artistico, scientifico o probatorio (215). In ordine, invece, alla personalità si richiede che la comunicazione sia rivolta ad uno o più destinatari determinati o determinabili (persone fisiche o giuridiche, enti od organismi, pubblici o privati, che di fatto operino come centro di riferimento di interessi e rapporti giuridici). Quest'ultimo requisito permette di distinguere comunicazioni di carattere riservato da comunicazioni, invece, rivolte al pubblico (216). È evidente, però, che la sola volontà dell'agente di inviare una comunicazione ad personam (o ad personas), non è, di regola, di per sé sufficiente ad imprimere alla stessa il carattere della riservatezza rilevando, inoltre, l'idoneità del mezzo prescelto a rispecchiare tale volontà. In altri termini, si può parlare di diritto alla riservatezza delle comunicazioni solo quando per queste vengano utilizzati mezzi che (in considerazione della loro natura) escludano l'intenzione del soggetto di fornire la conoscenza dell'oggetto (217) a terzi (ossia a soggetti diversi dai legittimi destinatari) (218). In particolare, la natura "personale" (cioè riservata) della comunicazione può risultare sia dai dispositivi degli impianti di trasmissione e ricezione utilizzati, ad esempio predisposti per l'identificazione del mittente e del destinatario, sia da peculiari misure e procedure di collegamento ed accesso, anche soltanto a livello di software, purché, ripeto, idonei e diretti ad escludere terzi dalla cognizione del messaggio.

Riferite, questa volta, al momento della trasmissione vera e propria, le diverse forme di comunicazione telematica coincidono, così, con quelle individuabili per l'art. 616 c.p.: rilevano i messaggi trasmessi per posta elettronica (219) a uno o più destinatari e quelli inviati alle cosiddette mailing lists (220), così anche i messaggi inviati ad un newsgroup per partecipare ad una determinata "conferenza", ma, in quest'ultimo caso, solo se gli utenti siano tra loro collegati da "una qualche relazione sufficientemente stabile, tale da rendere facile e sicura l'identificazione di ciascuno di essi" (221). Questo stesso limite (sempre perché si possa parlare di "corrispondenza") deve poi risultare per quella particolare forma di conversazione resa possibile dalle cosiddette chat lines (222): ciascun utente, interessato all'argomento oggetto di discussione, può intervenire inviando il proprio messaggio attraverso la tastiera del computer, e vedrà riprodotte in tempo reale sullo schermo del computer stesso le repliche degli altri partecipanti al dibattito. In particolare, dal momento che lo scambio di messaggi attraverso questi canali avviene in tempo reale sfruttando un computer server (cosiddetto Internet Relay Chat Server) che funziona soltanto da intermediario, dei messaggi non rimane di solito alcuna traccia nella memoria del computer. Di conseguenza, questa forma di comunicazione può essere "disturbata" solo nella fase di trasmissione dei messaggi, con una qualsiasi delle condotte descritte nell'art. 617 quater c.p.

Per quanto detto, ne consegue che chi, ad esempio, prende abusivamente cognizione del contenuto di una comunicazione altrui memorizzata su un supporto informatico (floppy disk, hard disk, cd-rom, ecc.) (223), risponde del reato di cui all'art. 616 c.p. (224), mentre colui che si immette in una rete telematica, venendo così a conoscenza del contenuto di un messaggio in corso di trasmissione, realizza la fattispecie di cui all'art. 617 quater. Di converso, dal momento che lo scambio di informazioni e messaggi deve avvenire fra persone determinate, non può essere oggetto di tutela penale a norma dell'art. 617 quater (nonché ex art. 616 c.p.), la messaggeria rivolta ad un pubblico indeterminato, per la quale non è ipotizzabile alcuna riservatezza: fuoriescono, quindi, dall'ambito di applicazione dell'articolo, le cosiddette BBS, almeno per le aree che per definizione sono aperte all'accesso, contemporaneo o differito, di più utenti indeterminati e non preselezionati (e sono la maggior parte), nonché i giornali telematici rivolti al "pubblico" e qualsiasi sito web alle consultazione delle cui pagine non sia posto alcun limite.

Le comunicazioni in discorso possono essere "relative ad un sistema informatico o telematico" oppure "intercorrenti tra più sistemi". Secondo alcuni autori le due formule si riferirebbero, ed in questo il necessario utilizzo di entrambe, rispettivamente, al caso in cui le comunicazioni avvengano tra due apparecchi, uno dei quali soltanto costituito da un sistema informatico (dal quale le comunicazioni provengono o al quale sono dirette) (225), ed al caso in cui dette comunicazioni si svolgano tra sistemi che tutti possano qualificarsi informatici (o telematici). Esempio del primo tipo, si spiega, è l'invio di un fax - tramite un normale apparecchio telefonico abilitato - ad un computer, che sia in grado di riceverlo e di riprodurne il contenuto sotto forma di dati, in quanto collegato alla rete telefonica tramite modem. Al secondo tipo di comunicazione è riconducibile, invece, e sempre a titolo esemplificativo, l'invio di un messaggio di posta elettronica.

Secondo altra interpretazione, le comunicazioni "relative ad un sistema informatico o telematico", sarebbero quelle a carattere interpersonale aventi ad oggetto sistemi informatici o telematici - "ad esempio per descriverne o indicarne le caratteristiche o per consentire l'avvio della comunicazione tra sistemi" (226).

A mio avviso, nessuna delle due tesi proposte può essere accolta. In particolare, la prima si basa su un errore "tecnico": comunicazioni informatiche (rectius, telematiche) possono aver luogo solo tra sistemi che sfruttano tecnologie informatiche e telematiche (non esistono "normali" apparecchi telefonici in grado di inviare fax). Sembra piuttosto che il legislatore abbia, anche per le fattispecie a commento, impropriamente ecceduto nella formulazione delle stesse, intraprendendo una strada "onnicomprensiva" volta ad evitare, a fronte del costante e continuo progresso tecnologico, una rapida obsolescenza delle norme che andava ad introdurre. D'altra parte, come ho in altra sede ricordato, tale timore, in alcuni casi rimediabile in via interpretativa, ha contribuito, inevitabilmente, a creare un quadro di insieme, dal punto di vista sistematico, non sempre coerente ed in grado di soddisfare la prioritaria esigenza della certezza del diritto (principio di tassatività).

6.3. Le condotte previste dall'art. 617 quater

In base all'art. 617 quater c.p. è punito con la reclusione da sei mesi a quattro anni "chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe"; la stessa pena è poi prevista, dal secondo comma, per "chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma".

Per "intercettazione" deve intendersi la presa di cognizione, totale o parziale, della comunicazione, purché, in questo secondo caso, la parte appresa abbia una giuridica rilevanza, ancorché minima (227). La comunicazione, comunque, deve pervenire integralmente al legittimo destinatario, perché, diversamente, ricorrerebbero le altre ipotesi previste dalla norma quali quella di "interruzione", che appunto si realizza qualora la comunicazione sia iniziata e, successivamente, fatta cessare, oppure, quella di "impedimento" che, invece, esclude anche il mero inizio della comunicazione (228).

Il semplice turbamento della comunicazione che non importi interruzione o impedimento della stessa, neppure parziale, non è punibile ex art. 617 quater (come già ex art. 617 c.p.), potendo eventualmente trovare applicazione l'art. 660 c.p. (229), che punisce con l'arresto fino a sei mesi o con l'ammenda fino a un milione di lire colui che "col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo".

La norma richiede che la condotta sia realizzata "fraudolentemente". In proposito sono emerse due distinte tesi: la prima, riferisce l'avverbio alla sola intercettazione, la seconda, lo estende all'impedimento e all'interruzione (230).

Mi sembra possa condividersi la prima opinione, non tanto perché, come affermato da Pecorella, diversamente, sarebbero "irragionevolmente estromesse dall'ambito di operatività della norma le ipotesi di impedimento e interruzione di comunicazioni in atto realizzate in modo violento anziché fraudolento" (231), quanto piuttosto perché induce a questa conclusione sia il tenore letterale della norma, che sembra riferire tale requisito esclusivamente alla condotta di intercettazione, sia il maggiore disvalore che caratterizza le altre forme di aggressione alla libertà di comunicazione con mezzi informatici e telematici, consistenti nel rendere impossibile o quantomeno difficoltosa la comunicazione stessa (232).

La condotta può definirsi "fraudolenta" quando consiste in un'attività volta a rappresentare, al sistema stesso in via automatica o al gestore del sistema, una situazione non corrispondente al vero quanto, ad esempio, all'identità del soggetto autorizzato o alle caratteristiche del sistema intercomunicante o dell'impianto ricevente o comunque tale da rendere non percettibile o riconoscibile l'intromissione abusiva (233). La fraudolenza deve intendersi quale modalità occulta di attuazione dell'intercettazione, all'insaputa del soggetto che invia o cui è destinata la comunicazione. Di converso, come osserva Pica, la fattispecie non trova applicazione se il soggetto, il cui messaggio è intercettato, è consapevole dell'intromissione del terzo. Deve però trattarsi di una consapevolezza non appresa casualmente o indirettamente. In altri termini, solo se l'agente ha reso manifesta la volontà di intercettare la comunicazione ed ha in tal modo consentito all'interessato di averne conoscenza prima che l'azione sia posta in essere, il reato è escluso (234).

Si tratta, inoltre, almeno per le condotte di cui al primo comma, di un reato unico, anche nel caso in cui l'agente contestualmente realizzi più di un'ipotesi criminosa (235). L'ipotesi di cui al secondo comma, relativa alla "rivelazione" (236) mediante mezzi di informazione al pubblico, rappresenta invece una fattispecie sussidiaria (237), autonoma rispetto ai fatti descritti al primo comma.

In ordine a detta autonomia, la dottrina osserva che la fattispecie non richiede, opportunamente, come presupposto positivo, che l'agente si sia già reso "colpevole" del fatto di cui al primo comma, per cui il reato sussiste sia nel caso di presa di cognizione fraudolenta, sia nel caso di cognizione non illecita (sempre che la rivelazione non sia scriminata). Ciò si desume dalla stessa lettera della legge, perché mentre gli artt. 616/2 e 619/2 (238) c.p. parlando di "colpevole" fanno evidente riferimento al reato di indiscrezione previsto nel loro primo comma, nell'art. 617/2 quater (come già nell'art. 617/2, secondo la nuova formulazione voluta dalla l. n. 98/74) tale termine è stato soppresso e il collegamento con la prima ipotesi criminosa contemplata è stato ridotto al solo "contenuto delle comunicazioni (indicato)".

Tanto indica il mutamento della politica criminale in quanto i vecchi art. 616/2 e 619/2 continuano ad incriminare ogni rivelazione, anche in via meramente privata delle sole notizie, acquisite però criminosamente, e la cui rivelazione, almeno per l'ipotesi di cui all'art. 616/2, sia pregiudizievole ("se dal fatto deriva nocumento"), mentre l'art. 617/2 quater (e l'art. 617/2) incrimina la sola rivelazione, anche non pregiudizievole, operata mediante i mezzi di pubblica diffusione, delle notizie comunque acquisite (239).

La rivelazione, anche solo in parte, del contenuto delle comunicazioni può avvenire con "qualsiasi mezzo di informazione al pubblico". Per quest'ultima definizione è bene ricordare che, secondo la giurisprudenza riferita all'art. 617 c.p., tale deve intendersi quello dotato di specifica idoneità tecnica a divulgare la notizia nei confronti della generalità di terzi o di una parte di essi (Cass. Sez. 5 sent. n. 7628 del 27 settembre 1984). La fattispecie sembra più che altro considerare l'ipotesi di illecita riproduzione mediante strumenti di comunicazione di massa (stampa, radiofonia o televisione) di notizie riservate, di atti o messaggi inseriti in un sistema informativo complesso (e chiuso al pubblico) o di agenzie di informazione destinate ad un numero chiuso di abbonati collegati telematicamente (240).

6.4. Dolo e circostanze aggravanti

Non pone particolari problemi interpretativi l'elemento soggettivo richiesto per la realizzazione delle condotte contemplate nell'art. 617 quater: queste sono punite solo se commesse con dolo. Si tratta di un dolo generico consistente nella consapevolezza e nella volontà di intercettare con mezzi fraudolenti, impedire o interrompere una comunicazione diretta o proveniente da un sistema informatico o intercorrente tra più sistemi informatici, ovvero di rivelare, con un mezzo di informazione al pubblico, in tutto o parte, il contenuto di una comunicazione informatica (o telematica) intercettata.

Il quarto comma dell'art. 617 quater prevede, poi, una serie di circostanze aggravanti, in presenza delle quali il delitto, perseguibile a querela nelle ipotesi base del primo e del secondo comma, diviene perseguibile d'ufficio e punibile con la reclusione da uno a cinque anni (anziché da sei mesi a quattro anni). Si tratta di circostanze che solo in parte coincidono con quelle previste dall'art. 617 in quanto riflettono la peculiarità delle nuove forme di comunicazione attraverso strumenti informatici. Del tutto originale è, infatti, la previsione di un aggravio di pena per l'ipotesi in cui il fatto sia stato commesso "con abuso della qualità di operatore di sistema", ovvero "in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità". Entrambe le circostanze sono state considerate trattando del reato di accesso abusivo cui si può, quindi, rinviare.

Ricordando quanto detto in tema di attacchi ai sistemi informatici e telematici - in particolare che in Internet i dati viaggiano "in chiaro" e che i protocolli utilizzati dalla Rete delle reti sono di per sé vulnerabili (241) -, non appare forse inopportuno ribadire che l'utilizzo di programmi a crittazione forte (come il già citato PGP) per codificare i messaggi rappresenta lo strumento più efficace per difenderne la riservatezza.

6.5. Art. 617 quinquies

Le stesse comunicazioni informatiche sono tutelate, nei confronti di una condotta prodromica rispetto a quella prevista dalla norma precedente, attraverso l'art. 617 quinquies c.p., che commina la pena della reclusione da uno a quattro anni per "chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi".

A differenza di quanto previsto dall'art. 617 bis c.p. per le comunicazioni telegrafiche e telefoniche, l'intercettazione, l'impedimento o l'interruzione delle comunicazioni in corso non costituiscono più soltanto l'oggetto del dolo specifico - in quanto particolare finalità alla quale deve essere rivolta la condotta dell'agente -, ma inequivocabilmente rilevano già sul piano del fatto, richiedendo espressamente la norma che gli apparecchi siano atti ad intercettare comunicazioni. L'art. 617 quinquies c.p. configura, quindi, un reato di pericolo concreto, dovendo il giudice accertare, di volta in volta, che l'apparecchiatura installata sia idonea a realizzare l'evento lesivo. In altri termini, la condotta vietata è rappresentata dalla mera installazione delle apparecchiature, a prescindere dalla circostanza che le stesse siano o meno utilizzate: la condotta non realizza alcuna concreta lesione del bene protetto, ma si limita a rendere probabile il verificarsi di quest'ultima. Si tratta, quindi, di un reato di pericolo per la cui configurazione non è necessaria la prova dell'avvenuta intercettazione o interruzione o impedimento della comunicazione, essendo sufficiente accertare l'obbiettiva potenzialità lesiva dell'apparecchiatura. Pertanto, nel caso in cui chi predispone dette apparecchiature proceda ulteriormente all'intercettazione, interruzione, impedimento o rivelazione delle comunicazioni, troveranno applicazione più fattispecie criminose (242).

6.6. Il netstrike

Il netstrike può essere definito come un corteo telematico grazie al quale la comunità informatica manifesta in modo pacifico il proprio dissenso civile su questioni di rilevante importanza sociale. Ideato e teorizzato da Tommaso Tozzi di Strano Network nel 1995, la mobilitazione si realizza invitando, attraverso qualsiasi strumento mediatico, ogni utilizzatore della Rete a puntare il proprio browser verso uno specifico URL (243) a una precisa data e ora e ad effettuare continue richieste di aggiornamento (cosiddetto reload) delle pagine del sito bersaglio. L'azione coordinata di migliaia di persone, adiuvata da una serie di accorgimenti tecnici che possano renderla più efficace, determina, in tal modo, un rallentamento del servizio offerto dal sito se non, addirittura, la paralisi del sistema "attaccato" (almeno per la durata del sit-in virtuale). Un'occupazione di banda, simile ad un corteo fisico che occupa una strada fino a renderla inaccessibile: la logica cui si ispira è, infatti, quella dei sit-in di strada che hanno l'effetto di rallentare o bloccare il traffico di uomini e mezzi.

Spesso accompagnato da proteste di altra natura (nelle strade, nelle scuole, negli uffici pubblici, ecc.) il netstrike ha, come obbiettivo principale, quello di attirare l'attenzione dei mass media e dell'opinione pubblica su un dato problema, di regola ignorato o distorto dagli organi di informazione ufficiali: non è importante che l'azione registri una riuscita dal punto di vista tecnico (cioè, che il sistema preso di mira rallenti o collassi), ma che per il suo tramite l'oggetto di contestazione diventi motivo di riflessione per i più e possa, a sua volta, determinare concrete e fattive forme di intervento sociale. Come l'ha definita Tozzi, una "pratica virtuale per conflitti reali, ... dove quello che conta non è l'efficienza tecnica ma l'efficacia simbolica e comunicativa" (244). Le richieste multiple, reiterate e simultanee ad un server web rappresentano solo uno strumento (tra i tanti, informatici e non) per denunciare casi di censura, di malgoverno, di violazione di diritti o di qualsiasi altra forma di sopruso (almeno così il netstrike è inteso dal suo ideatore, anche se può essere utilizzato per fini meno nobili). Un mezzo, inoltre, che può realizzarsi a qualsiasi livello: in un contesto internazionale ed esplicitamente globale, come nel caso della marcia virtuale contro i siti del governo francese per protestare contro gli esperimenti atomici di Mururoa o secondo una dimensione più "locale", come in occasione delle proteste contro gli sgomberi dei centri sociali (245).

Gli attivisti del netstrike non lo considerano un tipo di attacco ad un sistema informatico (246), quanto piuttosto una pratica pacifica e legale di manifestazione del pensiero. Come il floodnet (247), che ne costituisce una sua evoluzione, non rientra, infatti, nonostante il principio (tecnico) sfruttato sia lo stesso (saturare la banda per rallentare o mandare in crash il sistema bersaglio), nella categoria dei DoS (Denial of Service) (248): netstrike e floodnet, forme di protesta politica a metà strada fra le campagne di informazione e l'arte della contestazione, si distinguono dai DoS perché non sono strumentali al danneggiamento dei dati o dei programmi del sistema "attaccato" (sanzionabili ex art. 635 bis c.p.). In particolare, gli attacchi fisici (più o meno intrusivi (249)) prevedono una complessa pianificazione che comincia col processo di "hiding" (mascheramento) (250), e procede attraverso la fase di "information gathering" (raccolta di informazioni) (251), per proseguire con l'attacco vero e proprio. Niente di tutto questo è dato osservare per il netstrike e il floodnet ai quali può partecipare qualsiasi utente di Internet in grado di usare i normali programmi che la Rete mette a disposizione e dove l'anonimità non è volutamente ricercata per sfuggire alla sanzione dell'ordinamento, ma la naturale conseguenza della tecnica utilizzata (per cui non ci può essere prova e capacità di distinzione fra chi sta scaricando un sito per consultarlo e chi per bloccarlo).

Il netstrike e il floodnet si distinguono così dai DoS e dal sabotaggio informatico propriamente detto per il loro carattere pacifico, pubblico, transitorio e la contestualizzazione all'interno di un'azione di protesta più generale che serve a suscitare attenzione e dibattito intorno a un certo tema.

Così ne parla Carola Freschi: "Da un punto di vista giuridico, i promotori del netstrike si richiamano al diritto di sciopero e al corteo pubblico pacifico. Il tipo di 'intralcio' creato dal corteo virtuale ... è funzionale alla visibilità dell'azione ... e la garanzia che questo effetto venga ricollegato ad un'azione di protesta pacifica, viene cercata attraverso una copertura adeguata da parte dei media, la circolazione di informazione su mailing lists, newsgroups, indirizzari e-mail; ma gli elementi chiave per la riuscita dell'azione sono individuati non solo nelle sue condizioni tecniche, ma anche nel suo retroterra organizzativo (252), nella creazione di una rete di soggetti interessati alla protesta, nel coordinamento con altre azioni in contemporanea sul territorio" (253).

Secondo alcuni autori, il netstrike è certamente illegittimo nel caso in cui vengano utilizzati programmi (come gli script in linguaggio java) in grado di automatizzare la procedura di reload delle pagine (o del servizio bersaglio). Di fronte a questa opinione, i fautori del netstrike hanno a più riprese precisato che, anche qualora l'utente si unisca al corteo telematico utilizzando un javascript o un altro programma informatico, l'esecuzione ("client side" (254)) di tale programma potrà solo ottimizzare la banda, oggettivamente limitata, del suo modem e, quindi, mai permettere ad un singolo navigatore di ottenere un risultato tecnicamente significativo.

Anche in questo caso, pertanto, l'incisività della protesta sarà comunque direttamente proporzionale alla partecipazione dei cyber-citizens: lo strike è portato avanti sul piano dell'occupazione di banda, e la banda a disposizione dei naviganti, qualunque sia il software utilizzato, è ridotta alle capacità di un normale modem, analoga alla presenza di un singolo manifestante per la strada e come tale, si sostiene, non perseguibile.

In seguito ai recenti arresti di attivisti no global inquisiti dalla Procura di Cosenza per i reati di associazione sovversiva e propaganda sovversiva, si sono mobilitati diversi esponenti della protesta telematica (come Isole nella Rete) che hanno organizzato un netstrike contro il sito del Ministero della Giustizia. L'iniziativa non è stata accolta con favore dalla magistratura: Gianfranco Mascia (dei comitati BOBI e webmaster (255) del sito dei girotondi) e Mark Bernardini (del Gruppo di discussione telematico No Berluska) sono stati, infatti, inquisiti ai sensi dell'art. 617 quater c.p. dalla Procura della Repubblica di Bologna per aver, tra l'altro, divulgato l'iniziativa del Girotondo Telematico al sito del Ministero della Giustizia per il giorno 20 febbraio 2002.

Sulla riconducibilità del netstrike all'art. 617 quater c.p., due sono le scuole di pensiero: c'è chi condanna tale pratica ritenendo che la disposizione in esame tuteli, quale oggetto giuridico, il corretto funzionamento dei sistemi informatici e telematici, così che la condotta punita è da ravvedere in ogni attività diretta a far cessare una comunicazione informatica o telematica già iniziata (interruzione) o in quella diretta ad ostacolare l'inizio della stessa (impedimento) e chi, invece, come già chiarito, ritiene che il bene tutelato dalla norma sia la libertà e la riservatezza della comunicazione e che, quindi, almeno sotto l'aspetto considerato, siano legittime le condotte tipizzate se rivolte a comunicazioni di natura non riservata.

Anche se la pratica telematica in esame non si ritenesse scriminata alla luce del bene giuridico tutelato dall'art. 617 quater c.p. (la cui eventuale applicazione si scontrerebbe, in ogni caso, con pratici problemi di perseguibilità degli utenti coinvolti), mi sembra comunque eccessivo sanzionare penalmente una forma di protesta, pacificamente e pubblicamente organizzata, che ha un effetto limitato nello spazio e nel tempo (il massimo che è possibile ottenere tecnicamente, e quasi mai effettivamente realizzato, è il blocco del sistema "attaccato" per il solo periodo della mobilitazione) e che non porta ad alcun danneggiamento della macchina bersaglio.

Non rimane che attendere le prime decisioni giurisprudenziali in materia (che non mancheranno visto il massiccio ricorso a questa forma di protesta negli ultimi tempi), senza però lasciarci particolarmente influenzare dalle prime sentenze che molto spesso rivelano l'impreparazione dei magistrati in questo delicato settore del diritto penale.

7. Il reato di falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (Art. 617 sexies)

Art. 617 sexies - Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater (256).

Con la già criticata ridondanza di previsioni sanzionatorie, il legislatore del 1993 ha ritenuto di dover introdurre una specifica e nuova incriminazione anche per punire la falsificazione, alterazione o soppressione del contenuto di "comunicazioni informatiche o telematiche". In tale scelta appare evidente, ed è del resto dichiarato (257), il condizionamento del modello delineato dalla precedente novella di cui alla l. n. 98 del 1974 che, a chiusura del sistema di garanzie apprestato dai "nuovi" artt. 617 e 617 bis c.p. alla libertà e riservatezza delle "comunicazioni telegrafiche e telefoniche", ha inserito la specifica normativa dell'art. 617 ter c.p. per tutelarne anche la sicurezza ed integrità, relativamente alla loro genuinità ed veridicità (258).

Dopo aver, quindi, sanzionato la predisposizione di apparecchiature idonee ad intercettare, interrompere o impedire comunicazioni attinenti a sistemi informatici o telematici (art. 617 quinquies c.p.), nonché il loro impiego e la rivelazione al pubblico dei contenuti (art. 617 sexies c.p.), il legislatore si è occupato del caso in cui, verificatasi un'intercettazione, l'operatore disponga della comunicazione così acquisita, falsificandola, alterandola o sopprimendola e ne faccia o consenta poi l'uso per scopi di profitto o di danno altrui (259).

Parte della dottrina (260), in particolare, osserva come il legislatore abbia seguito, mutatis mutandis, e salvo il riferimento alla soppressione, la struttura del reato di falsità materiale in scrittura privata (art. 485 c.p.) (261): come avviene per quest'ultimo, infatti, il delitto si consuma non con la mera falsificazione del contenuto di una comunicazione intercettata, bensì con l'uso che si faccia o si lasci ad altri fare del falso così realizzato (262).

Muovendo dall'ampia nozione di scrittura privata accolta nel diritto penale (263) e tenendo presente il disposto del nuovo art. 491 bis c.p. (264), non sembrerebbe allora difficile riscontrare i caratteri della scrittura privata in una registrazione elettronica memorizzata su un supporto informatico (265). Secondo questa prospettiva, quindi, oggetto della condotta sanzionata dall'art. 617 sexies c.p. non può che essere la registrazione elettronica di una comunicazione informatica intercettata, che sia memorizzata su un supporto informatico interno o esterno all'elaboratore: ciò discenderebbe non solo dall'evidente simmetria che incorre tra la disposizione in esame e quella dell'art. 617 ter c.p. assunta a modello - ove si richiede espressamente che la falsificazione riguardi "il testo" di una comunicazione telefonica o telegrafica intercettata - ma soprattutto e in modo decisivo dalla circostanza che solo a queste condizioni si giustifica l'inclusione della norma tra quelle dirette a reprimere le falsità documentali (266). Del resto, sulla scia di quanto comunemente si ritiene per la fattispecie di falsificazione di comunicazioni telefoniche, qualora la falsità abbia ad oggetto il contenuto di una comunicazione informatica non previamente intercettata, sarà applicabile la disposizione in tema di falsità in scrittura privata (art. 485 c.p.), la cui estensione ai documenti informatici ha come presupposto che la registrazione elettronica sia fissata su un idoneo supporto di memoria.

Lo stesso si sostiene, poi, con riguardo alla diversa ipotesi della soppressione, in tutto o in parte, del contenuto di una comunicazione informatica intercettata: se ricorre quest'ultima condizione, la norma applicabile sarà quella dell'art. 617 sexies c.p., nel diverso caso in cui la comunicazione non sia stata previamente intercettata, anche solo occasionalmente, potrà eventualmente risultare integrato il reato di soppressione, distruzione o occultamento di scrittura privata vera ai sensi dell'art. 490 c.p., il quale pure può avere ad oggetto un documento informatico (nel senso sopra precisato), ma non un insieme di dati "fluttuanti".

La norma in esame, invero, suscita più di un dubbio nella sua interpretazione e la tesi sopra esposta è condivisa solo da una parte della dottrina.

Secondo alcuni autori (267), nonostante gli sforzi esegetici, non si riesce a capire quale sia lo spazio operativo della nuova fattispecie. Una prima interferenza è ravvisata con la disposizione di danneggiamento di sistemi informatici o telematici punita dall'art. 635 bis c.p., che riguarda "informazioni o dati" altrui di qualsiasi natura. Tale rilievo può però essere superato osservando che l'art. 617 sexies considera le "informazioni" e i "dati" nel momento dinamico in cui integrano il contenuto di una comunicazione, ed in questo la sua specialità rispetto al generico danneggiamento informatico. Si è poi sostenuta una sovrapposizione dell'art. 617 sexies rispetto alle diverse ipotesi di falsità in documenti informatici, che si ricavano combinando la definizione che di questi offre il nuovo art. 491 bis c.p. con le comuni figure di falsità documentale, in particolare, proprio con quelle di falso in "documenti informatici privati" (ex art. 485 c.p.) e di falso per soppressione (ex art. 490 c.p.).

Anche in questo caso, ritengo si possa far leva sul fatto che i dati sono considerati nel momento della loro trasmissione e che, quindi, solo una antecedente intercettazione possa costituire elemento specializzante la disposizione in esame. A questo proposito, le maggiori preoccupazioni, che però nulla tolgono a quanto affermato, si sono incentrate, da un lato, sull'aver il legislatore definito il "documento informatico" quale "supporto" contenente dati o informazioni (o programmi specificamente destinati ad elaborali), termine, però, correttamente sostituito dal D.P.R. n. 513 del '97 e confermato dal sostitutivo D.P.R. n. 445 del 2000 con quello di "rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti" e, dall'altro, sul fatto che il "documento informatico" fosse (se non altro al momento della sua introduzione) semplicemente una mera creazione legislativa, non supportata, diversamente da quanto accaduto per la tradizionale nozione di documento, da una lunga e laboriosa elaborazione di dottrina e giurisprudenza che ne avesse definito i requisiti costitutivi. Accomunato al documento tradizionale dall'elemento normativo della "efficacia probatoria" - da intendere in termini di "funzione" probatoria, per evitare fraintendimenti in chiave esclusivamente processualistica - il "documento informatico" ha, però, trovato possibilità di tutela (anche) penale grazie ad una disciplina extrapenale - rappresentata dai decreti sopra citati - che ne ha individuato i requisiti sostitutivi, funzionalmente corrispondenti - seppur non identici - a quelli richiesti per l'esistenza dei documenti scritti tradizionali (268).

Picotti, ancora, nel tentativo di individuare l'ambito di applicazione della fattispecie in esame, ritiene che la norma di cui all'art. 617 sexies c.p. coincida con la disposizione di cui all'art. 617 ter così come integrata dal nuovo art. 623 bis e possa, quindi, riferirsi anche a comunicazioni che non abbiano carattere interpersonale.

In effetti, delle fattispecie introdotte dalla legge del '74, solo negli artt. 617 e 617 bis c.p., la locuzione "tra altre persone" è stata espressamente accostata all'indicazione delle "comunicazioni o conversazioni" tutelate, mentre non è stata richiamata nell'art. 617 ter c.p. che punisce le relative falsificazioni. D'altro canto, la dottrina ha sempre ritenuto che tale riferimento fosse sottinteso in forza del contesto sistematico e della prospettiva di tutela propri di quella novella, modellata sullo schema di un diretto rapporto tra persone fisiche, quali autrici e/o destinatarie delle comunicazioni penalmente rilevanti. Eppure, proprio per questa ragione, la disciplina dell'art. 617 ter era stata ritenuta non adeguata a contrastare le nuove forme di criminalità informatica, nonostante l'estensione a qualsiasi strumento tecnico di "trasmissione" utilizzato già operata dall'art. 623 bis nella sua originaria formulazione. Ad ogni modo, a fronte del nuovo art. 623 bis, che rende applicabili le norme contenute nella V sezione (269), "relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche", a "qualunque altra trasmissione a distanza di suoni, immagini o altri dati", non si può, sostiene l'autore, non ritenere soddisfatta l'esigenza, proclamata dal legislatore, di togliere ogni dubbio sul superamento della prospettiva di tutela alle sole comunicazioni interpersonali. Invece di introdurre un inutile duplicato della fattispecie di "falsificazione, alterazione o soppressione" del contenuto di comunicazioni, l'art. 617 ter avrebbe potuto, quindi, nel nuovo contesto, essere più estensivamente interpretato quanto ad oggetto, ovvero essere eventualmente modificato nei pochi dettagli in cui lo si ritenesse necessario.

"Ma il legislatore - eccessivamente parsimonioso nel campo delle falsità in documenti informatici, dove si è astenuto totalmente dal formulare fattispecie ad hoc, come pur sarebbe stato auspicabile per la complessità e specificità delle disposizioni tradizionali da applicare ai nuovi oggetti - ha seguito un opposto criterio in questo caso, creando una seconda fattispecie parallela a quella esistente, pur se di scarsissima se non nulla applicazione pratica (270), rispetto a cui rimane non del tutto chiaro - specie alla stregua dell'art. 623 bis - il confine reciproco" (271).

7.1. Condotta e dolo

Oggetto delle diverse ipotesi di falsità contemplate dalla norma deve essere il contenuto di una comunicazione informatica o telematica. Deve inoltre trattarsi del contenuto di una comunicazione informatica intenzionalmente o anche solo "occasionalmente intercettato". L'intercettazione costituisce solo la prima fase della condotta sanzionabile dovendo, per la consumazione del reato, essere integrata dall'uso (rectius, dal primo atto d'uso) del contenuto falsificato della comunicazione informatica.

La condotta di falsificazione può consistere, alternativamente, nel formare falsamente - creando ex novo -, alterare - modificando nella sostanza - o sopprimere - eliminando - il contenuto di una comunicazione informatica o telematica intercettata. Tutte le condotte tipizzate possono interessare il contenuto di una comunicazione informatica, "in tutto o in parte".

Per la configurazione del reato si richiede, oltre al dolo generico - consistente nella volontà di falsificare il contenuto di una comunicazione informatica o telematica (formandolo falsamente, ovvero alterandolo o sopprimendolo in tutto o in parte), con la consapevolezza che si tratti di una comunicazione anche occasionalmente intercettata -, anche il dolo specifico, caratterizzato dal fine di "procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno".

Tale fine non esclude la possibilità di un dolo eventuale, in relazione agli altri elementi del fatto costitutivo di reato. Questo vale, ad esempio, con riferimento all'elemento che il "contenuto delle comunicazioni", su cui cade la falsità, sia stato "anche occasionalmente intercettato": l'agente può non solo non aver preordinato l'intercettazione alla realizzazione dell'alterazione o della soppressione, ma può anche aver solo "accettato" l'eventualità, rappresentatasi come possibile, ma non come certa né direttamente voluta, che le comunicazioni, il cui contenuto è oggetto dei propri interventi manipolatori, provenga da un'intercettazione. In proposito, di diverso avviso è Antolisei secondo il quale soggetto attivo del reato può essere "soltanto l'intercettatore o colui al quale quest'ultimo abbia palesato le notizie apprese" (272).

8. La tutela giuridica dei programmi per elaboratore

Con il d. lgs. n. 518 del 29 dicembre 1992 (attuativo della direttiva comunitaria 91/250 (273) CEE), i programmi per elaboratore sono stati inseriti nella categoria delle opere dell'ingegno e, quindi, tutelati attraverso la disciplina sul diritto d'autore (274). In particolare, la legge n. 633 del 1941 è stata modificata attraverso l'introduzione: a) di un secondo comma all'art. 1, in base al quale "sono altresì protetti i programmi per elaboratore come opere letterarie ai sensi della convenzione di Berna sulla protezione delle opere letterarie ed artistiche ratificata e resa esecutiva con legge 20 giugno 1978, n. 399"; b) di un nuovo n. 8 all'art. 2, che ricomprende espressamente nella tutela "i programmi per elaboratore, in qualsiasi forma espressi purché originali quale risultato di creazione intellettuale dell'autore" (275); c) di apposite sanzioni penali all'art. 171 bis (276), da applicarsi a "chiunque abusivamente duplica a fini di lucro, programmi per elaboratore o, ai medesimi fini e sapendo o avendo motivo di sapere che si tratta di copie non autorizzate, importa, distribuisce, vende, detiene a scopo commerciale, o concede in locazione i medesimi programmi" nonché "se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale dei dispositivi applicati a protezione di un programma per elaboratore" (277). La disciplina sul diritto d'autore, estesa nel '99 anche alle banche di dati (278), è stata così preferita alle alternative rappresentate da una tutela di tipo contrattuale (di efficacia limitata poiché avente validità soltanto inter partes) o brevettuale, o alla normativa sulla concorrenza sleale (possibile soltanto in presenza di imprenditori ed a fronte di una riconosciuta confondibilità di prodotti).

Prima dell'intervento comunitario, tale soluzione era stata sollecitata da pronunce giurisprudenziali di legittimità e di merito (279), nonché dal D.P.R. n. 338 del 1979 (attuativo della Convenzione dei Brevetti Europei siglata a Monaco nel 1973) che aveva espressamente escluso la brevettabilità del software (280).

Con legge n. 248 del 18 agosto 2000("Nuove norme di tutela del diritto di autore") il legislatore ha ritenuto opportuno intervenire nuovamente in materia apportandovi significative modifiche.

Innanzitutto, la disposizione di cui all'art. 171 bis sanziona, oggi, penalmente: "Chiunque (281) abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società Italiana degli Autori ed Editori (S.I.A.E. (282))", e prevede la stessa pena "se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori" (la seconda parte della disposizione è rimasta invariata).

Come è facile osservare, la prima, fondamentale modifica consiste nell'aver sostituito il "fine di lucro" con quello di "profitto". Tutte le condotte previste dalla norma e, quindi, penalmente sanzionate, richiedono adesso un dolo specifico individuato da una nozione, quella di profitto, ben più ampia della precedente e che, certamente, non risponde più alla scelta di politica criminale adottata col decreto del '92. La maggioranza della dottrina e parte della giurisprudenza, avevano, infatti, evidenziato come scopo dell'originario art. 171 bis fosse quello di "garantire al titolare del programma i vantaggi economici che derivavano dalla sua commercializzazione, in contrasto netto e conflittuale con il diffuso fenomeno del commercio clandestino di programmi duplicati e contraffatti" (283). Di questo tenore era, del resto, la direttiva comunitaria 91/250 la cui semplice lettura avrebbe condotto a ritenere che le "misure speciali" (che non avrebbero, tra l'altro, dovuto essere necessariamente penali) imposte dall'allora CEE "erano destinate a sanzionare sfruttamenti (abusivi) di tipo commerciale, cioè il mercato del software pirata" (284). Questa prospettiva era inoltre confermata da quell'anticipazione della soglia di punibilità - a rischio, peraltro, di illegittimità costituzionale - rappresentata dalla condotta di detenzione cui, appunto, doveva necessariamente affiancarsi lo "scopo commerciale" (285). Il pretore di Cagliari aveva ben chiarito i termini entro i quali avrebbe potuto operare la tutela penale: la duplicazione e la detenzione, logico presupposto per le ulteriori condotte sanzionate (importazione, distribuzione, vendita, concessione in locazione) avrebbero acquistato rilievo penale solo in quanto finalizzate rispettivamente al lucro ed alla commercializzazione. Facendo leva sul secondo comma dell'art. 64 ter, che non consente si imponga all'acquirente il divieto di effettuare una copia di riserva del programma e sull'art. 68, che permette, ed anzi indica come libera la riproduzione di singole opere o loro parti per uso personale dei lettori (rectius fruitori) con il limite del divieto di spaccio al pubblico di tali beni, l'organo giudicante osservava come tutto l'impianto sanzionatorio previsto dal diritto d'autore fosse, di fatto, teso ad impedire che a lucrare dalla circolazione dell'opera fossero soggetti diversi dal titolare dei diritti. Per questa ragione non si poteva ravvisare alcun illecito penale (residuando, eventualmente, profili civilistici) nei confronti di chi non si fosse reso responsabile di una qualche attività volta alla commercializzazione del software protetto.

Il dolo di lucro, infatti, è innegabilmente e sostanzialmente diverso da quello di profitto: il lucro indica esclusivamente un guadagno patrimoniale ossia un accrescimento patrimoniale consistente nell'acquisizione di uno o più beni, mentre il profitto può implicare sia il lucro, quindi l'accrescimento effettivo della sfera patrimoniale, che la mancata perdita patrimoniale ossia il depauperamento dei beni di un soggetto. In altri termini, nel profitto può rientrare anche la mancata spesa che un soggetto dovrebbe, per ipotesi, affrontare per ottenere un bene; "il lucro costituisce solo ed esclusivamente l'accrescimento positivo del patrimonio, il profitto anche la sola non diminuzione dello stesso". Nonostante alcune pronunce abbiano equiparato lucro e profitto (286), la giurisprudenza (287) e la dottrina (288) maggioritarie, hanno seguito la tesi appena esposta.

Prima dell'entrata in vigore della legge 248 del 2000, quindi, duplicare software per uso personale (al di fuori della espressa previsione dell'art. 64 ter che, come ricordato, consente la copia di riserva o di "backup" di software legittimamente posseduto) o detenerne copie a fine "commerciale" (termine da intendersi nel senso di servirsi di copie prive di licenza in ambito aziendale), erano condotte che, se da un lato potevano integrare forme di illecito civile (artt. 156 e ss. l.d.a. (289)), dall'altro non potevano dar luogo ad ipotesi di reato. La previsione del fine di profitto, invece, consistente nel generico "risparmio di spesa", determina quale conseguenza immediata, la possibilità di applicare le sanzioni dell'art. 171 bis alle condotte indicate. Per fugare ogni dubbio sull'illiceità penale di chi utilizzi all'interno della propria azienda copie di software per una o più delle quali non disponga della relativa licenza, la legge 248, e in questo la seconda novità, ha aggiunto all'espressione "detenzione per scopo commerciale" il termine "o imprenditoriale" (290).

In ordine alla duplicazione, "abusiva" in quanto non autorizzata dal titolare dei diritti, il senso rigoristico della riforma può già cogliersi nelle prime interpretazioni giurisprudenziali della Corte di Cassazione che ha configurato l'illecito di cui all'art. 171 bis della l. n. 633/41 anche nel caso di duplicazione parziale di un programma per elaboratore: bisogna ricavare la nozione di "programma", spiega la Corte, dall'art. 2, primo comma n. 8 (291) l. n. 633 del 1941 come introdotta dall'art. 2 del decreto legislativo n. 518 del 1992 evalutare la complessiva espressione di cui all'art. 171 bis alla luce degli artt. 64 bis (diritti esclusivi di cui è titolare l'autore del software), 64 ter (diritti dell'utente (292)) e 64 quater (diritto dell'utente alla decompilazione - o reverse engineering - al fine di ottenere l'interoperabilità con altri programmi); dal combinato disposto di queste norme, dai connotati peculiari della creatività e dell'originalità, propri di ogni opera dell'ingegno, da considerare in maniera particolare in relazione alle peculiarità del software (293), e dalle caratteristiche tecniche dello stesso "si ricava la rilevanza penale anche dell'abusiva duplicazione di parte di un programma (294), purché dotato di una propria autonomia funzionale e, comunque, costituente il nucleo centrale" (295).

Deve ancora essere ricordato che per la duplicazione non autorizzata di un programma per elaboratore, così come per le altre condotte previste dagli articoli 171-174 l.d.a. ed aventi, quindi, ad oggetto anche altre opere dell'ingegno, le sanzioni penali si cumulano con la sanzione amministrativa prevista dal nuovo art. 174 bis (296). Non solo, accanto alle sanzioni penalied amministrative (che, sovente si affiancano) la l. 248/2000 ha introdotto, all'art. 171 sexies, altre misure di contrasto alla pirateria. Il primo comma regola la possibilità di distruzione, da parte dell'autorità giudiziaria, del materiale sequestrato qualora, per entità, sia di difficile custodia. Malgrado il richiamo all'art. 83 disp. att. c.p.p., la previsione risulta assai iniqua. Innanzitutto, per la fase in cui può avvenire la distruzione (anche durante le indagini preliminari, dunque astrattamente prima di qualsiasi pronuncia di un giudice); in secondo luogo, per l'assenza di ogni mezzo di impugnazione.

Il secondo comma, invece, si occupa delle ipotesi di confisca, ora obbligatoria in relazione agli strumenti e ai materiali serviti o destinati a commettere i reati di cui agli artt. 171 bis, 171 ter e 171 quater nonché applicabile ai supporti non conformi (laddove, in precedenza e ad esclusione del caso dei supporti non conformi, la confisca poteva dirsi soltanto facoltativa) (297). Infine, lo stesso comma 2 impone la confisca anche nel caso di applicazione delle pena ai sensi degli artt. 444 e ss. c.p.p.

Non ho, finora, fatto cenno al quantum delle sanzioni penali di cui all'art. 171 bis, ma è forse il momento di sottolineare la gravità delle stesse: reclusione da sei mesi a tre anni e multa da lire cinque milioni a lire trenta milioni, se, poi, il fatto è "di rilevante gravità" (298), la pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni. Dal momento che l'originario art. 171 bis prevedeva, per l'ipotesi base, la pena della reclusione da tre mesi a tre anni e della multa da L. 500.000 a L. 6.000.000 e stabiliva, per quella aggravata, la reclusione non inferiore nel minimo a sei mesi e la multa a L. 1.000.000, appare evidente un inasprimento della stessa. Ma ciò che lascia maggiormente perplessi, sostituito il "profitto" al "lucro", è che pene così severe possano applicarsi a fattispecie, come quella della duplicazione abusivaper uso personale di software che, se da un lato, possono giustificare interventi civilistici, dall'altro non appare lecito elevare a reato (299). La ricerca di un equilibrio, di una soluzione in grado di contemperare gli interessi degli autori di software (e delle aziende produttrici) e quelli dei consumatori, non passa certo attraverso la criminalizzazione e la persecuzione di quanti aderiscono alla pratica ormai comune e diffusa di copiare ad uso personale programmi protetti da copyright, con la consapevolezza di compiere un atto ben diverso dalla commercializzazione e distribuzione di software duplicato illegalmente. Eppure la legge, perseguendo la duplicazione casalinga e aziendale ha, di fatto, "equiparato il comportamento del ragazzino che copia il cd della playstation a chi, invece, ha creato un'industria miliardaria sulla riproduzione non autorizzata di software". In questo contesto, forse si dimentica che se certi programmi sono diventati uno standard de facto a livello mondiale (300), ciò non è avvenuto solo a fronte di meriti qualitativi del prodotto o di una buona politica commerciale, ma anche grazie a quel fenomeno, tanto temuto ed oggi gravemente criminalizzato della duplicazione non autorizzata. Del resto, solo per il software e le banche di dati (301), la condotta in questione, nonché quella adessa finalizzata della rimozione o elusione dei dispositivi applicati a protezione del programma per elaboratore, si limita a richiedere il mero profitto (in luogo del più specifico fine di lucro) come elemento psicologico del reato. È sufficiente considerare l'art. 171 ter l.d.a., anch'esso riscritto dalla legge 248/00, che sanziona le attività abusive di duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno "di tipo musicale o cinematografico": il dolo è "di lucro", è prevista una diminuzione di pena se il fatto e di particolare tenuità, ma, soprattutto, la norma prevede espressamente, per tutte le ipotesi contemplate, la scriminante dell'uso personale, ponendo così un'ingiustificata disparità di trattamento con la disposizione che la precede, basata solo sulla diversità di categoria del bene tutelato (302). Mentre scrivo, è in via di approvazione definitiva al governo un nuovo decreto legislativo. Tale decreto, delegato con legge 1 marzo 2002, n. 39 ed attuativo della direttiva 2001/29 CE (303) del Parlamento Europeo e del Consiglio ("Sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione"), ha un ambito di applicazione che esclude espressamente software e banche di dati, ma deve essere menzionato perché in esso viene riaffermata la possibilità di effettuare la riproduzione per uso personale e privato di fonogrammi e videogrammi (è, per lo più, a tali opere, infatti, che si rivolge la disciplina): l'art. 9 dello schema di decreto prevede un nuovo art. 71 sexies che "consente la riproduzione privata di fonogrammi e videogrammi su qualsiasi supporto, effettuata da una persona fisica per uso esclusivamente personale, purché senza scopo di lucro e senza fini direttamente o indirettamente commerciali (nel rispetto delle misure tecnologiche di cui all'art. 102 quater (304))". Un altro aspetto del decreto coinvolge, però, anche il software: il nuovo art. 71 septies, a fronte della possibilità per il privato di effettuare una copia privata dell'opera, individua una sorta di singolare indennizzo per l'autore o produttore. La contropartita è rappresentata dal riconoscimento agli autori e produttori di fonogrammi, nonché ai produttori originari di opere audiovisive e ai produttori di videogrammi e loro aventi causa, di un diritto ad un compenso (meglio specificato all'art. 39) per la riproduzione. "Detto compenso è costituito, per gli apparecchi di registrazione audio e video e per i sistemi informatici idonei alla registrazione di fonogrammi o videogrammi, da una quota sul prezzo al rivenditore o da un importo fisso per apparecchio. Per i supporti di registrazione audio e video, quali supporti analogici, supporti digitali, memorie fisse o trasferibili, il compenso è costituito da una somma commisurata alla capacità di registrazione resa dai medesimi supporti". Questa previsione è stata fortemente criticata per diverse ragioni: 1) perché, contrariamente alle indicazioni della direttiva comunitaria, l'applicazione dei compensi non è correlata al verificarsi di un pregiudizio per gli aventi diritto; 2) perché vengono tassati indiscriminatamente tutti i supporti vergini e gli strumenti atti alla registrazione a prescindere dal tipo di impiego ed effettivo utilizzo (in sostanza, anche il privato che utilizzerà un supporto per raccogliervi dati personali o il masterizzatore in ambito domestico, dovrà pagare il prezzo dell'"equo compenso" (305)); 3) perché, per la copia privata, esistono già accordi su base di legge stipulati dalla S.I.A.E. con le maggiori associazioni imprenditoriali, accordi la cui validità è prevista fino al 31 dicembre 2003; 4) perché la legge n. 93 del 5 febbraio 1992 già prevede un aumento del 10 per cento del prezzo divendita come copertura preventiva della riproduzione privata per uso personale e senza scopo di lucro dei CD musicali (306).

Infine, l'art. 16 della l. 248/00 stabilisce: "Chiunque abusivamente utilizza con qualsiasi procedimento, anche via etere o via cavo, duplica, riproduce, in tutto o in parte, un'opera dell'ingegno tutelata dalla normativa sul diritto d'autore e sui diritti connessi al suo esercizio, oppure acquista o noleggia supporti audiovisivi fonografici o informatici o multimediali non conformi alle prescrizioni della presente legge è punito, purché il fatto non costituisca concorso nei reati di cui agli articoli 171, 171 bis, 171 ter, 171 quater, 171 quinquies, 171 septies e 171 octies della legge 22 aprile 1941, n. 633, come modificati o introdotti dalla presente legge, con la sanzione amministrativa pecuniaria di lire trecentomila e con le sanzioni accessorie della confisca delmateriale e della pubblicazione del provvedimento su un giornale quotidiano a diffusione nazionale" (307). Premesso che la norma ha un evidente carattere residuale, trovando applicazione solo nel caso in cui non si versi in una delle ipotesi previste dagli articoli menzionati, non mi sembra, almeno con riferimento alla condotta di duplicazione del software, e pur non richiedendo alcun fine specifico (308), che la disposizione si differenzi in modo significativo dallo stesso art. 171 bis. Emerge, invece, l'impressione di una volontà tesa a reprimere ad ogni modo la condotta de quo.

Alcuni autori, come Minotti (309) e Giannangeli (310), sostengono che la norma appena citata trovi applicazione al caso della mera detenzione di una copiaillecita. Sul punto, però, l'opinione della dottrina non è unanime. Secondo l'associazione Alcei la sostituzione nell'art. 171 bis del fine di lucro con quello di profitto "significa che è penalmente perseguibile non solo il commercio, ma anche il semplice possesso di software non registrato" (311). Allo stesso modo si esprime Salento (312). La sola giurisprudenza ad essersi pronunciata su questa nuova disposizione della 248 è quella del tribunale di Alessandria che ha applicato la sanzione amministrativa a un soggetto che aveva "acquistato" software contenuto in un supporto non "conforme alle prescrizioni della presente legge". Mi sembra che, astrattamente parlando, duplicazione e detenzione siano due condotte ben distinte e che la seconda potrebbe ricadere nell'art. 171 bis solo se fosse qualificata (oltre che dal fine di profitto) dall'essere, come recita oggi la norma, di tipo "commerciale o imprenditoriale", nonché dall'avere ad oggetto supporti non contrassegnati dalla S.I.A.E. In altri termini, e per non togliere significato all'art. 16 (almeno alla sua seconda parte), una detenzione "per uso personale" non può, di per sé, comportare sanzioni penali. D'altra parte, è pur vero che, stante la nuova formulazione dell'art. 171 bis e, soprattutto, considerando gli interessi di parte che hanno guidato la riforma, il rischio che un soggetto trovato in possesso di software privo di licenza possa essere accusato (il che non significa condannato) di "duplicazione" è più che fondato e ciò, nonostante la mera detenzione non sia sufficiente a provarla (la duplicazione può, per esempio, essere stata realizzata da un terzo) e che, configurandosi come reato istantaneo (313), la sua contestazione risulti, sempre sul piano probatorio, diparticolare difficoltà. Il pericolo insito in tale situazione non può, quindi, essere sottovalutato tanto più che siamo nell'ambito di ipotesi di reato per le quali si procede d'ufficio e che, ricorrendo certe circostanze, possono legittimare sequestri (preventivi e probatori) o misure cautelari (ad esempio, l'inibitoria "di qualsiasi attività che costituisca violazione del diritto stesso", ex art. 163 l.d.a.) particolarmente gravose (314).

All'articolo 16 della 248 sembra, comunque, da riconoscere un merito: quello di aver fugato ogni possibilità di dubbio, in caso di "acquisto" di software protetto da copyright di provenienza illecita (di regola: da altri duplicato a fini di lucro), sulla inapplicabilità del reato di ricettazione (ex art. 648 c.p.). Inpassato, infatti, accanto alla violazione delle norme sul diritto d'autore, veniva spesso contestata anche quest'ultima fattispecie. Ma, premesso che per tale ulteriore capo d'imputazione non mai è stato condannato nessuno, le due disposizioni, apparentemente sovrapponibili (in entrambi c'è la provenienza illecita dell'oggetto del reato - denaro o cose nella ricettazione, programmi nell'art. 171 bis - e l'"acquistare", "ricevere" e "occultare" dell'art. 648 c.p. possono essere condotte in qualche modo contigue al "duplicare", "importare", "distribuire", "vendere" e "detenere" indicate dall'art. 171 bis (315)), sotto ilprofilo della tipicità rivelano un diverso oggetto di reato: nella ricettazione, infatti, il comportamento illecito dell'agente deve riguardare "denaro o cose provenienti da qualsiasi delitto" e certamente non può essere considerato "cosa" un programma informatico, bene, per sua natura, immateriale. Afferma efficacemente Minotti: "Come dovrebbe essere noto, la legge sul dirittod'autore tutela quell''entità' squisitamente immateriale che è l'estrinsecazione di un'idea. Ne consegue che ogni norma della legge medesima (compreso l'art. 171 bis) ha per oggetto quella stessa immaterialità ... diversamente, l'art. 648 c.p. (come molte disposizioni relative a reati contro il patrimonio) può avere ad oggetto soltanto una res corporalis" (316). In questa prospettiva, non può essere condiviso quell'orientamento, invalso presso certa giurisprudenza, consistente nel ravvisare il reato di ricettazione (punito, tra l'altro, con la reclusione da due a otto anni) nei confronti di acquirenti di prodotti fonografici o cinematografici abusivamente riprodotti (317).

Ma quando un supporto è "conforme alle prescrizioni della presente legge"? Tornando all'esame dell'articolo che qui più interessa, ovvero il 171 bis, si può rilevare come, oltre a non presentare più l'inciso secondo il quale l'agente "doveva sapere o avere motivo di sapere che si trattasse di copie non autorizzate", cosa che implicava una più articolata ricognizione dell'elemento psicologico del reato, sia stata attribuita una più significativa valenza alla presenza sui supporti del contrassegno S.I.A.E. Nella precedente formulazione dell'art. 171 bis, infatti, costituiva una circostanza aggravante (accanto all'"essere il fatto di rilevante gravità") avere, la condotta sanzionata, ad oggetto supporti previamente contrassegnati (era previsto un aumento di pena se il programma oggetto dell'abusiva duplicazione, importazione, distribuzione, vendita, detenzione a scopo commerciale o locazione fosse stato precedentemente distribuito, venduto o concesso in locazione su supporti contrassegnati dalla S.I.A.E.). Con la riforma, invece, le condotte previste (eccettuata la duplicazione per la quale la previsione sarebbe illogica e fuorviante, esclusione che, tra l'altro, emerge dallo stesso tenore letterale della norma (318)) integrano la fattispecie delittuosa solo se i programmi sono "contenuti in supporti non contrassegnati dalla Società Italiana degli Autori ed Editori": la mancanza del contrassegno è stata elevata ad elemento costitutivo della fattispecie. Con inequivoca chiarezza, infatti, l'art. 10 della l. 248/00 inserisce un nuovo art. 181 bis che, al comma 8, dispone: "Agli effetti dell'applicazione della legge penale - e, specificamente, "agli effetti di cui agli articoli 171 bis e 171 ter", ex primo comma dello stesso art. 181 bis - il contrassegno è considerato segno distintivo di opera dell'ingegno". La recente normativa ha, infatti, imposto, a "chiunque" (autore, importatori, distributori) sia legittimato a porre in essere le condotte previste dagli articoli 171 bis (seconda parte, e 171 ter, lettera d) della norma), l'apposizione di un contrassegno "su ogni supporto contenente programmi per elaboratore o multimediali nonché su ogni supporto contenente suoni, voci o immagini in movimento, che reca la fissazione di opere o di parti di opere tra quelle indicate nell'articolo 1, primo comma" quando tali supporti siano "destinati ad essere posti comunque in commercio o ceduti in uso a qualunque titolo a fine di lucro" (art 181 bis, primo comma). Scrive Monti: "Viene così stravolto un principio cardine del diritto d'autore: la paternità dell'opera non si acquista più per il semplice fatto della creazione, ma attraverso l'apposizione (obbligatoria adesso anche per il software ed a titolo oneroso (319)) del 'bollino' S.I.A.E. In questo modo sono pregiudicati i diritti di chi non può o non ha interesse ad iscriversi alla S.I.A.E. Ed infatti un'altra caratteristica di questa legge è l'estensione indiscriminata dei poteri della Società degli Autori e degli Editori anche nei confronti di chi (sviluppatori e autori indipendenti) non vuole farne parte".

Come detto, l'art. 181 bis ha espressamente previsto la necessità del contrassegno solo per quei supporti "destinati ad essere posti comunque in commercio o ceduti in uso a qualunque titolo a fine di lucro". Data la lettera della disposizione è stato facile sostenere, come ha fatto Andrea Sirotti Gaudenzi (320), che vi fossero casi in cui il contrassegno non fosse richiesto, "tanto che non ha senso dire che la riforma uccida il software no copyright" (321) (free software). Eppure, c'è chi ha manifestato l'opinione opposta: soggetti come la S.I.A.E. (direttamente interessata) o la BSA (322) (anch'essa di parte) hanno dichiarato che il "bollino" fosse sempre necessario (ignorando, tra l'altro, l'ulteriore previsione del terzo comma dello stesso art. 181 bis che, espressamente, prevede per alcune ipotesi, in alternativa al contrassegno, la possibilità di una dichiarazione identificativa (323)). Il regolamento attuativo della 248/00 - previsto dal comma 4 dell'art. 181 bis ed introdotto con DPCM n. 338 dell'11 luglio 2001 - nonché il recente DPCM n. 296 del 25 ottobre 2002 (324), hanno comunque eliminato ogni dubbio interpretativo sulla questione indicando (accanto ai casi in cui il contrassegno è dovuto (325) e a quelli per i quali è sufficiente la dichiarazione identificativa) le ipotesi che non richiedono alcun obbligo né di contrassegno né di dichiarazione. Cercando di sintetizzare, il primo decreto ha escluso: i prodotti accessoriamente distribuiti nell'ambito della vendita di contratti di licenza multipli, i programmi scaricati da Internet e installati sul personal computer "se detti programmi non vengano registrati a scopo di profitto in supporti diversi dall'elaboratore personale dell'utente (salva la copia privata), nonché i programmi venduti esclusivamente al fine di far funzionare periferiche o driver oppure destinati all'aggiornamento del sistema o alla risoluzione di conflitti software od hardware se derivanti da software già istallato. Il successivo decreto ha ulteriormente allargato l'ambito di esenzione ai sistemi operativi, alle applicazioni o ai programmi server ("di distribuzione di servizi informatici") destinati ad essere preinstallati su un elaboratore elettronico e distribuiti all'utente finale insieme ad esso, nonché ai software distribuiti gratuitamente con il consenso del titolare dei diritti (326).

In relazione a quanto appena osservato, si può rilevare un errore di formulazione della fattispecie penale di cui all'art. 171 bis. Quest'ultimo, infatti, disponendo che le attività vietate sono solo quelle relative ai programmi contenuti in supporti non contrassegnati dalla S.I.A.E., dimentica che la legge contempla casi in cui il contrassegno non è dovuto. L'art. 181 bis (terzo comma), ad esempio, prevede ipotesi in cui il contrassegno è sostituito da un'apposita dichiarazione identificativa (sempre resa alla S.I.A.E.) comprovante la legittimità dei prodotti. Accade così che, in mancanza di tale precisazione, risultano in astratto punibili tutte quelle azioni di cui all'art. 171 bis riguardanti copie di programmi contenuti in supporti privi di contrassegno, ma circolanti in maniera del tutto legittima, perché "certificati", appunto, da detta dichiarazione (327).

Note

1. Nella relazione al disegno di legge n. 2773, in seguito tradotto nella legge n. 547 del 1993, si legge: "L'uso dei sistemi informatici e telematici ha pervaso le principali attività che vengono svolte nella società moderna, ed una serie sempre più ampia di indicatori lascia prevedere un impatto della risorsa tecnologica più forte e condizionante ... Fortemente dipendenti dalle tecnologie informatiche appaiono, in particolare, taluni settori di rilevante interesse nell'economia nazionale: quello assicurativo, del credito e delle finanze, industriale, della pubblica amministrazione, del trasporto aereo, ferroviario, metropolitano e marittimo, della sanità e dell'ambiente".

2. A titolo esemplificativo: Stati Uniti, Counterfeit Access Device and Computer Fraud and Abuse, 1984, poi sostituita dal Computer Fraud and Abuse Act del 1986; Danimarca, legge n. 229 del 6 giugno 1985; Norvegia, legge n. 54 del 12 giugno 1987; Austria, legge n. 605 del 1987 entrata in vigore il 1º marzo 1988; Grecia, legge n. 1805 del 30 agosto 1988; Gran Bretagna, Computer Misure Act del 29 giugno 1990. Borruso-Buonomo-Corasaniti-D'Aietti, Profili penali dell'informatica, Giuffrè, Milano 1994, introduzione, pag. XV.

3. Pubblicata in Gazzetta Ufficiale 30 Dicembre 1993 N. 305.

4. L'art. 12 puniva (salvo che il fatto non costituisse più grave reato) con la reclusione da 1 a 3 anni (o se il fatto era commesso per colpa, fino a 6 mesi) il pubblico ufficiale che comunicava o faceva uso di dati ed informazioni in violazione delle disposizioni della stessa legge o al di fuori dei fini da essa previsti. La forma di tutela della riservatezza delle banche di dati apprestata dalla legge n. 121/81 era estremamente limitata: non si estendeva, infatti, a banche-dati pubbliche o private diverse dall'archivio informatico del Ministero dell'Interno e rimaneva comunque confinata alle sole condotte criminose previste dal ricordato art. 12. G. Pica, Diritto penale delle tecnologie informatiche, UTET, Torino 1999, pag. 21.

5. Il decreto n. 518/92 ha equiparato il programma per elaboratore alle opere dell'ingegno apprestandogli, quindi, tutela attraverso la disciplina del diritto d'autore. L'articolo 10 del decreto, in particolare, prevedeva: "Dopo l'art. 171 della legge 22 aprile 1941, n. 633, è inserito
"Art. 171 bis. - 1. Chiunque abusivamente duplica a fini di lucro, programmi per elaboratore, o, ai medesimi fini e sapendo o avendo motivo di sapere che si tratta di copie non autorizzate, importa, distribuisce, vende, detiene a scopo commerciale, o concede in locazione i medesimi programmi, è soggetto alla pena della reclusione da tre mesi a tre anni e della multa da L. 500.000 a L. 6.000.000. Si applica la stessa pena se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale dei dispositivi applicati a protezione di un programma per elaboratore. La pena non è inferiore nel minimo a sei mesi di reclusione e la multa a L. 1.000.000 se il fatto è di rilevante gravità ovvero se il programma oggetto dell'abusiva duplicazione, importazione, distribuzione, vendita, detenzione a scopo commerciale o locazione sia stato precedentemente distribuito, venduto o concesso in locazione su supporti contrassegnati dalla Società italiana degli autori ed editori ai sensi della presente legge e del relativo regolamento di esecuzione approvato con regio decreto 18 maggio 1942, n. 1369.
2. La condanna per i reati previsti al comma 1 comporta la pubblicazione della sentenza in uno o più quotidiani e in uno o più periodici specializzati.

6. La legge n. 675/96 (cosiddetta "legge sulla privacy"), adottata in attuazione della Direttiva CEE 95/46 del 24 ottobre 1995, prevede una serie di illeciti penali (modificati nella loro formulazione originaria dal decreto legislativo n. 467 del 2001) agli artt. 35 ("Trattamento illecito di dati personali"), 36 ("Omessa adozione di misure necessarie alla sicurezza dei dati"; la novella del 2001 ha trasformato questo reato da delitto in contravvenzione), 37 ("Inosservanza dei provvedimenti del Garante"), 37 bis ("Falsità nelle dichiarazioni e nelle notificazioni al Garante") e 38 ("Pena accessoria", pubblicazione della sentenza); in particolare, a norma dell'art. 15, terzo comma, le misure minime di sicurezza - la cui mancata adozione comporta l'illecito di cui all'art. 36 - sono state individuate dal regolamento adottato con D.P.R. del 28 luglio 1999, n. 318 (tale regolamento dovrebbe essere sostituito da un nuovo provvedimento entro la fine del 2002, considerata la scadenza biennale del termine previsto dalla legge per il suo aggiornamento). Deve essere, inoltre, segnalata la recente Direttiva comunitaria n. 58 del Parlamento europeo e del Consiglio del 12 luglio 2002 (direttiva relativa alla vita privata e alle comunicazioni elettroniche): la direttiva, che dovrà essere recepita dal nostro ordinamento entro il 2003 (non è da escludersi, peraltro, una ratifica della stessa, almeno in parte, in sede di emanazione del testo unico sulla privacy il cui termine di adozione sembra slitti dal dicembre del 2002 al maggio - giugno del 2003), non si discosta, nella sostanza, dalle norme in tema di sicurezza previste dal d. lgs. n. 171 del 1998 (art. 2), stabilendo, infatti, all'art. 4 che "il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi" (primo comma) e che "nel caso in cui esista un particolare rischio di violazione della sicurezza della rete, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha l'obbligo di informarne gli abbonati indicando, qualora il rischio sia al di fuori del campo di applicazione delle misure che devono essere prese dal fornitore di servizio, tutti i possibili rimedi, compresi i relativi costi presumibili" (secondo comma).

7. Con questo provvedimento le banche di dati (come già il software, ex decreto legislativo n. 518/92) sono state equiparate alle opere dell'ingegno e i diritti relativi (del creatore e del "costitutore") hanno ricevuto tutela sul piano penale (ex art. 6 del decreto) in base al nuovo comma 1-bis, inserito nell'art. 171-bis della legge sul diritto d'autore (22 aprile 1941, n. 633). Va peraltro osservato che: a) la tutela ha per oggetto una banca di dati intesa, "per la scelta o la disposizione del materiale" (artt. 64 quinquies e sexies l.d.a.), quale "creazione intellettuale"; in base all'art. 2 del decreto, infatti, "la tutela delle banche di dati non si estende al loro contenuto e lascia impregiudicati diritti esistenti su tale contenuto"; b) la nozione di 'banca di dati' inserita dal decreto n. 169 ("raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili mediante mezzi elettronici o in altro modo") differisce da quella prevista dalla legge n. 675/96 ("qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento"), non in ragione del mezzo adoperato (che può essere, in entrambi i casi, di tipo informatico o meno), ma per riferirsi, la seconda nozione, a uno specifico contenuto (dati "personali").

8. Classica è la "tecnica del salame": modificato opportunamente il programma di gestione dei flussi contabili, gli arrotondamenti (per eccesso) relativi ai movimenti dei singoli utenti vengono accreditati su un conto corrente prestabilito.

9. Cfr. Relazione ministeriale citata. In proposito, può ancora essere ricordata la più recente sentenza del tribunale di Como, 21 settembre 1995, in Informaz. prev., 1995, n. 12, 1545, che ha ritenuto applicabili le norme relative (al falso in atto pubblico - art. 476 c.p. - ed) alla tentata truffa (art. 640 c.p.) ad alterazioni dell'archivio informatico dell'I.N.P.S commesse prima dell'emanazione della legge in esame.

10. Senza nulla togliere all'utilità dell'intervento del legislatore, mi sembra doveroso un chiarimento. I cosiddetti beni informatici, ovvero dati, informazioni e programmi, sono spesso qualificati sia in dottrina che in giurisprudenza, come "beni immateriali". Giuridicamente assumono questa denominazione tutte le cose incorporali "che sono creazioni della nostra mente, concepibili solo astrattamente" (Torrente A., Manuale di diritto privato, Giuffrè, Milano 1974, pag. 115), e la cui tipica espressione è rappresentata dai diritti sulle opere dell'ingegno. I dati informatici, d'altro canto, non sono affatto "immateriali", cioè privi di fisicità, ma anzi rappresentano delle tipiche espressioni di leggi fisiche, proprio grazie alle quali è possibile fissarli sui supporti magnetici o ottici che li contengono; ed anche quando sono in fase di elaborazione da parte della macchina, sono costituiti da impulsi elettrici che esprimono combinazioni di simboli numerici, quali rappresentazioni di concetti (Cfr. G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 27). "I dati registrabili nelle memorie di un computer costituiscono, al tempo stesso, sia una forma di scrittura che cose materiali mobili distinte dal supporto che li contiene. Ciò spiega perché essi possono essere oggetto sia di danneggiamento (ancorché non venga affatto danneggiato tale supporto), sia di falsificazione, come può avvenire per qualsiasi documento scritto" (Borruso e altri, op. cit., pag. 9).

11. In senso critico circa l'applicabilità dell'art. 420 c.p. al caso di chi tramite la cancellazione o l'alterazione dei programmi memorizzati in un sistema informatico ne paralizzi il funzionamento, L. Picotti, Commento alla sentenza del tribunale di Firenze, 27 gennaio 1986, in Diritto dell'informazione e dell'informatica, 1986, pag. 962.

12. G. Corrias Lucente, Informatica e diritto penale: elementi per una comparazione con il diritto statunitense, in Diritto dell'informazione e dell'informatica, 1987, pag. 531; Marini G., Condotte in alterazione del reale aventi ad oggetto nastri ed altri supporti magnetici e diritto penale, in Riv. it. dir. proc. pen., 1986, pag. 381.

13. Pret. Torino 23 ottobre 1989 (in Foro it., 1990, II, 462): "Sono configurabili gli estremi del delitto di danneggiamento nel fatto di chi, mediante una serie di istruzioni indirizzate al calcolatore elettronico, cancelli o alteri alcuni programmi applicativi contenuti in supporti magnetici", in quanto "la cancellazione dei nastri di backup e l'introduzione di istruzioni nel programma idonee a disabilitare il sistema informatico ad una data prestabilita, rendono inservibile il sistema stesso, comportandone l'alterazione strutturale e funzionale"; sentenza confermata in appello, App. Torino 29 novembre 1990 (in Foro it., 1991, II, 228). A tale conclusione si era pervenuti considerando oggetto materiale del reato non i programmi cancellati o alterati, bensì il sistema informatico nel suo complesso, definito quale "connubio indivisibile tra le apparecchiature fisiche (hardware) e i programmi che le utilizzano e specializzano, nonché le basi dati che gli stessi rendono accessibili".

14. Trib. Torino, 12 dicembre 1983 (in Giur. it., 1984, II, 352): "Il reato di esercizio arbitrario delle proprie ragioni specificamente si concretizza ricorrendo, tra gli altri, il requisito di violenza sulle cose: il danneggiamento di un programma per elaboratore - precisamente di un bene immateriale, nella specie di opera dell'ingegno - realizza il suddetto requisito di violenza sulle cose".

15. Trib. Firenze, 27 gennaio 1986 (in Foro it., 1986, II, 359): "Costituiscono atti genericamente qualificabili di 'sabotaggio' di un impianto di elaborazione di dati, quelle alterazioni magnetiche che rendono impossibile l'accesso e l'utilizzo delle informazioni memorizzate in dischi, così da risultare in pratica distrutte, anche se il danno arrecato ai supporti debba considerarsi riparabile (nella specie, pur essendosi accertata la volontaria causazione, mediante l'uso di magneti, di numerose alterazioni e manomissioni di dischi in uso presso l'elaboratore dati del centro di calcolo di un'università, l'imputato è stato prosciolto dall'imputazione di cui all'art. 420 c.p., per mancanza di prove circa la commissione del fatto da parte sua)".

16. Corte di Cassazione Sez. III, 24 novembre 1986, Pompa.

17. Il principio di tassatività (o determinatezza) presiede alla tecnica di formulazione della legge penale. Esso sta ad indicare il dovere, per il legislatore, di procedere, al momento della creazione della norma, ad una precisa determinazione della fattispecie legale, affinché risulti tassativamente stabilito ciò che è penalmente lecito e ciò che è penalmente illecito; e conseguentemente, per il giudice, di non applicare la stessa a casi da essa non espressamente previsti. "Il principio di tassatività assicura innanzitutto la certezza della legge per evitare l'arbitrio del giudice, precludendogli la possibilità di punire i casi non espressamente previsti dalla legge: tanto maggiore è la certezza, tanto minore è il soggettivismo, ideologico o caratteriale, del giudice" (cfr. F. Mantovani, Diritto penale. Parte generale, CEDAM, Padova 1992, pag. 98).

18. Nella Costituzione italiana il principio di tassatività è desumibile in modo soltanto implicito dalla ratio dell'art. 25, quale corollario e completamento logico dei principi della riserva di legge e della irretroattività, ma prescritto, attraverso l'avverbio "espressamente", dall'art. 1 c.p. (Cfr. F. Mantovani, Diritto penale. Parte generale, cit., pag. 99).

19. E. Giannantonio, L'oggetto giuridico dei reati informatici, "Computer crimes - I reati informatici", Seminario, Roma 15-16 dicembre 2000.

20. Dalla relazione ministeriale citata.

21. A questo proposito, il Consiglio dell'Unione Europea ha recentemente ribadito come: "Le legislazioni penali nel settore degli attacchi ai sistemi di informazione devono essere ravvicinate al fine di garantire la cooperazione giudiziaria e di polizia più ampia possibile nel settore dei reati attinenti ad attacchi a sistemi di informazione, e di contribuire alla lotta contro la criminalità organizzata ed il terrorismo". Decisione-Quadro (approvata dal) Consiglio dell'UE presentata dalla Commissione COM (2002)173 relativa agli attacchi contro i sistemi di informazione, Bruxelles, 19 aprile 2002.

22. La relazione ministeriale non trascura, tra l'altro, di ricordare come, nell'ambito di tale operazione, abbia seguito le indicazioni contenute nella circolare della Presidenza del Consiglio del 19 dicembre 1983, ispirate ai principi di proporzione e di sussidiarietà, e rapportate al rango dell'interesse da tutelare ed al grado dell'interesse da tutelare ed al grado dell'offesa (principio di proporzione) nonché alla inevitabilità della sanzione penale, quale ultima ratio (principio di sussidiarietà).

23. Council of Europe - Recommandation Nº R (89) 9, in Riv. Trim. dir. pen. econ., 1992, pag. 378.

24. Fatti contemplati nella lista minima: frode informatica, falso informatico, danneggiamento dei dati o programmi informatici, sabotaggio informatico, accesso non autorizzato, intercettazione non autorizzata, riproduzione non autorizzata di un programma informatico protetto, riproduzione non autorizzata di una topografia.

25. Fatti previsti dalla lista facoltativa: alterazione dei dati o dei programmi informatici, spionaggio informatico, utilizzazione non autorizzata di un elaboratore, utilizzazione non autorizzata di un programma informatico protetto.

26. C. Pecorella, Il diritto penale dell'informatica, CEDAM, Padova 2000.

27. La topografia è un particolare tipo di disegno stampato su un circuito integrato.

28. La normativa di riferimento è rappresentata dalla legge n. 70 del 21 febbraio 1989 ("Norme per la tutela giuridica delle topografie e dei prodotti a semiconduttori") la quale, nonostante le sollecitazioni del Consiglio d'Europa, non ha subito modifiche: il nuovo tipo di creazione intellettuale avrebbe forse potuto trovare una tutela rafforzata attraverso il ricorso allo strumento penale (quantomeno nei casi di riproduzione non autorizzata della topografia o del prodotto a semiconduttore attraverso di essa creato nonché del loro abusivo sfruttamento commerciale), diversamente, per le violazioni dei diritti di esclusiva dell'autore, il legislatore ha preferito mantenere sanzioni di carattere amministrativo (art. 20).

29. "Delitti contro la persona".

30. "Delitti contro il patrimonio".

31. "Rivelazione del contenuto di documenti segreti".

32. Tecnicamente, premesso che il concetto di "dato" ricomprende sia quello di informazione che di programma, con questo (o più comunemente con "dati", per la pluralità ontologica degli stessi) si intende "una rappresentazione originaria, cioè non interpretata (che invece costituisce l''informazione') di un fatto, fenomeno o evento, effettuata attraverso simboli (numeri, lettere, ecc.) ... il concetto di 'dato' esprime una registrazione elementare nella memoria di un computer. L''informazione', intesa come contenuto del sistema informatico, è costituita invece da un insieme più o meno vasto di dati organizzati secondo una logica che consenta di attribuire loro un particolare significato per l'utente della macchina. Il 'programma' (o software), infine, è costituito da una sequenza di istruzioni (costituite quindi da insiemi di 'dati'), espresse in linguaggio comprensibile dalla macchina elaboratrice, e progettate ed assemblate insieme per ottenere dalla macchina il compimento di operazioni prestabilite, semplici o complesse." (G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 25) Per una definizione di "sistema informatico" si può ricorrere alla formulazione della Corte di Cassazione: "l'espressione 'sistema informatico' contiene in sé il concetto di una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche in parte) di tecnologie informatiche. Queste ultime, come si è rilevato in dottrina, sono caratterizzate dalla registrazione (o 'memorizzazione'), per mezzo di impulsi elettronici, su supporti adeguati, di 'dati', di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) numerici ('codice'), in combinazioni diverse; tali 'dati', elaborati automaticamente dalla macchina, generano le 'informazioni' costituite 'da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di attribuire un particolare significato per l'utente'". (Corte di Cassazione, Sez. VI Pen., Sent. 4 ott. - 14 dic. 1999, n. 3067, in Riv. Cassazione penale, pag. 2990.) Inoltre, il sistema informatico assume la denominazione di "sistema telematico" allorché l'elaboratore sia collegato a distanza con altri elaboratori, attraverso le vie di telecomunicazione. Nonostante il legislatore abbia voluto eliminare ogni dubbio al riguardo, menzionando espressamente anche i sistemi telematici, è pacifico che questi ultimi siano già ricompresi nella categoria generale dei "sistemi informatici"; in tal senso, Borruso-Buonomo-Corasaniti-D'Aietti, op. cit., pag. 8. Infine, per "operatore di sistema", concetto che verrà approfondito in sede di analisi del reato di accesso abusivo (art. 615 ter c.p.), deve intendersi qualsiasi soggetto che, operando sul sistema, abbia potuto realizzare la condotta incriminata, in virtù di quelle conoscenze specifiche maturate nell'ambito delle mansioni cui era preposto.

33. L'oggetto materiale del reato, o meglio, della condotta consiste nell'entità fisica (es. cadavere, ex art. 410 c.p.) o non fisica (es. segreto, ex art. 622 c.p.) su cui cade la condotta tipica. (Cfr. F. Mantovani, Diritto penale. Parte generale, cit., pag. 170).

34. Diversa, invece, la soluzione, ad esempio, apprestata dall'ordinamento francese: la legge 5 gennaio 1988 n. 88-19 aveva inserito nel testo previgente del codice penale un nuovo capo III nel titolo II del Libro terzo, ma il principio dell'autonomia delle disposizioni in tema di criminalità informatica è stato rispettato anche dal codice penale francese attualmente in vigore, nel cui libro terzo, in corrispondenza del titolo II, è inserito il capo III sulle lesioni del sistema di elaborazione automatizzato di dati (artt. 323.1 - 323.7), mentre il capo VI del titolo II del libro II concerne le lesioni dei diritti della personalità risultanti dalle schede o dalle elaborazioni informatiche (artt. 226.16 - 226.24); il falso informatico, invece, è stato ricondotto in via interpretativa al generico reato di falso documentale, definito come "ogni alterazione fraudolenta della verità, tale da cagionare un danno e realizzata tramite qualsiasi mezzo, in uno scritto o in un altro supporto dell'espressione del pensiero che abbia per oggetto o che sia idoneo a fondare un diritto o un fatto avente conseguenze giuridiche" (art. 441.1).

35. Berghella-Blaiotta, Diritto penale dell'informatica e dei beni giuridici, in Riv. Cassazione Penale 1995, pag. 2330; G. Pica, Diritto penale delle tecnologie informatiche, cit.

36. F.C. Palazzo, I confini della tutela penale, in Riv. it. dir. e proc. pen., 1992, pag. 457.

37. F.C. Palazzo, op. cit., pag. 466.

38. Tra gli altri, G. Pica, Computer crimes e uso fraudolento delle nuove tecnologie, Seminario di studi, Roma 15 dicembre 2000; V. Militello, Nuove esigenze di tutela penale e trattamento elettronico delle informazioni, in Riv. trim. dir. pen. econ., 1992, pag. 364 e ss.; D. Fondaroli, Osservazioni intorno ad alcune delle norme contenute nella recente normativa italiana sui computer crimes, in La nuova normativa in tema di criminalità informatica: alcune riflessioni, Laura Sola, Désirée Fondaroli, CLUEB, Bologna 1995, pag. 20.

39. Sulla necessità di una generale rielaborazione della teoria giuridica, che riconosca il centrale rilievo oggi assunto dal bene "informazione" e dalle relative tecniche di trattamento e circolazione, cfr., nell'ambito della dottrina penalistica, U. Sieber, La tutela penale dell'informazione. Relazione generale sul tema "Criminalità dei computer" tenuta al XIII Congresso internazionale di diritto comparato, Montreal 1990, in Riv. trim. dir. pen. econ., 1991, pag. 485-499; nonché L. Picotti, Studi di diritto penale dell'informatica, stampato a cura dell'autore, Verona 1992, pag. 3 ss.

40. A. Monti, Computer crimes, un'occasione perduta, maggio 1995.

41. Regolamento attuativo della legge n. 59/97, legge Bassanini.

42. Tale nozione è stata confermata dal più recente D.P.R. n. 445/2000 che ha, tra l'altro, abrogato il decreto citato.

43. Cfr. G. Pica, Computer crimes e uso fraudolento delle nuove tecnologie, cit. Secondo Picotti, "Il nuovo art. 491 bis si configura come mera norma di rinvio sia per quanto concerne le pene, sia per quanto concerne la tipizzazione dei diversi fatti punibili: con il risultato che vengono indiscriminatamente duplicate oltre una ventina di figure delittuose - molte delle quali già risultanti da norme a loro volta 'estensive', quali gli artt. 489 (uso di atto falso) e 490 (soppressione di atti veri) c.p. - di cui si era da tempo criticata l'esasperazione analitica ed auspicata, perciò, una complessiva riforma, che semplificasse e riducesse il troppo frastagliato quadro normativo, se non altro per limitare le frequenti occasioni d'incertezza e dubbio emerse in sede applicativa" (cfr. L. Picotti, Commento all'art. 3 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 71).

44. L. Picotti, Commento all'art. 5 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 109.

45. A questo proposito, è stato sostenuto: "Pur non essendo del tutto corretto identificare la complessa fenomenologia di Internet con l'esperienza delle televisioni e radio libere, il messaggio che proviene dal passato non può essere ignorato: la libertà, per essere tale, deve essere inserita in una cornice istituzionale di riferimento che la protegga e la renda attuale" (N. Garrapa, Internet e diritto penale: tra lacune legislative, presunte o reali, panorami transnazionali, analisi de iure condito e prospettive de iure condendo, in Diritto & Diritti, 1999).

46. Tra le diverse opinioni espresse sulla legge 547 si possono citare le seguenti: "È una legge che utilizza la tecnica del 'taglia e incolla', cioè aggiunge gli aggettivi 'informatica e telematica' a fattispecie tipiche del codice penale, senza però addentrarsi in una specifica analisi di beni giuridici tutelati e di comportamenti criminosi reali. Sembra davvero essere stata concepita da persone all'oscuro della realtà pratica dell'informatica. Di fronte alle tematiche di Internet tale legge è assolutamente inadeguata. È stato adeguato il codice penale incollando qua e là la dizione 'informatica e telematica', riprendendo i reati di attentato, esercizio abusivo delle proprie ragioni, accesso illecito, intercettazione illecita, frode informatica. Le pene sono spropositatamente alte per comportamenti magari innocui sul piano pratico, ed estremamente basse quando, come nel caso di frodi internazionali o di danneggiamenti ai sistemi, i danni sono enormi. Infine, la legge non si pone per nulla problemi pratici di enorme rilevanza, come ad esempio chi debba essere il giudice competente. Sul problema delle intercettazioni, anche qui il legislatore ha usato il 'cut and paste' mutuando la norma sulle intercettazioni telefoniche, ma il vero problema è l'accesso ai dati del server, ai dati identificativi delle comunicazioni usate in concreto. Il tutto con molteplici problemi aggiunti, come la conservazione dei dati oltre un certo periodo o, in caso di accertato illecito, di cooperazione internazionale per identificare gli autori delle frodi" (G. Corasaniti, La tutela penale dei sistemi informatici e telematici). "Per la tecnica verbosa e approssimativa le due suddette leggi, lastricate di buone intenzioni, costituiscono uno dei ricorrenti esempi di come non si dovrebbe legiferare" (riferito agli artt. 615 ter e 615 quater) (F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, CEDAM, Padova 1995, pag. 415.). "È spesso contraddittoria e, in qualche caso, di fatto inapplicabile ... sembra potersi affermare che forse qualche buona occasione per fare una legge migliore è stata persa ... Il sonno della ragione genera mostri" (A. Monti, Spaghetti hacker, cit., pag. 255).

47. Secondo Borruso, sostenere che la manipolazione del sistema "induce in errore" una macchina anziché una persona è solo un "sofisma ad effetto" perché "il computer funzionante non è solo macchina, ma anche e soprattutto software e quest'ultimo, a sua volta, non è che la proiezione della volontà (sia pure non 'volente', ma soltanto 'voluta') dell'uomo, sicché alterare il software o interagire maliziosamente con esso profittando di determinati suoi punti deboli è come trarre in inganno l'uomo stesso che lo usa, il quale non ha ragione di sospettare (e in tal senso è tratto in errore) il 'tiro giocatogli'" (Borruso e altri, op. cit., pag. 35).

48. Un problema di certo interesse sul quale si discute in dottrina e giurisprudenza verte sull'interpretazione delle condotte tipiche previste in via alternativa dalla fattispecie: "alterare in qualsiasi modo il funzionamento di un sistema informatico o telematico" e "intervenire senza diritto con qualsiasi modalità su dati, informazioni o programmi" in esso contenuti "o ad esso pertinenti". Secondo una sentenza del tribunale di Torino, perché possa realizzarsi il reato de quo, occorre necessariamente, come richiede lo stesso nomen iuris ("frode informatica"), "un tipo di condotta improntata all'inganno e all'artificio", così da ritenersi penalmente rilevante ogni possibile induzione in errore portata a compimento mediante il ricorso al computer. Dal momento che le condotte previste devono essere considerate alla luce di questa premessa, il reato si realizzerà solo se l'azione comporterà un'alterazione del funzionamento o dei risultati dell'elaborazione (Sentenza del tribunale di Torino del 7 febbraio 1998). In questo senso anche Pica, secondo il quale le condotte configurate tendono a sovrapporsi tanto che la dizione testuale "intervento su dati, informazioni o programmi" sembra costruita "per indicare un'azione di manipolazione ad hoc di questi tre elementi e dunque comunque un'alterazione del corretto funzionamento del sistema" (G. Pica, Computer crimes e uso fraudolento delle nuove tecnologie, cit.). Diversamente, Parodi, commentando la sentenza citata, ritiene integrata l'ipotesi di reato di frode informatica (in concorso con l'accesso abusivo e con l'aggravante dell'aver abusato della qualità di "operatore di sistema") ravvisando nel comportamento di abusiva duplicazione di dati (avvenuto al fine di procurarsi un ingiusto profitto) proprio quell'"intervento senza diritto con qualsiasi modalità" sanzionato dalla norma (C. Parodi, Accesso abusivo, frode informatica, rivelazione di documenti informatici segreti: rapporti da interpretare, in Riv. Dir. pen. e proc., 1998, pag. 1038). Analogamente, Mucciarelli sostiene: "Qualunque alterazione o manomissione degli elementi costitutivi di un sistema informatico o telematico è destinata a ricadere nell'ambito di applicabilità della previsione normativa" (F. Mucciarelli, Commento all'art. 10 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 138).

49. La norma punisce "chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi" nonché "chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi".

50. In proposito è controverso in dottrina se la norma sia applicabile anche al caso di alterazione, modifica e cancellazione di dati, oltre che di programmi. Se il software può essere reinstallato in tempi brevi, la perdita dei dati, soprattutto in assenza di supporti di backup, può provocare danni ben più ingenti. Allo stato, in assenza di una specifica previsione normativa e in considerazione del fatto che non è possibile ricomprendere nel termine "programmi" utilizzato dall'art. 392 c.p. i "dati" da questi ultimi gestiti, non è possibile estendere la fattispecie di reato a tale ipotesi, a causa del più volte citato divieto analogico in materia penale vigente nell'ordinamento. In questo senso, diversi autori tra i quali, G. Pomante, op. cit., pag. 70 e A. Monti, op. cit.

51. Si tratta, in particolare, di ipotesi definibili di "sabotaggio informatico", ovvero di danneggiamento finalizzato ad ostacolare il funzionamento di un sistema informatico. In ordine alla fattispecie prevista dall'art. 420 c.p., mette conto rilevare come il legislatore non abbia posto rimedio ad una lacuna già denunciata in dottrina nella precedente formulazione della norma: l'espressione "fatto diretto" è priva di qualunque requisito ulteriore relativo all'idoneità della condotta posta in essere dall'agente. Si deve comunque intendere la disposizione come se tale estremo fosse implicitamente previsto: se così non fosse verrebbe meno il principio della non punibilità degli atti preparatori (cfr. F. Mucciarelli, Commento all'art. 2 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 60). Naturalmente il giudice, per valutare l'idoneità degli atti posti in essere dall'agente, si servirà di un giudizio prognostico-ipotetico (se il giudizio fosse effettuato ex post, il tentativo sarebbe per definizione sempre inidoneo), effettuato in concreto (nell'effettivo contesto della situazione cui gli atti ineriscono), a base parziale (oggetto di considerazione saranno solo le circostanze concrete in quel dato momento verosimilmente esistenti secondo la miglior scienza ed esperienza umana) (cfr. F. Mantovani, Diritto penale. Parte generale, cit., pag. 444).

52. La norma estende esplicitamente la nozione di documento ai soli "effetti della disposizione di cui al primo comma", ricomprendendovi "anche qualunque supporto informatico contenente dati, informazioni o programmi". In questo modo il legislatore dimostra di voler andare oltre l'ambito dei "documenti informatici" in senso tecnico, quali definiti dal nuovo art. 491 bis c.p., di cui non richiama lo specifico requisito dell'"efficacia probatoria" dei dati e delle informazioni contenute nei supporti predetti, nonché, indirettamente, dei programmi destinati ad elaborarli. "Ne risulta un concetto assai lato e pressoché inafferrabile, che comporta una potenziale estensione della tutela a qualsiasi anche singolo dato, informazione o programma, col solo vincolo dall'estrinseco e poco significativo collegamento materiale con un concreto 'supporto informatico' che, al momento del reato, lo contenga" (cfr. L. Picotti, Commento all'art. 7 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 126).

53. Tale delimitazione aveva dato luogo a divergenze giurisprudenziali ed era stata la causa di una sostanziale disapplicazione delle fattispecie penali contro le intercettazioni di comunicazioni effettuate su radio-frequenze riservate, quali, ad esempio, quelle della polizia. E benché le frequenze "riservate", a norma del t.u. 29/3/1973 n. 156 in materia postale, non possano essere utilizzate per la trasmissione da parte di estranei, non si consideravano penalmente precluse all'ascolto o all'intercettazione da parte di terzi (cfr. L. Picotti, Commento all'art. 8 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 130).

54. Dalla relazione ministeriale citata.

55. Cfr. Laura Ugoccioni, Commento all'art. 11 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 140. Sempre secondo l'autore, si può inoltre constatare: a) dalla lettura congiunta degli artt. 266 e 266 bis c.p.p. si ricava che il legislatore ha configurato una specifica categoria di reati (quelli appunto previsti dalla legge 547) per la quale ammette solo le intercettazioni informatiche e non altri tipi di intercettazione; b) nonostante l'art. 267 c.p.p. - "Presupposti e forme del provvedimento" autorizzativo dell'intercettazione - non sia stato modificato dalla legge 547, e continui a riferirsi, quindi, alle sole operazioni previste dall'art. 266 (quelle di "intercettazione di conversazioni o comunicazioni telefoniche e di altre forme di telecomunicazione"), deve ritenersi applicabile anche alle intercettazioni informatiche o telematiche: tali intercettazioni, da un lato, sono coperte dalla riserva di giurisdizione di cui all'art. 15 cost., dall'altro, l'inapplicabilità dell'art. 267 c.p.p. creerebbe un vuoto normativo tale da impedire necessariamente l'esecuzione concreta della nuova disciplina.

56. Si tratta di delitti di particolare gravità: dall'associazione di tipo mafioso (art. 416 bis c.p.) al sequestro di persona a scopo di estorsione (art. 630 c.p.).

57. Paradossalmente, le stesse compagnie ed istituzioni che vogliono difendersi dagli hackers spesso finiscono con assumerli a cifre elevatissime (è questo il caso dei due hackers leader di "Ice-Trap", Matteo Del Mistro, alias "neXus", autore dell'incursione nella Banca d'Italia, e Roul Chiesa, alias "nobody", autore di quella nell'Unilever). In fondo, chi è in grado di scoprire le debolezze di un sistema informatico è anche il più idoneo a trovare i relativi rimedi.

58. In questo senso, a mio avviso, deve essere interpretata la dicotomia hackers-crackers i cui confini, ad un'analisi approssimativa, possono risultare alquanto sfumati.

59. "Il diritto all'informazione contrasta con ogni forma di censura, istituzionale, tecnica o commerciale. In questa prospettiva il mezzo digitale va tutelato da ogni controllo indesiderato e considerato soggetto solo alla responsabilità individuale di chi lo utilizza. Questo diritto può concretamente dispiegarsi solo quando sia garantito l'accesso a una molteplicità di fonti informative e la possibilità di generarne di nuove senza limitazioni di sorta per poter affermare una reale libertà di espressione" (cfr. A. Di Corinto e T. Tozzi, op. cit., pag. 18).

60. "Sicurezza delle telecomunicazioni", rectius: sicurezza del corretto funzionamento dei sistemi informatici e telematici, secondo parte della dottrina, in ordine all'art. 617 quater; sicurezza, sotto il profilo della genuinità e della veridicità (e quindi dell'affidabilità) del contenuto delle comunicazioni informatiche e telematiche, per quanto riguarda l'art. 617 sexies.

61. Gli obiettivi strategici degli attacchi informatici perpetrati da hackers non sono, almeno di regola, i sistemi di utenti privati, ma quelli governativi, istituzionali o delle grandi aziende private in continua lotta tra loro per la conquista dei settori di mercato rilevanti.

62. "Il diritto alla libertà di copia è una rivendicazione che coinvolge direttamente la libertà d'informazione e di espressione, perché le leggi sul copyright e sui brevetti limitano direttamente la circolazione di notizie e scoperte vincolandole a criteri di carattere economico. Inoltre, porre limiti alla libertà di copia del software significa negare a ciascuno la possibilità stessa di conoscere gli strumenti che utilizza per esprimersi" (Cfr. A. Di Corinto e T. Tozzi, op. cit., pag. 21).

63. Diversa è l'opinione di Gianluca Pomante il quale ritiene che gli hackers si siano, anzi, spesso resi responsabili di condotte di danneggiamento di sistemi informatici o telematici, in particolar modo in relazione a "periodiche campagne che li hanno visti impegnati nella lotta alla pedofilia". Secondo l'autore, nell'ottica hacker, consentire a soggetti di esercitare liberamente traffici odiosi come quello di materiale pedopornografico viene visto come un evento intollerabile: anche a costo di essere perseguiti a loro volta, gli hackers preferisconoagire autonomamente all'individuazione dei siti che contengono questo materiale, per cancellarne il contenuto e bloccarne il funzionamento. G. Pomante, op. cit., pag. 88.

64. Quando ad essere attaccato è il sistema informatico di una banca o di una compagnia di assicurazioni, ciò non significa che l'azione sia finalizzata al vantaggio patrimoniale: questi sistemi, come, per un certo verso, quelli militari o governativi, sono semplicemente quelli più "sicuri" e, quindi, quelli più accattivanti in una prospettiva di sfida.

65. "In ogni caso non si creda che gli hackers siano in genere degli innocui ragazzini. Oltre a sistemi molto accurati di filtri per l'ammissione al 'giro', essi hanno addirittura adottato un tipo di procedura 'giudiziaria' interna chiamata 'tele-trial' condotta da un'apposita 'corte' che giudica sui reclami, sulle doglianze eccetera e fissa norme comuni, esamina la condotta degli hackers e, in alcuni casi, di nemici degli hackers, e infligge agli 'interni' determinate sanzioni disciplinari che giungono sino all'espulsione e a forme di 'persecuzione' personali". Tratto da Carlo Sarzana di Sant'Ippolito, Informatica e diritto penale, Giuffrè, Milano 1994, pag. 91; il brano è tanto più significativo se si considera che l'autore ha fatto parte della commissione che, istituita nel gennaio 1989 dall'allora Ministro di Giustizia Giuliano Vassalli, ha avuto l'incarico di elaborare il testo-base del disegno di legge poi tradottosi nella legge 23 dicembre 1993, "Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica".

66. Per questa definizione degli hackers, ispirata alla celebre definizione dei reati economici come "white-collar crime" formulata da Sutherland, cfr. Jean P. Spreutels, La responsabilità penale connessa ad abusi nella applicazione dell'informatica, in Diritto dell'informazione e dell'informatica 1985, pag. 125.

67. Di solito un personal computer si collega alla rete attraverso un apposito apparecchio, il modem (abbreviazione di modulatore-demodulatore). Questa periferica converte i segnali digitali usati dalla macchina in segnali analogici trasportati dalle linee telefoniche e viceversa. La progressiva sostituzione della rete telefonica analogica con quella digitale (ISDN, ADSL), in corso già da qualche anno anche nel nostro paese, renderà superfluo l'utilizzo di tale strumento.

68. Decisione-Quadro (approvata dal) Consiglio dell'UE presentata dalla Commissione COM (2002)173 relativa agli attacchi contro i sistemi di informazione, Bruxelles, 19 aprile 2002. La definizione di "Accesso illecito a sistemi di informazione" (art. 3) approvata dal Consiglio dell'Unione Europea (CNS 2002/0086) prevede, infatti, che "l'accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso, sia punito come reato qualora sia commesso: 1) nei confronti di una qualsiasi parte di un sistema di informazione sottoposto a misure di sicurezza, o 2) con l'intento di cagionare danni a una persona fisica o giuridica, o 3) con l'intento di procurare un vantaggio economico". In particolare, la proposta della Commissione, pur non intendendo negare in alcun modo la rilevanza dell'uso di misure tecniche efficaci per proteggere i sistemi d'informazione, aveva ritenuto innegabile che "un'alta proporzione di utenti si espone agli attacchi in quanto non dispone di una protezione tecnica adeguata o addirittura non dispone di alcuna protezione". Per scoraggiare, quindi, gli attacchi contro tali utenti, aveva ritenuto che l'accesso illecito dovesse essere perseguito non solo nel caso in cui i sistemi disponessero di una protezione, ma, in via alternativa, anche laddove sussistesse l'intenzione di cagionare un danno o di procurare un vantaggio economico.

69. Council of Europe - Convention on Cybercrime (ETS No. 185), Budapest, 23 novembre 2001.

70. Council of Europe - Recommandation Nº R (89) 9, Accès non autorisé: L'accès sans droit à un système ou un réseau informatique par violation des règles de sécurité; in Riv. Trim. dir. pen. Econ., 1992, pag. 378.

71. La nuova definizione contenuta nel trattato citato, appare addirittura di portata più ampia: l'articolo 2 prevede, infatti, la necessità che sia punito il semplice accesso ad un sistema o a parte di esso senza diritto. Gli Stati che intendono aderire alla convenzione, aggiunge, possono richiedere (quale elemento ulteriore) che "l'attacco sia portato superando misure di protezione o con l'intento di acquisire dati o con altra finalità illecita".

72. Carlo Sarzana, op. cit., pag. 84. Considera eccessiva l'indiscriminata dilatazione del penalmente rilevante contenuta nella l.n. 547/93 e, segnatamente, l'incriminazione del mero accesso abusivo anche L. Picotti, Studi di diritto penale dell'informatica, stampato a cura dell'autore, Verona 1992.

73. Il legislatore tedesco, per esempio, non ha ritenuto opportuno incriminare il fenomeno dell'hacking per il rischio si risolvesse in una "Uberkriminalisierung" (così Deutscher Bundestag, 10 Wahlperiode. Drucksache 10/5058, p.28); così ha preferito inserire nella Seconda legge di lotta alla criminalità economica (2.WiKG) del 15 maggio 1986 una disposizione sullo "spionaggio di dati" (Ausspähen von Daten: § 202a StGB), con la quale si punisce il fatto di procurare indebitamente a sé o ad altri dei dati, specificamente protetti contro gli accessi abusivi e non diretti all'agente; coerentemente con le premesse di tale reato, non è punibile il tentativo, che potrebbe proprio configurarsi con il mero ingresso abusivo nel sistema altrui.

74. La legislazione federale americana contempla infatti diverse fattispecie di reato informatico: il § 1030 del Titolo 18 dell'United States Code, introdotto con il Counterfeit Access Device and Computer Fraud and Abuse Act del 1984, prevedeva originariamente due fattispecie di accesso abusivo finalizzato, rispettivamente, all'acquisizione di informazioni riservate in materia di difesa, relazioni internazionali, ecc., ovvero all'acquisizione di informazioni finanziarie di vario tipo (§ 1030(a)(1) e (2)); in seguito alle modifiche apportate dal Computer Fraud and Abuse Act del 1986, a queste due fattispecie, rimaste in gran parte invariate, si è venuta ad affiancare una fattispecie di "mero" accesso abusivo (§ 1030(a)(3)), avente ad oggetto solo computer "di interesse federale".

75. Pressoché tutti i paesi che hanno adottato una disposizione volta a perseguire penalmente l'accesso abusivo seguono questa soluzione; a titolo d'esempio basta considerare la norma prevista all'art. 7 della legge portoghese sulla criminalità informatica (legge 17 agosto 1991, n. 109) che punisce "chiunque senza esserne autorizzato e avendo l'intenzione di procurare a sé o ad altri un beneficio o un profitto ingiusto, accede in qualsiasi modo ad un sistema o ad una rete informatici è punito ...". Nel panorama internazionale fa accezione l'art. 143 bis del codice penale svizzero, introdotto con la legge federale del 17 giugno 1994, che punisce soltanto l'accesso da lontano: realizza la condotta incriminata "chiunque, senza fine di lucro, si introduce indebitamente, per mezzo di un dispositivo di trasmissione dei dati, in un sistema altrui per l'elaborazione di dati specialmente protetto contro ogni suo accesso".

76. Art. 370C codice penale greco, introdotto con la legge n. 1805 del 26-31 agosto 1988: è punito chi "si procura l'accesso ai dati ... senza che vi sia un diritto a riguardo e violando divieti e misure di sicurezza adottate dal legittimo titolare"; ma anche l'art. 138a del codice penale olandese, inserito con la legge del 23 dicembre 1992, prevede "una pena detentiva non superiore a sei mesi o una pena pecuniaria della 3ª categoria, se a) ha violato un sistema di protezione, o b) ha ottenuto l'accesso con mezzi tecnologici, con l'aiuto di falsi segnali o di chiavi false o attribuendosi false qualità".

77. Così l'art. 138a del codice penale olandese e l'art. 323-1 del nuovo codice penale francese che punisce "il fatto di accedere o di trattenersi, fraudolentemente, in un sistema di elaborazione automatica di dati o in una parte di esso ..."; direttamente ai dati si riferisce invece l'art. 370C del codice penale greco e la Section 1 del Computer Misure Act 1990 inglese che prevede: "una persona commette il reato se a) fa svolgere ad un computer una qualche funzione con lo scopo di procurarsi l'accesso ad un qualsiasi programma o a dei dati conservati in un qualsiasi computer; b) l'accesso che intende assicurarsi non è autorizzato; e c) egli sa che questo è il caso, nel momento in cui fa svolgere al computer la funzione". Previsione analoga è quella della Section 309 del New Wales Criminal Law, introdotta con la legge n. 71 del 1989, che dispone: "Chiunque senza averne il diritto o un motivo legittimo, intenzionalmente si procura l'accesso ad un programma o a dei dati immagazzinati in un computer è punito con la pena detentiva di 6 mesi o con la pena pecuniaria di 5.000 dollari o con entrambe".

78. Es.: l'art. 7 della legge portoghese sulla criminalità informatica prima citata, il cui terzo comma punisce in modo più severo, rispetto all'ipotesi base, l'aver ulteriormente "preso cognizione di un segreto commerciale o industriale o di dati confidenziali, protetti dalla legge" ovvero l'aver ottenuto "beneficio o profitto patrimoniale di valore particolarmente elevato"; nello stesso senso l'art. 138a del codice penale olandese, che al secondo comma prevede: "È punita con la pena detentiva non superiore a quattro anni o con pena pecuniaria della 4a categoria la violazione della pace informatica seguita dalla riproduzione dei dati memorizzati in un dispositivo o sistema informatico, nel quale ci si è abusivamente inseriti, e tale riproduzione sia fatta per proprio o per altrui uso".

79. Relazione al Disegno di legge n. 2773 (al Senato il 26 marzo 1993, alla Camera l'11 giugno successivo) presentata dal Ministro di Grazia e Giustizia (Giovanni Conso).

80. "Violazione di domicilio commessa da un pubblico ufficiale".

81. Relazione al Disegno di legge n. 2773, cit., pag. 9.

82. A questa conclusione perviene, tra l'altro, anche Mantovani, il quale, pur individuando il bene tutelato nella riservatezza informatica, configura il reato come un reato di danno, richiedendo l'ipotesi incriminatrice non la semplice messa in pericolo dei dati, ma anche la presa di cognizione degli stessi. F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, CEDAM, Padova 1995, pag. 450 ss.

83. In questo senso, sarà facile osservare con Borruso che: "Il reato sarà quindi perfetto anche se l'intromettitore non ha preso conoscenza di alcuna informazione, né ha altrimenti turbato il funzionamento del computer, così come commette violazione di domicilio chi voglia trovarvi una persona che ivi abita anche se poi non la trova". (Borruso-Buonomo-Corasaniti-D'Aietti, Profili penali dell'informatica, Giuffrè, Milano 1994, pag. 28).

84. Dalla relazione al Disegno di legge citato.

85. Tra gli altri, G. Corrias Lucente, Relazione: i reati di accesso abusivo e di danneggiamento informatico, tratto da Seminario di studi, Roma 15 dicembre 2000; F. Pazienza, In tema di criminalità informatica: l'art. 4 della legge 23 dicembre 1993, n. 547, in Rivista italiana di diritto e procedura penale, 1995, pag. 750; F. Mantovani, Diritto penale. Parte speciale, cit., pag. 428 ss.

86. Borruso, La violazione del domicilio informatico, in Profili penali dell'informatica, op. cit., pag. 28.

87. In questo senso Berghella-Blaiotta, Diritto penale dell'informatica e dei beni giuridici, in riv. Cassazione Penale 1995, pag. 2330 ss.; M. Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, in Critica del diritto 1994, n. 4, pag. 18.

88. Cfr. F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, cit., ma anche C. Pecorella, Il diritto penale dell'informatica, CEDAM, Padova 2000 e G. Pica, La disciplina penale degli illeciti in materia di tecnologie informatiche e telematiche, in Riv.pen.econ. 1995.

89. Critica specificamente mossa da Ferrando Mantovani il quale ritiene che solo sul piano della tutela dei dati, ossia del contenuto e non del "contenente", possa giustificarsi l'intervento della sanzione penale, e questo, quindi, anche con riguardo alle indebite intromissioni nell'elaboratore (essendo penalmente irrilevante aprire, senza danneggiare, i cassetti altrui e curiosare tra le cose che vi si trovano): non solo, infatti, gli elaboratori risultano esposti ad un rischio maggiore di indebite intrusioni rispetto ai tradizionali cassetti, soprattutto qualora siano collegati in rete, ma, attraverso di essi, è possibile acquisire una gran quantità di informazioni in brevissimo tempo, riproducendo con estrema facilità il supporto di memoria sul quale esse sono concentrate.

90. In questo senso Berghella-Blaiotta, che riscontrano un parallelismo tra l'articolo in esame e l'art. 637 c.p. Come il legislatore del 1930, nel reprimere l'ingresso abusivo nel fondo altrui, ha voluto proteggere "da ogni possibile turbativa la proprietà fondiaria che allora costituiva un bene di preminente rilievo", allo stesso modo, il legislatore del 1993 avrebbe voluto tutelare l'interesse all'indisturbata fruizione del sistema essendo l'elaboratore "un bene di straordinario rilievo nell'attuale stato della società". L'art. 615 ter si profilerebbe ancora una volta, per tale parallelismo, come un reato di danno.

91. F. Mantovani, voce Ingresso abusivo nel fondo altrui, in Noviss.dig.it., vol. VIII, 1962, pag. 696.

92. Fiandaca-Musco, Diritto penale. Parte speciale, vol. II, tomo secondo - I delitti contro il patrimonio, II ed., Bologna 1996, pag. 258.

93. Corte di Cassazione, Sez. VI Pen., Sent. 4 ott. - 14 dic. 1999, n. 3067, in Riv. Cassazione penale, pag. 2990.

94. Per l'estensione delle norme sulla violazione di domicilio alle persone giuridiche, v., per esempio, Sez. II, 6 maggio 1983, Saraceno, rv. 161358; Sez. I, 2 febbraio 1979, Passalacqua, rv. 142130.

95. Le misure di sicurezza sarebbero state poste, quindi, a conferma della volontà del legislatore di estendere, almeno per questa fattispecie, la nozione di domicilio anche ad "aspetti non secondari" (rectius, a dati) di natura economico-patrimoniale.

96. Nello stesso senso Luigi Cuomo, secondo il quale "L'ambiente informatico, contenendo dati e informazioni personali - espressione delle capacità professionali, culturali e, più in generale, delle facoltà intellettive dell'individuo - che devono rimanere riservate e conservate al riparo da ingerenze ed intrusioni provenienti da terzi, rappresenta un luogo delimitato da confini virtuali che creano una interdipendenza immediata con la persona che ne è titolare". (Cuomo, La tutela penale del domicilio informatico, in Riv. Cassazione penale, pag. 2998).

97. M. Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, cit., pag. 18 ss.; nel senso che la norma sia diretta a tutelare anche, e in via eventuale, un interesse patrimoniale, "relativo al possibile danneggiamento della struttura; come si desume dalla previsione aggravatrice di cui all'art. 615 ter capoverso n. 2", Marini, Delitti contro la persona, II ed., Torino 1996, pag. 385.

98. Per Giorgio Pica, "L'attività di accesso abusivo è di solito finalizzata alla conoscenza dei contenuti del sistema violato". (G. Pica, Diritto penale delle tecnologie informatiche, UTET, Torino 1999, pag. 57.) Analogamente, Mantovani individua, tra gli obiettivi primari dell'accesso abusivo, il "bloccarne il funzionamento, azzerandone la memoria", oppure il "prendere conoscenza dei dati ivi memorizzati". (F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, cit., pag. 452).

99. Secondo parte della dottrina, il principio di offensività del reato troverebbe suo riconoscimento esplicito nella legge ordinaria (art. 49, che disciplina il reato impossibile) ed implicito in diverse norme della Costituzione (artt. 13, 25 e 27, terzo comma, Cost.). Ciò non toglie che possa subire deroghe necessarie per prevenire la lesione a beni primari, individuali, collettivi e istituzionali, dovendosi la "razionalità" dei principi contemperarsi con la "necessità" della generalprevenzione, anche questa costituzionalizzata (art. 27 Cost.). Il reato di pericolo astratto rappresenta una di queste deroghe necessarie. In particolare, è così definito, quel reato in cui il pericolo è implicito nella stessa condotta, ritenuta per comune esperienza pericolosa. In questo caso, il giudice deve limitarsi a riscontrare la conformità di essa al tipo in quanto non è possibile, al momento in cui la condotta stessa è realizzata, controllare l'esistenza o meno delle condizioni per il verificarsi dell'evento lesivo. (Cfr. F. Mantovani, Diritto penale. Parte generale, CEDAM, Padova 1992, pag. 225).

100. Deve essere rilevata, comunque, una duplice obiezione formulata dall'avvocato Corrias Lucente. A suo dire, l'ambito del reato apparirebbe circoscritto in modo non convincente perché la protezione assicurata dalla norma al 'sistema' verrebbe indebitamente trasferita sui contenuti, di cui non è fatto alcun cenno nella formulazione della fattispecie; inoltre, non si comprenderebbe per quale ragione debba ritenersi estraneo alla tutela della riservatezza il dato, pure significativo, che il sistema non contenga dati; anche quest'informazione, appresa attraverso un accesso abusivo, può risultare, infatti, concretamente lesiva della sfera giuridica tutelata. Secondo l'autore, il bene giuridico tutelato dovrebbe essere individuato nella semplice integrità dal sistema (non anche dei dati e dei programmi contenuti), secondo una logica affine, ma non identica a quella del "domicilio informatico". G. Corrias Lucente, op. cit.

101. F. Mantovani, Diritto penale. Parte speciale, cit., pag. 414 ss.

102. "Procurarsi" è venire in possesso, acquisire la disponibilità delle notizie o immagini mediante una condotta propria attiva, onde il reato, se da un lato non può realizzarsi né con una condotta omissiva, né con una mera ricezione fortuitamente avvenuta; dall'altro non richiede, per la sua sussistenza, la presa di conoscenza della notizia o dell'immagine (ad esempio, l'audizione della conversazione registrata).

103. F. Mantovani, Diritto penale. Parte speciale, cit., pag. 451.

104. Cfr. F. Mantovani, Diritto penale. Parte speciale, cit., pag. 451 ss.

105. F. Mantovani, Diritto penale. Parte speciale, cit., pag. 451. In merito: Pellegrini, Uso non autorizzato del computer. Limiti e prospettive della tutela penale, in Dir. inf., 1987, pag. 189.

106. Cfr. Stefano Aterno, Sull'accesso abusivo ad un sistema informatico o telematico, in riv. Cassazione penale, 2000, pag. 2996.

107. Rectius, dei dati del sistema.

108. Così la citata sentenza della Cassazione n. 3067 del 1999 che, tra l'altro, ha dichiarato che i reati di accesso abusivo e di frode informatica possono formalmente concorrere.

109. Nello Stato di Washington, dove il termine "access" viene legislativamente definito come comprensivo dell'utilizzo di ogni risorsa dell'elaboratore (direttamente o per via elettronica), è addirittura punita la condotta di chi tenta, in modo sistematico, di individuare i codici di accesso di utenti legittimi del sistema per poter effettuare chiamate interurbane aspese altrui. L'incriminazione dell'uso non autorizzato dell'elaboratore altrui è piuttosto diffusa nella legislazione dei singoli Stati nordamericani, talvolta attraverso la creazione di un'autonoma figura di reato, più spesso, in base ad un'amplissima definizione del termine "access" che compare nelle disposizioni sull'accesso abusivo. C. Pecorella, op. cit., pag. 328.

110. C. Pecorella, op. cit., pag. 331.

111. C. Pecorella, op. cit., pag. 267.

112. Sentenza del Tribunale di Torino 7 febbraio 1998.

113. C. Sarzana, op. cit., pag. 205. In questo senso anche G. Pica: "La fattispecie dell'art. 615 ter c.p., sanzionando l'accesso abusivo in quanto tale, è in grado di colpire, sia pure incriminando una semplice modalità di commissione dello stesso, anche il cosiddetto furto di informazioni (che il legislatore penale del 1993 ha ignorato), assoggettando a pena i comportamenti preparatori diretti, prima ancora che a diffondere ed utilizzare le altrui conoscenze, a procurarsi le stesse". (G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 61).

114. Così F. Mantovani, Diritto penale. Parte speciale, cit., pag. 455; e C. Pecorella, op. cit.

115. Sulle misure di sicurezza di cui può essere dotato un sistema informatico, cfr. D'Aietti, Accesso abusivo a sistemi informatici, in Profili penali dell'informatica, op. cit., pag. 73 e 78 ss.; G. Pica, Diritto penale delle tecnologie informatiche, cit. Sullo sviluppo delle tecnologie biometriche per creare dispositivi di protezione dei sistemi informatici sempre più efficaci, cfr. Gaudio T., Le tecnologie biometriche in banca.

116. Così R. Borruso, op. cit.; in senso contrario G. Pica, op. cit.

117. Ai fini della sussistenza del reato è peraltro necessario che l'agente sia a conoscenza di tale temporanea disattivazione: solo questa consapevolezza (o quanto meno la sussistenza di un dubbio rispetto a quella situazione) può infatti integrare l'elemento soggettivo richiesto dal reato. Nel caso, invece, che l'agente non si sia posto alcun problema sull'esistenza o meno di misure protettive e la sua introduzione nel sistema sia stata resa possibile dalla temporanea disattivazione di tali misure potrà eventualmente ricorrere la diversa ipotesi di "permanenza" abusiva, dovendosi ritenere casuale l'introduzione in un sistema che, nonostante l'apparenza, è in realtà protetto.

118. Secondo Berghella-Blaiotta, invece, è "l'abbattimento delle difese del sistema a segnare di disvalore l'azione", così che, anche nell'ipotesi di permanenza abusiva, "deve manifestarsi una condotta di positivo, serio contrasto nei confronti delle difese del sistema". Affermazione, del resto, coerente con la premessa dell'esistenza di un'affinità tra la norma in esame e l'art. 637 c.p. (per l'applicazione di quest'ultimo si ritiene infatti che il reo debba essersi adoperato per superare la recinzione del fondo, non presentando altrimenti il suo comportamento "quella spiccata antisocialità" che sola ne giustifica l'incriminazione). (Cfr. Berghella-Blaiotta, op. cit., pag. 2334).

119. Tribunale di Roma, Uff. GIP, Sez. 8a, sentenza del 4 aprile 2000, n. 6677/99 R.G.G.I.P.; nel caso di specie l'imputato, utilizzando dalla sua abitazione un computer collegato ad Internet, si era introdotto nel sito telematico della RAI ed aveva sostituito il file audio contenente il Radio Giornale con un suo file che racchiudeva una serie di critiche alla società Microsoft e al sistema operativo Windows '98. La corte ha dichiarato il non luogo a procedere nonostante l'imputato si fosse servito, per realizzare tale operazione, di un account utilizzato dai dipendenti Rai per accedere al computer MM1, macchina "attaccata".

120. La tesi della corte, tra l'altro, non appare isolata. Gianluca Pomante, infatti, dichiara: "In sede normativa dovrebbe meglio essere definito il concetto di misure di sicurezza. L'adozione di chiavi di accesso come 'pippo' o 'ciao' non può essere considerata idonea allo scopo, perché oggettivamente insicura. Né dovrebbe ragionevolmente essere perseguito penalmente il soggetto colpevole di aver ottenuto così facilmente l'accesso all'elaboratore". G. Pomante, op. cit., pag. 74. Di diverso avviso, invece, Gianfranco D'Aietti, secondo il quale: "Anche la predisposizione di una protezione piuttosto banale e facilmente aggirabile non esclude, in ipotesi di accesso da parte di chi non sia autorizzato, la sussistenza del reato". D'Aietti, Accesso abusivo a sistemi informatici, in Profili penali dell'informatica, op. cit., pag. 72.

121. F. Mucciarelli, Commento all'art. 4 della legge n. 547 del 1993, in Legislazione penale 1996, pag. 97 ss.

122. E non è il solo: cfr. G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 43.

123. F. Pazienza, op. cit., pag. 756.

124. Corte di Cassazione, Sez. V, sentenza 6 dicembre 2000, n. 1675.

125. Così, B. Fiammella, Relazione per il convegno I reati informatici e la criminalità aziendale, Reggio Calabria, Salone degli Industriali, 23 giugno 2001. Allo stesso modo per Pica: "A nostro avviso, dovrebbe essere sufficiente l'altruità del sistema (come lo è l'altruità del domicilio) a rendere abusivo l'accesso al sistema che avvenga contro la volontà del proprietario, indipendentemente dall'approntamento di qualsiasi misura di protezione, poiché la sfera dell'altrui privacy è comunque lesa, anche se ci si introduce in un sistema "non protetto" contro la volontà del proprietario". (G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 48).

126. Non a caso, in ordine ai possibili mezzi di protezione, la sentenza citata adotta un'interpretazione più ampia di quella qui sostenuta: "Correttamente la Corte di Appello ha ritenuto che, ai fini della configurabilità del reato, assumano rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d'accesso, ma anche le protezioni esterne, come la custodia degli impianti ... è rilevante qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi".

127. Coloro che operano all'interno dell'organizzazione, dipendenti.

128. Considerazione svolta da Berghella-Blaiotta sulla premessa che "Il legislatore ha deliberatamente escluso l'incriminazione dell'uso indebito del computer". (Berghella-Blaiotta, op. cit., pag. 2335.) Come per il reato, anche per la pena la Costituzione fissa dei principi ai quali quest'ultime devono conformarsi. Si tratta dei principi di necessità, in base al quale la pena è elemento garantista non eliminabile del nostro sistema giuridico, di legalità, che risponde al brocardo nulla poena sine lege, ed di proporzionalità. Tale principio "rappresenta il limite logico del potere punitivo nello Stato di diritto, è insito nel concetto retributivo di pena, è costituzionalizzato dagli artt. 3 e 27, primo e terzo comma della Costituzione, che impongono rispettivamente il trattamento differenziato delle situazioni diverse e l'ineludibile giustizia della pena, intrinseca nel carattere personale della responsabilità e presupposto dell'azione rieducatrice della pena. E costituisce il criterio, non solo per l'an, ma anche per la predeterminazione legislativa del tipo e della misura edittale della pena. Elementi base per determinare la gravità del fatto sono, sotto il profilo oggettivo, il rango dei beni secondo la gerarchia desumibile dalla Costituzione e dall'attuale realtà socio-culturale e il grado e quantità dell'offesa e, sotto il profilo soggettivo, il tipo di colpevolezza. Criterio complementare ed eccezionale è quello intimidativo della generalprevenzione". (F. Mantovani, Diritto penale. Parte generale, cit., pag. 753).

129. F. Antolisei, Manuale di diritto penale. Parte speciale, Giuffrè, Milano 1994, pag. 202; così pure Mucciarelli, op. cit.

130. D. Fondaroli, La tutela penale dei beni informatici, in Diritto dell'informazione e dell'informatica 1996, pag. 291.

131. F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, cit., pag. 453.

132. Tecnicamente, l'accesso ad un sistema informatico si può suddividere in due fasi: "fisico", consistente nella mera connessione elettronica tra due computer via modem, ovvero nella mera accensione "da vicino" dell'apparecchio, e "logico", che segue al primo, e che consiste nella possibilità per l'utente di "dialogare" con la macchina. L'accesso rileva giuridicamente solo se al primo approccio "fisico", segue quello "logico". (Cfr. G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 40).

133. Contra, F. Mantovani, Diritto penale. Parte speciale, I, Delitti contro la persona, cit., pag. 455.

134. Dello stesso avviso, Borruso, op. cit., pag. 31.

135. C. Pecorella, op. cit., pag. 339.

136. Va precisato che benché di regola l'accesso da lontano sia opera di outsider e quello da vicino venga invece posto in essere per lo più da insider, può accadere anche il contrario: si pensi, ad esempio, al caso in cui un dipendente si colleghi da casa al computer del luogo di lavoro, senza esservi autorizzato, in tutto o in parte, così come all'ipotesi in cui l'accesso abusivo sia opera di una persona del tutto estranea che si trovi occasionalmente a contatto col sistema altrui.

137. L'eventualità che l'accesso non autorizzato possa anche essere solo parziale era invece espressamente contemplata nella fattispecie di accesso abusivo ed uso non autorizzato di elaboratori di dati (art. 623 ter) contenuta nella proposta di legge Cicciomessere ed altri: si precisa infatti al riguardo nella Relazione di presentazione alla Camera della proposta di legge n. 1174, il 2 luglio 1992, che "una banca dati ... può prevedere diversi livelli differenziati di accesso e quindi livelli di autorizzazioni: una persona può essere autorizzata ad entrare in alcune parti di una banca dati ma non in altre" (pag. 3).

138. D'altra parte non è detto che l'ingresso nella memoria interna del sistema sia sempre idoneo a mettere in pericolo la riservatezza dei dati e dei programmi che vi sono contenuti: può essere infatti necessario oltrepassare ulteriori barriere protettive per accedere ai dati "riservati", in quanto non di pubblico dominio e oggetto di protezione da parte del titolare del sistema.

139. Con questa espressione si fa riferimento a quei casi di utilizzo indebito dell'elaboratore altrui che causano alla vittima un danno patrimoniale direttamente proporzionale alla durata dell'impiego abusivo del sistema stesso. Pecorella, op. cit., pag. 345.

140. Nel caso in esame, l'imputato fu assolto in appello dall'accusa di frode per mezzo di telecomunicazioni (wire fraud: 18 USC § 1343) e di frode informatica (computer fraud: 18 USC § 1030(a)(4)), essendosi, da un lato, escluso che l'Erario fosse stato privato (defrauded) delle informazione carpite "sbirciando" nell'archivio elettronico, così come del diritto a farne un uso esclusivo e, dall'altro lato, non ritenendosi sufficientemente dimostrato che tali informazioni fossero state acquisite per realizzare una frode e ottenere un qualche vantaggio economico, come richiesto dal § 1030(a)(4). (Cfr. C. Pecorella, op. cit., pag. 345).

141. Cesare Parodi, La tutela penale dei sistemi informatici e telematici: le fattispecie penali, relazione presentata al Convegno Nazionale su "Informatica e riservatezza" del CNUCE, Pisa 26/27 settembre 1998.

142. "Se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema".

143. "Se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato".

144. Va, comunque, in proposito ricordato che la legge n. 547 del 1993 ha ampliato, con un nuovo comma dell'art. 392, la nozione di "violenza sulle cose" ("Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico"). Ad ogni modo, la circostanza aggravante contemplata al n. 2 del reato di accesso abusivo, non pone particolari problemi interpretativi: l'uso di violenza a cose o persone o la minaccia a mano armata, per essere considerate condotte aggravatrici e non soltanto costitutive delle corrispondenti autonome fattispecie incriminatrici, dovranno essere finalizzate all'accesso ad un sistema informatico o telematico.

145. C. Pecorella, op. cit., pag. 353.

146. Dal momento che il system administrator ha, di regola, accesso a qualsiasi settore della memoria del sistema (nonché degli altri sistemi eventualmente collegati in rete), la sola forma di accesso abusivo che può da questi essere realizzata è quella della permanenza "contro la volontà espressa o tacita" del titolare dello ius excludendi. Questa può dirsi integrata allorché egli si trattenga nel sistema protetto senza che vi sia alcuna ragione inerente alle sue mansioni, e quindi mettendo in pericolo la riservatezza dei dati e dei programmi che vi sono contenuti. La condotta alternativa dell'introduzione, infatti, potrebbe prospettarsi, solo nel caso in cui, cosa quanto mai inconsueta, questi non possa accedere a zone di memoria distintamente protette. C. Pecorella, op. cit., pag. 353.

147. G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 75.

148. Secondo Borruso sono ricompresi nella categoria in esame tutti i tecnici dell'informatica, trattandosi di persone che "operano sul computer"; un'interpretazione molto lata dell'espressione "operatore del sistema" è pure proposta da D'Aietti che definisce tale "chiunque sia legittimato ad operare sul sistema (anche nella qualifica di semplice addetto alla immissione dei dati)". Borruso-Buonomo-Corasaniti-D'Aietti, Profili penali dell'informatica, op. cit., pagg. 33 e 74. Analogamente, Parodi vi identifica anche chi, pur non essendo un tecnico dell'informatica, si trova comunque in una "condizione privilegiata, di garanzia e tutela del sistema nel suo insieme": sarebbe questo il caso, ad esempio, del "funzionario responsabile della segreteria di una facoltà universitaria, per il sol fatto di conoscere, e disporre, delle modalità di inserimento ed elaborazione dei dati relativi agli esami sostenuti dai singoli studenti". Parodi, Detenzione abusiva di codici d'accesso a sistemi e illecito impedimento di comunicazioni telematiche, in Dir. pen. proc., 1998. In una posizione intermedia si colloca, invece, Mucciarelli che considera solo "quei soggetti che non solo possono legittimamente contattare il sistema (almeno per quanto riguarda la parte meccanica, cioè l'hardware), ma che dispongono altresì di una qualificazione professionale ovvero di conoscenze ulteriori e specifiche". F. Mucciarelli, op. cit., pag. 102.

149. G. Pica, Diritto penale delle tecnologie informatiche, cit., pag. 76.

150. Cfr. F. Mantovani, Diritto penale. Parte speciale, cit., pag. 456.

151. Come sostenuto da F. Mantovani, il danneggiamento di beni informatici deve essere stato una conseguenza diretta dell'accesso abusivo e non il "mezzo necessario o agevolatore" per realizzarlo, nel qual caso troverà infatti applicazione la circostanza aggravante prevista dal secondo comma n. 2 dell'art. 615 ter c.p., relativa alla "violenza sulle cose". F. Mantovani, Diritto penale. Parte speciale, cit., pag. 455.

152. Art. 59, comma 2: "Le circostanze che aggravano la pena sono valutate a carico dell'agente soltanto se da lui conosciute ovvero ignorate per colpa o ritenute inesistenti per errore determinato da colpa".

153. F. Mucciarelli, op. cit., pag. 103 ss. Conferma le parole di Mucciarelli, Ferrando Mantovani che sostiene: "Trattasi di ipotesi di evento aggravante, che dà luogo ad una figura di reato aggravato dall'evento". F. Mantovani, Diritto penale. Parte speciale, cit., pag. 456.

154. Rectius, dalla colpa.

155. "Fossile del passato, la responsabilità oggettiva, espressa o occulta, contrasta non solo con la moderna coscienza giuridica, ma con la Costituzione, se si vuole attribuire all'art. 27 - 'la responsabilità penale è personale' - un significato non vanificante ed anacronistico". F. Mantovani, Diritto penale. Parte generale, cit., pag. 389.

156. In questo senso, trattandosi di delitto doloso, trova applicazione il primo comma dell'art. 47 c.p.: "L'errore sul fatto che costituisce il reato esclude la punibilità dell'agente".

157. B. Fiammella, op. cit., e G. Pica, Diritto penale delle tecnologie informatiche, cit.

158. C. Parodi, La tutela penale dei sistemi informatici e telematici: le fattispecie penali, cit.

159. Corrias Lucente, Il diritto penale dei mezzi di comunicazione di massa, CEDAM, Padova 2000, pag. 282.

160. Cfr. Corte di Cassazione, Sezione V Penale, Sentenza 17 novembre - 27 dicembre 2000. La Corte ha ritenuto competente il giudice italiano relativamente a un caso di diffamazione (art. 595 c.p.) in cui l'offesa al bene della reputazione era stata realizzata "pubblicando" messaggi e immagini denigratorie su un sito internet situato all'estero.

161. La cui attuazione è prevista, ex art. 13, entro il 31 dicembre 2003.

162. Le circostanze di cui ai numeri 1) e 2) del quarto comma dell'art. 617 quater ricorrono qualora il fatto sia commesso, rispettivamente, in danno "di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità" oppure "da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore di sistema".

163. Cfr. il testo del Progetto di Risoluzione elaborato durante il Colloquio preparatorio di Wurzburg nell'ottobre 1992 e pubblicato in Rev. int. dr. pén., (vol. 64), 1993, pag. 673 ss.

164. Proprio per combattere la prassi di servirsi dei Bulletin Board Systems per divulgare le password di accesso a importanti sistemi informatici, di solito ottenute dopo diversi tentativi di entrare abusivamente nel sistema, il legislatore federale americano ha introdotto nel 1986 la fattispecie di commercio di codici d'accesso; in proposito, cfr. Griffith, The Computer Fraud and Abuse Act of 1986: A Measured Response to a Growing Problem, in Vanderbilt Law Review, 1990, pag. 481.

165. In questo senso è l'opinione unanime della dottrina, che pure non è concorde nell'individuazione dell'oggetto della tutela penale assicurata dall'art. 615 ter c.p. (cfr. D'Aietti e altri, op. cit., pag. 77; Pazienza, op. cit., pag. 750; Mucciarelli, op. cit., pag. 103).

166. "Si tratta di reati che il legislatore conia per anticipare la tutela penale dei beni giuridici ad uno stadio addirittura anteriore alla messa in pericolo: incrimina infatti comportamenti che solo indirettamente espongono a pericolo l'integrità del bene, perché creano il pericolo del verificarsi non già di una lesione, bensì di una situazione solo pericolosa per il bene" (cfr. Marinucci, Dolcini, Corso di diritto penale, vol. 1, II ed., Giuffrè, Milano 1999, pag. 445). Ravvisa un reato di sospetto nell'ipotesi del "procurarsi" e del "riprodurre", "nelle quali si anticipa la soglia della punibilità ad atti al più preparatori (...), onde la sua disarmonia col principio di offensività", e un reato-ostacolo nelle altre ipotesi, F. Mantovani, Diritto penale. Parte speciale, cit., pag. 457.

167. In questo senso, Marinucci, Dolcini, op. cit., pag. 541 ss., nonché Angioni F., Contenuto e funzioni del concetto di bene giuridico, Giuffrè, Milano 1983, pag. 163 ss. Sul fondamento costituzionale del principio di proporzione v. anche Corte cost. 25 luglio 1994, n. 341, in Giur. cost., 1994, pag. 2802 ss., che, riprendendo in parte le affermazioni contenute in precedenti sentenze, che hanno valorizzato il principio di proporzione (o di "proporzionalità"), lo ravvisa sia nell'art. 27 comma 3 Cost., in quanto "la palese sproporzione del sacrificio della libertà personale" provocata dalla previsione di una sanzione penale manifestamente eccessiva rispetto al disvalore dell'illecito "produce ... una vanificazione del fine rieducativo della pena", sia nell'art. 3 Cost., dal momento che "il principio di uguaglianza esige che la pena sia proporzionata al disvalore del fatto illecito commesso, in modo che il sistema sanzionatorio adempia nel contempo alla funzione di difesa sociale ed a quella di tutela delle posizioni individuali", consentendo quindi un sindacato sulla ragionevolezza delle scelte compiute dal legislatore nell'esercizio del suo potere discrezionale.

168. Così Marinucci, Dolcini, op. cit., pag. 452.

169. Muovono dalla premessa dell'inammissibilità di una interpretazione che porti a ravvisare nel reato in esame un reato di pericolo indiretto - in quanto "tale discussa tecnica sanzionatoria può trovare qualche giustificazione solo nell'ambito di beni giuridici di rilievo assolutamente preminente (es. art. 435 c.p.), ma non con riferimento alla fenomenologia di cui ci si occupa" - per individuare diversamente il bene giuridico protetto dall'art. 615 ter c.p., in modo tale da escluderne la natura di reato di pericolo, Berghella-Blaiotta, per i quali il reato in esame assume quindi i contorni di un reato di pericolo, prodromico alla realizzazione di un reato di danno. Berghella-Blaiotta, op. cit., p. 2333.

170. Avvisi, inseriti di regola nelle pagine web, con i quali l'autore si dichiara non responsabile per l'uso che degli strumenti e delle informazioni fornite possa farne colui che vi accede.

171. C. Pecorella, op. cit., pag. 360.

172. Sull'interpretazione "oggettivistica" dei reati a dolo specifico, tale per cui non è sufficiente che ad animare la condotta del reo vi sia una particolare finalità, richiedendosi anche l'oggettiva idoneità della sua condotta a realizzare il fine avuto di mira, cfr. per tutti Marinucci, Dolcini, op. cit., pag. 425 ss. A scanso di equivoci, nell'oggetto del dolo rientra senz'altro, ma non solo, la consapevolezza che il mezzo di accesso o le indicazioni o istruzioni fornite siano idonee a permettere l'ingresso in un sistema informatico o telematico protetto.

173. Una norma di questo tipo non è infatti presente neanche nelle leggi sulla criminalità informatica approvate più di recente, come quella olandese del 23 dicembre 1992 e quella svizzera del 17 giugno 1994.

174. Tale sostituzione dovrebbe essere effettuata in via preventiva in tutti quei casi nei quali l'eventuale intrusione di estranei appaia particolarmente pericolosa per la riservatezza dei dati che vi sono contenuti, e comunque in tutti i casi in cui venga accertato che un'intrusione c'è stata, magari facendo ricorso agli appositi programmi di monitoraggio degli accessi all'elaboratore. Sotto un altro profilo, ritiene pure che "il problema delle password potrebbe essere in gran parte risolto dagli stessi legittimi titolari" nel senso che questi ultimi potrebbero rendere più difficile la loro individuazione da parte di terzi, scegliendo parole o formule lunghe e complesse, Galdieri, La tutela penale del domicilio informatico, in Galdieri (a cura di), Problemi giuridici dell'informatica nel MEC, Milano 1996, pag. 226.

175. È questo il caso, ad esempio, della disposizione contemplata nel codice penale della California, che si contraddistingue per la semplicità e sinteticità della sua formulazione: l'art. 502(c)(6) del codice penale californiano punisce, infatti, chiunque "consapevolmente e senza esserne autorizzato procura o aiuta altri a procurarsi un mezzo di accesso ad un computer o ad una rete informatica".

176. Si possono considerare, ad esempio, le fattispecie contemplate nell'art. 502(c) del codice penale della California, nelle quali l'accesso all'elaboratore costituisce il presupposto di condotte di: utilizzo indebito del sistema per realizzare una truffa, un'estorsione o un'appropriazione indebita; spionaggio; furto di servizi; danneggiamento informatico.

177. In questo senso, per altro, Mantovani, il quale ritiene che l'oggetto giuridico dell'art. 615 quater coincida con "il bene specifico (riservatezza, patrimonio, fede pubblica, ecc.), tutelato dalle norme sui diversi reati informatici o telematici, che la presente fattispecie tende a prevenire" (F. Mantovani, Diritto penale. Parte speciale, cit., pag. 458).

178. Così, ad esempio, è per lo più estranea alle disposizioni prima ricordate quella delimitazione dei mezzi di accesso di cui è vietata la diffusione che deriva, all'art. 615 quater, dal suo stretto collegamento con la norma sull'accesso abusivo; tale delimitazione non ha infatti ragion d'essere laddove il reato di accesso abusivo sia definito in termini così ampi da ricomprendere anche il mero utilizzo abusivo dell'elaboratore, ovvero il conseguimento fraudolento delle sue prestazioni, da parte di chi sia riuscito a procurarsi il codice di accesso a tal fine necessario (ipotesi queste che, nel nostro ordinamento fuoriescono dall'ambito di applicazione dell'art. 615 ter c.p.).

179. G. Pica, op. cit., pagg. 80-81.

180. Così D'Aietti e altri, op. cit., pag. 82; ricomprende tra le informazioni rilevanti anche quelle che possono servire "ad individuare la chiave di accesso al sistema", G. Marini, Delitti contro la persona, II ed., Giappichelli, Torino 1996, pag. 391.

181. F. Mucciarelli, op. cit., pag. 104.

182. Così anche C. Parodi, Detenzione abusiva di codici d'accesso a sistemi e illecito impedimento di comunicazioni telematiche, in Riv. dir. pen. e proc., 1998, pag. 1151.

183. Le condotte di cessione e acquisizione della carta di credito telefonica rileveranno comunque ai sensi dell'art. 12 della legge 197/1991, a condizione che si tratti di una carta "di provenienza illecita".

184. L'art. 12 della legge 197 del 1991 sarà anche applicabile, in quanto norma speciale, nei casi di "riproduzione" della carta magnetica, in quanto prevede nel suo ambito anche la condotta di chi "falsifica ... carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi"; cfr. C. Pecorella, Il nuovo diritto penale delle "carte di pagamento", in Riv. it. dir. proc. pen., 1993, pag. 258 ss.

185. Tecnica di social engineering, vedi sezione dedicata agli attacchi ai sistemi informatici.

186. La sentenza della Sez. G.i.p. del tribunale di Torino, del 13 marzo 1998 è citata e commentata da Parodi, op. cit., pag. 1149.

187. Così Cassazione 21 ottobre 1998, Nebbia, in Riv. pen., 1999, pag. 81 ss.

188. Identico discorso vale per le odierne smart cards.

189. Cfr. Richiesta di decreto di archiviazione ex artt. 408 c. p. p. e 125 disp. att., formulata dal sostituto procuratore della Repubblica, Michele Toriello, al G.i.p., Crotone, 18 marzo 2002.

190. Come già ricordato, un sistema informatico è un insieme di componenti hardware e software che consentono il trattamento automatico dei dati, mentre un sistema telematico si configura quando due o più sistemi informatici vengono collegati fra loro tramite reti di telecomunicazione allo scopo di scambiare dati. Il sistema di trasmissione in esame, fondato su un collegamento satellitare, non presenta alcuna funzione di scambio di dati, e non può, pertanto, considerarsi un sistema telematico. La circostanza, poi, che gli apparati di telecomunicazione siano gestiti da sistemi informatici rappresenta solo un valore aggiunto dovuto al progresso tecnologico, ma, ovviamente, non modifica le caratteristiche essenziali della trasmissione satellitare.

191. Esclusa l'applicabilità dell'art. 615 quater, il caso di specie avrebbe potuto trovare tutela penale nel nuovo art. 171 octies della legge 633/1941, introdotto dall'art. 17 della legge 18 agosto 2000, n. 248. Tale disposizione, infatti, dettata espressamente per la disciplina del settore audiotelevisivo, sanzionava con la reclusione da sei mesi a tre anni e con la multa da lire cinque milioni a lire cinquanta milioni, la condotta di "chiunque, a fini fraudolenti, producesse, ponesse in vendita, importasse, promuovesse, installasse, modificasse, utilizzasse per uso pubblico e privato apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica che digitale. (Si intendono ad accesso condizionato tutti i segnali audiovisivi trasmessi da emittenti italiane o estere in forma tale da rendere gli stessi visibili a gruppi chiusi di utenti selezionati dal soggetto che effettua l'emissione del segnale, indipendentemente dalla imposizione di un canone per la fruizione di tale servizio)". A distanza di soli tre mesi, però, il quadro normativo è stato nuovamente innovato dal decreto legislativo 15 novembre 2000, n. 373, recante attuazione della direttiva 98/84/CE sulla tutela dei servizi ad accesso condizionato: l'articolo 6 di questo decreto, interpretato alla luce dei suoi artt. 1 (numero 1) e 4 (lettera b), sanziona oggi, condotte del tipo di quella in esame, solo in via amministrativa (pagamento di una somma da lire dieci milioni a lire cinquanta milioni, oltre al pagamento di una somma da lire centomila a lire cinquecentomila per ciascun dispositivo illecito); a conferma di quanto affermato, cfr. Corte di Cassazione, Sezione III Penale, Sentenza 9 - 28 novembre 2001, n. 42561. Con la legge 7 febbraio 2003, n. 22 il legislatore è nuovamente tornato sui suoi passi: al comma 1 dell'articolo 6 del d. lgs. n. 373/00 sono state reintrodotte "le sanzioni penali e le altre misure accessorie previste per le attività illecite di cui agli articoli 171 bis e 171 octies della legge 22 aprile 1941, n. 633, e successive modificazioni".

192. Così Pretura di Milano, 8 marzo 1999, inedita: in questo caso, conclusosi con una sentenza di patteggiamento ai sensi dell'art. 444 c.p.p., era stato contestato agli imputati anche il reato di ricettazione (art. 648 c.p.) con riguardo ad una parte delle "numerazioni seriali" delle quali erano stati trovati in possesso, ritenute il "prodotto del reato di cui all'art. 615 quater in quanto da altri illecitamente diffuse".

193. L'introduzione di una nuova fattispecie di "furto di servizi automatici", consistente "nell'uso non consentito dell'altrui mezzo telefonico, telematico o informatico, senza il consenso dell'avente diritto e facendone gravare su di lui il costo", è contemplata nello Schema di delega legislativa per l'emanazione di un nuovo codice penale, in Documenti Giustizia, 1992, pagg. 375 e 427.

194. Cfr. F. Antolisei, Dir. pen., p.s., a cura di L. Conti, Milano 1994, pagg. 80-82.

195. Nella relazione ministeriale al disegno di legge n. 2773, più volte ricordato, si precisa, infatti, che "si procura" abusivamente i mezzi per accedere ad un sistema informatico protetto anche chi li ottiene "mediante autonoma elaborazione". Come confermato, seppur implicitamente, dalla sentenza del tribunale di Torino prima richiamata a proposito del caso Videotel, la condotta diretta a "procurarsi" codici o altri mezzi di accesso a un sistema protetto, non deve essere intesa in termini strettamente "informatici" - ove la stessa si concretizzi in un'acquisizione operata su un computer o avvalendosi di un computer -, ma con qualsiasi modalità. Anche quindi, e soprattutto, laddove l'informazione sia surrettiziamente o fraudolentemente carpita - come nel caso di specie - con "inganni" verbali, oppure prendendo conoscenza diretta di documenti cartacei ove tali dati sono stati riportati, o osservando e memorizzando la "digitazione" di tali codici (cfr. Parodi, op. cit., pag. 1150).

196. Opposta è la conclusione di D'Aietti, il quale ritiene che la mera detenzione sia ricompresa nella nozione di "procurarsi". D'Aietti e altri, op. cit., pag. 81.

197. Alla stessa conclusione perviene Mantovani per il quale: "Il tentativo, ontologicamente configurabile, appare giuridicamente non ammissibile perché, in forza del principio di offensività, se non è ammissibile rispetto ai reati di pericolo, non lo è, a fortiori, nei confronti dei reati senza offesa" (F. Mantovani, Diritto penale. Parte speciale, cit., Pag. 458). Diversa è l'opinione di D'Aietti, secondo il quale anche l'attività di chi tenta di individuare codici d'accesso a un sistema informatico è illecita. D'Aietti e altri, op. cit., pag. 80.

198. Così, invece, Mucciarelli, op. cit., pag. 106; e Antolisei, op. cit., pag. 84.

199. Pica, ad esempio, ritiene che le due fattispecie possano concorrere "sia per la diversità strutturale e sia per la diversità di oggetto di tutela delle stesse". In pratica, nel caso in cui un soggetto riesca ad aggirare le protezioni di un sistema e a procacciarsi un codice d'accesso ad esso, la condotta integrerà gli estremi del reato, il quale, inoltre, potrà concorrere con quello previsto dall'art. 615 ter laddove l'agente si serva successivamente del codice per introdursi nel sistema altrui. Pica, op. cit., pagg. 83-84.

200. Così C. Pecorella, op. cit., pag. 374. Sulla rilevanza del principio del "ne bis in idem sostanziale" ai fini dell'esclusione di un concorso di reati in questi casi, tra l'altro, nei quali "un reato meno grave costituisce, secondo l'id quod plerumque accidit, il mezzo ordinario di realizzazione di un reato più grave", Fiandaca, Musco, Diritto penale. Parte generale, III ed., Zanichelli, Bologna 1995, pag. 623.

201. Quelle, appunto, introdotte nel 1974 con legge n. 98 agli artt. 617 c.p. e ss.

202. C. Pecorella, op. cit., pag. 302; Mantovani, Diritto penale. Parte speciale. Delitti contro la persona, cit., pag. 461; Marini, Reati contro la persona, cit., pag. 419; Rinaldi e Picotti, Commento all'art. 6 della legge 547 del 1993, in Legislazione Penale, 1996, pag. 119.

203. G. Corasaniti, in Borruso ed altri, op. cit., pag. 120. A questa conclusione l'autore perviene osservando come, mentre il bene giuridico della riservatezza delle comunicazioni informatiche e telematiche tra più persone sia implicitamente richiamato dalla nuova e più ampia definizione di corrispondenza (tra persone ed enti) dell'art. 616 c.p., diversamente, "le nuove norme introdotte abbandonano il riferimento alla comunicazione 'tra persone', originario dell'art. 617 e mantenuto negli artt. 617 bis e ter" (rectius: espressamente, nei soli articoli 617 e 617 bis). Non mi sembra che il legislatore abbia voluto avallare tale tesi quando, nella più volte citata relazione ministeriale al disegno di legge n. 2773, si è così espresso: "Pare al di fuori delle attuali previsioni, l'intercettazione di comunicazioni interessanti sistemi informatici ... perché le norme penali disponibili (articoli 617 e seguenti c.p.) riguardano comunicazioni tra persone e non tra persone e macchine o tra macchine". L'intento sembra piuttosto, semplicemente, volto ad adeguare l'originaria tutela alle nuove forme di comunicazione tecnologica.

204. Cfr. la circostanza aggravante di cui al secondo comma n. 3.

205. G. Pica, op. cit., pag. 178.

206. In altri termini: al più, sicurezza dei "sistemi" telematici, non delle "comunicazioni" telematiche.

207. "Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche".

208. Analogamente Antolisei, che ravvisa la ragione della sanzione penale non soltanto in un'esigenza di riservatezza, ma anche "nella difesa della regolarità delle comunicazioni che, ovviamente nel rispetto dei limiti di legge, si vogliono libere, complete e senza interruzioni" (Antolisei, Manuale di diritto penale. Parte speciale, Giuffrè, Milano 1999, pag. 248).

209. Vedi paragrafo dedicato al reato di detenzione e diffusione di codici d'accesso a un sistema informatico o telematico (art. 615 quater).

210. La sentenza è citata e commentata da Parodi, Detenzione abusiva di codici d'accesso a sistemi e illecito impedimento di comunicazioni telematiche, cit., pag. 1152.

211. Berghella-Blaiotta, op. cit., pag. 2333.

212. Anche le circostanze previste nel quarto comma dell'art. 617 quater c.p. - che non coincidono con quelle degli artt. 617 e 617 bis c.p. - riflettono la peculiarità delle nuove forme di comunicazione attraverso strumenti informatici: del tutto originale è infatti la previsione di un aggravio di pena per l'ipotesi in cui il fatto sia stato commesso "con abuso della qualità di operatore di sistema", ovvero "in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità".

213. Così Mantovani, Diritto penale. Parte speciale, cit., pag. 497; Rinaldi e Picotti, op. cit., pag. 118; Pecorella, op. cit., pag. 293. In proposito, non può assolutamente essere condivisa l'opinione di Pomante il quale, isolatamente, afferma che l'intercettazione di messaggi di posta elettronica ricade nella disposizione dell'art. 616 c.p., mentre, "qualora la trasmissione di dati sia diversa dalla posta elettronica, subentra alla disciplina di cui all'art. 616 c.p., il successivo art. 617 quater c.p." (G. Pomante, op. cit., pag. 81).

214. "La condotta materiale della prima tra fattispecie considerate dall'art. 617 quater commi 1 e 2 c.p. è dunque sostanzialmente identica a quella desumibile dalla nuova formulazione dell'art. 616 c.p., essendo entrambe le ipotesi criminose integrate da fatti o atti diretti ad ostacolare la realizzazione di una comunicazione e, comunque, a ledere la libertà di comunicare, nonché la riservatezza del relativo contenuto ... (con la differenza) che l'oggetto della tutela penale dell'art. 617 quater è rappresentato da comunicazioni in atto" (Rinaldi e Picotti, op. cit., pag. 119).

215. Mantovani, op. cit., pag. 494; analogamente, Antolisei, op. cit., pag. 228; Petrone, Segreti (delitti contro l'inviolabilità dei), Novissimo Digesto Italiano, XVI, 1969, pag. 952.

216. Tutelate non dall'art. 15 Cost., ma dall'art. 21 Cost. (libertà di manifestazione del pensiero).

217. Il contenuto della comunicazione è del tutto irrilevante, potendo riguardare notizie estremamente confidenziali ovvero semplici espressioni di cortesia: ciò che conta è che si tratti di una comunicazione destinata ad esprimere a taluno un pensiero, un sentimento o un'azione di colui che l'ha inviata (cfr. Antolisei, op. cit., pag. 228). Qualche autore si è spinto oltre, affermando che anche una busta (chiusa) vuota potrebbe risultare tutelabile ex art. 15 Cost. (A. Pace, Problematica delle libertà costituzionali, CEDAM, Padova 1992). Allo stesso modo, non si richiedono particolari requisiti di forma: la comunicazione, come spiegano Rinaldi e Picotti, "può anche non consistere in un testo scritto o, comunque, verbale, potendo meritare protezione anche un elaborato meramente grafico, fotografico o, ad esempio, di suoni digitalizzati, purché il suo significato sia sempre di 'messaggio' ad un destinatario individuato o individuabile" (Rinaldi e Picotti, op. cit., pag. 114).

218. "Nella segretezza e nella libertà della comunicazione risiede il momento di selezione del modo in cui ciascuno intende porsi in rapporto confidenziale, o riservato, con altri, comunicando in circostanze, ma soprattutto con mezzi che escludono con chiarezza l'intenzione del soggetto di manifestare il proprio pensiero a chiunque e di volerne la divulgazione" (L. Arcidiacono, A. Carullo, G. Rizza, Istituzioni di diritto pubblico, Monduzzi, Bologna 2001).

219. Di converso, ripercorrendo idealmente le diverse fasi in cui si articola la trasmissione di un messaggio di posta elettronica, rientrano nella disciplina dell'art. 616 c.p., in quanto considerati sotto il profilo "statico": a) il messaggio registrato nella memoria del computer del mittente in attesa di essere trasmesso all'elaboratore del fornitore del servizio di posta elettronica (e-mail provider) utilizzato dal mittente stesso; b) il messaggio proveniente dall'utente e registrato nella memoria del computer del provider (cosiddetto server di posta elettronica), in attesa di essere trasmesso all'elaboratore del provider utilizzato dal destinatario (se diverso da quello del mittente); c) il messaggio trasmesso dal provider del mittente e registrato nella memoria del server del provider del destinatario (se diverso da quello del mittente), in attesa di essere "ricevuto" da quest'ultimo, in occasione del primo collegamento alla sua casella postale elettronica; d) il messaggio finalmente giunto a destinazione, in quanto "scaricato" dal destinatario sulla memoria del proprio computer, e qui registrato, in attesa di essere letto.

220. Nelle mailing lists ogni messaggio inviato da un utente viene automaticamente inoltrato agli indirizzi di posta elettronica di tutti gli altri abbonati così che il numero più ampio di persone possa venirne a conoscenza ed, eventualmente, inviare messaggi di risposta. A mio avviso, dal momento che ciascun iscritto può sempre sapere quali sono gli altri soggetti destinatari della sua comunicazione, ciò è sufficiente a conferire alla comunicazione il requisito della "personalità". In questo senso, si è, tra l'altro, espresso il CSM, secondo il quale il carattere "aperto" della mailing list, costituito dalla possibilità che, attraverso nuove adesioni, la comunicazione possa essere conosciuta da persone diverse da quelle a cui in origine era destinata, non esclude, di per sé, l'interesse alla riservatezza e la relativa tutela, in quanto la successiva partecipazione dell'informazione è riconducibile al consenso preventivo dell'interessato che, nel momento in cui ha aderito alla lista, ha accettato una siffatta evenienza (cfr. Seduta dell'assemblea plenaria del 17 luglio 2002). Diversa è l'opinione del Garante per la protezione dei dati personali: perché una comunicazione possa qualificarsi "corrispondenza", occorre che "l'accesso ad una lista di discussione sia condizionato dalla disponibilità di una password fornita ad una pluralità di soggetti determinati". La pronuncia (16 giugno 1999), relativa ad un caso di diffusione all'esterno di notizie apprese da una lista di discussione formata da alcuni dipendenti di un'amministrazione pubblica, da parte di un partecipante alla lista stessa, è pubblicata su Il Sole-24 Ore del 19 luglio 1999, pag. 24.

221. Vigna-Dubolino, Segreto (reati in materia di), in Enciclopedia del diritto, XLI, 1989, pag. 1076; di avviso diverso è Pecorella che considera "corrispondenza aperta" lo scambio di messaggi (cosiddetti posts) tra partecipanti a newsgroup. Pecorella, op. cit., pag. 299.

222. Il "limite", come sopra definito, può sussistere o meno a seconda delle modalità secondo le quali la chat line è organizzata.

223. Secondo Rinaldi e Picotti, il novellato art. 616 c.p. tutelerebbe "il mezzo tecnico informatico o telematico su cui è fissata la comunicazione, e cioè il dischetto contenente un programma per elaboratore, con dati o messaggi immessi, o il foglio inviato via telefax ... salva l'ipotesi di presa di cognizione e rivelazione, in cui di riflesso è tutelato anche il contenuto della comunicazione" (Rinaldi e Picotti, op. cit., pag. 119).

224. Sempreché, almeno secondo Dorigatti e, più di recente, Pecorella, il contenuto della comunicazione non sia già stato appreso dal destinatario, privando in tal modo la stessa del necessario carattere di attualità. Ciò, ovviamente, non esclude, la possibilità che altre disposizioni penali possano trovare applicazione: così, ad esempio, il messaggio cancellato o altrimenti manomesso potrà trovare tutela nell'articolo 635 bis c.p. (danneggiamento informatico); allo stesso modo, soccorrerà la previsione dell'art. 621 c.p. (rivelazione del contenuto di documenti segreti) qualora il suo contenuto, destinato a rimanere segreto, sia oggetto di un'indebita rivelazione. Dorigatti, in Giustizia penale, 1951, II, pag. 74; Pecorella, op. cit., pag. 295.

225. Che sia questo il significato da attribuire all'espressione "comunicazioni relative ad un sistema informatico o telematico" è sostenuto, in particolare, da Claudia Pecorella per la quale tale interpretazione sembra confermata dai lavori preparatori della legge n. 547 del 1993: "tra le poche, ma non irrilevanti, modifiche che il disegno di legge presentato dal ministro Conso aveva apportato al testo predisposto dalla Commissione presieduta dal dott. Callà (in Documenti Giustizia, 1991, n. 9, pag. 142 ss. e in Diritto dell'informazione e dell'informatica, 1992, pag. 624 ss.), compare proprio la sostituzione, nell'ambito degli artt. 617 quater e quinquies c.p., della più chiara ma più lunga locuzione ('comunicazioni provenienti da ... o ad esso dirette ... ') con la formula più sintetica ('comunicazioni relative ... ')" (C. Pecorella, op. cit., pag. 304).

226. Così, Marini, Delitti contro la persona, II ed., Torino 1996, pag. 420.

227. In questo senso Mantovani, op. cit., pag. 532; Marini, op. cit., pag. 420; Corasaniti, op. cit., pag. 121; Rinaldi e Picotti, op. cit., pag. 118.

228. Rientra in quest'ultima ipotesi, anche il caso in cui il flusso di dati in corso di trasmissione sia deviato da un elaboratore ad un altro.

229. Mantovani, op. cit., pag. 523.

230. Nel senso che l'avverbio "fraudolentemente" sia riferito anche alle altre due modalità della condotta, Fondaroli D., La tutela penale dei beni informatici, in Diritto dell'informazione e dell'informatica, 1996, pag. 316; Marini, op. cit., pag. 419; Rinaldi e Picotti, op. cit., pag. 120; analogamente la sentenza del Tribunale di Torino prima citata, avendo ritenuto integrata la fattispecie nella forma dell'impedimento realizzato attraverso l'induzione in errore di utenti legittimi del servizio Videotel per ottenere i relativi codici di accesso.

231. Pecorella, op. cit., pag. 304.

232. Antolisei, op. cit., pag. 237.

233. Corasaniti, op. cit., pag. 121 e Antolisei, op. cit., pag. 237, criticano l'inserimento di questo requisito, per le difficoltà che può creare in sede di applicazione della norma.

234. Pica, op. cit., pag. 177.

235. Si parla, quindi, a questo riguardo di norma a più fattispecie o norma mista alternativa. È però logico che solo la condotta dell'intercettazione può essere realizzata assieme a quella di interruzione o di impedimento, mentre le ultime due condotte sono tra loro incompatibili.

236. Secondo Mantovani, alla stessa stregua dell'art. 617/2, l'art. 617/2 quater, parlando non di "divulgazione" o di "diffusione", ma di "rivelazione" con "qualsiasi mezzo di informazione al pubblico", appare riferirsi non soltanto ai tipici mezzi di diffusione (stampa, radio, televisione, cinematografia), ma anche ad altri mezzi di comunicazione ad un numero di persone pur sempre indeterminato o, comunque, particolarmente elevato. Pertanto il reato non sussisterebbe in caso di rivelazione ad una o ad un circoscritto numero di persone (cfr. Mantovani, op. cit., pag. 525).

237. Come, del resto, lo è l'ipotesi di rivelazione del contenuto di una corrispondenza, di cui all'art. 616 c.p., nella nuova formulazione, in quanto applicabile solo nel caso in cui il fatto non costituisca reato più grave.

238. "Violazione, sottrazione e soppressione di corrispondenza commesse da persona addetta al servizio delle poste, dei telegrafi o dei telefoni".

239. Cfr. Tribunale di Milano - sezione sesta penale in composizione monocratica - Dott. Nobile de Santis - 12 aprile 2002 (dep. 16 maggio 2002).

240. Così Corasaniti, pag. 122.

241. Spiega Paolo Attivissimo: "I protocolli fondamentali di Internet non supportano la crittografia nel senso che non la includono e mandano quindi i dati in chiaro. Tuttavia questo è intenzionale, perché si è deciso che l'eventuale crittografia dovesse essere gestita a un livello superiore della gerarchia di protocolli. In pratica, il TCP/IP trasmette in chiaro dei dati. Questi dati però possono essere cifrati da un ulteriore protocollo a tuo piacimento, che 'siede sopra' il TCP/IP". Risposta inviata per e-mail.

242. L'art. 617 quinquies c.p. può quindi concorrere materialmente con le due fattispecie di reato di cui al primo e secondo comma dell'art. 617 quater.

243. Uniform Resource Locator, identificatore uniforme di risorse, metodo standard per comunicare con un server in rete e passargli indirizzi per raggiungere una pagina web o comandi (ftp). Un URL quale http://www.dsi.unive.it/~flongo/diz/index.html specifica: 1) il protocollo da usare (nell'esempio http) o il tipo di risorsa (index.html). I protocolli possono essere, ad esempio: http, gopher, telnet, ftp, usenet; 2) il nome del server www.dsi.unive.it; 3) il percorso (pathname) del documento /~flongo/diz/; 4) il nome del documento index.html. Da F. Longo, Dizionario Informatico.

244. A. Di Corinto e T. Tozzi, op. cit.

245. Negli ultimi anni si sono svolti numerosi netstrikes. Il primo in ordine cronologico è stato certamente quello, sopra citato, realizzato nel 1995 contro i siti del governo francese, ma, a titolo esemplificativo, si possono ricordare: quello promosso dall'Anonymous Digital Coalition (1998), che ha visto bloccare alcuni siti finanziari messicani (il Chiapas subiva nel frattempo l'invasione da parte dall'esercito messicano) in sostegno alla lotta zapatista; quello del settembre 1998 contro il Pentagono e la Borsa delle Merci di Francoforte promosso da Electronic Disturbance Theatre (Teatro di Disturbo Elettronico); quello del dicembre 1998 a favore del Centro Popolare Autogestito di Firenze contro un sito della Coop; quello del maggio 1999 contro la guerra nella ex Jugoslavia; quello contro il sito del Comune di Milano del 28 settembre 2000, indetto dal Loa (il Loa è un hacklab, ovvero un centro sociale dove ci si dedica a resuscitare vecchi computer, costruire reti, fare arte digitale, grafica, giochi, costruire robot e tenere seminari per promuovere un uso critico delle tecnologie, vecchie e nuove) per protestare contro gli sgomberi dei CSA (Centri Sociali Autogestiti) milanesi; quello del 30 novembre 2000 promosso da Tommaso Tozzi e Giacomo Verde contro i siti del Texas Department of Criminal Justice e dello Stato del Texas per esprimere dissenso nei confronti della pena di morte.

246. Diversamente da quanto sostengono alcuni esperti in sicurezza informatica.

247. Il FloodNet, è un applet di Java che automatizza il processo di reload delle pagine. I partecipanti al "sit-in virtuale" possono prelevare l'applet dal sito di "The Thing" e, per suo tramite, colpire i siti ricaricando le pagine con un intervallo di 6-7 secondi. "In questo modo, con una connessione simultanea, ad esempio, di diecimila persone, riusciamo a trasmettere circa 600 mila impulsi al minuto, che sono generalmente sufficienti a bloccare l'accesso al sito", spiega Ricardo Dominguez. In pochi anni Dominguez si è guadagnato la fama di apostolo dello zapatismo digitale per aver realizzato insieme all'Ecd (Electronic Disturbance Theatre) e alla Federation of Random Action una serie di campagne di protesta a favore degli zapatisti messicani sviluppando alcuni tools informatici (tra i quali, appunto, l'applet "floodnet") per il disturbo elettronico.

248. Vedi paragrafo specificamente dedicato a questo argomento.

249. Come i break-in, che hanno come scopo quello di ottenere un accesso ai sistemi di comunicazione da sfruttare, nell'immediato o successivamente, per trafugare e distruggere dati, sorvegliare e monitorare i flussi della comunicazione a fini di spionaggio industriale e politico.

250. La fase di hiding presuppone la capacità di dissimulare la propria presenza, origine e identità sulla rete, utilizzando sistemi-ponte, cioè computer non direttamente legati all'obiettivo.

251. La fase di information gathering è in genere propedeutica alla rilevazione di vulnerabilità e malconfigurazioni dei sistemi bersaglio.

252. Un aspetto importante che garantisce la simultaneità dei collegamenti è il prospetto dei fusi orari.

253. C. Freschi, Comunità virtuali e partecipazione. Dall'antagonismo ai nuovi diritti, in Quaderni di Sociologia, n. 23, 2000.

254. "Client side", cioè eseguito sul computer e sulla banda del navigatore, è certamente un programma javascript.

255. Ovvero, curatore del sito web.

256. Si tratta di ipotesi in parte ricalcate su quelle contemplate dal secondo comma dell'art. 617 ter c.p. con riguardo alla falsificazioni di comunicazioni "tradizionali", e in parte ricollegate alle peculiarità dei nuovi sistemi di comunicazione. Sull'aggravante dell'abuso della qualità di operatore di sistema e sulla circostanza che il fatto sia commesso "in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità", vedi paragrafo dedicato alle circostanze aggravanti dell'accesso abusivo.

257. Cfr. la Relazione ministeriale al d.d.l. n. 2773, pag. 10, che a proposito degli artt. 617 quater, 617 quinquies e 617 sexies c.p., introdotti tutti dall'art. 6, parla semplicemente di "estensione" della tutela prevista dal codice per le comunicazioni telefoniche o telegrafiche "a quelle informatiche o telematiche", senza nulla aggiungere di specifico al riguardo, oltre alla parafrasi delle norme stesse.

258. L. Monaco, in Crespi, Stella, Zuccalà (a cura di), Commentario breve al Codice penale, I ed., 1992, pag. 1425, sub art. 617 ter; Antolisei, cit., pag. 250; Marini, Reati contro la persona, cit., pagg. 419 e 429; Pica, op. cit., pag. 419; Fondaroli, op. cit., pag. 317.

259. Così Antolisei, op. cit., pag. 251.

260. Antolisei, op. cit.; Pecorella, op. cit., pag. 163.

261. Art. 485 c.p. - Falsità in scrittura privata - "1. Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, forma, in tutto o in parte, una scrittura privata falsa, o altera una scrittura privata vera, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la reclusione da sei mesi a tre anni. 2. Si considerano alterazioni anche le aggiunte falsamente apposte a una scrittura vera, dopo che questa fu definitivamente formata".

262. La ricostruzione in questi termini della fattispecie in esame - e in particolare la riconduzione dell'uso del falso tra gli elementi del fatto, anziché tra le condizioni obiettive di punibilità (art. 44 c.p.) - corrisponde a quanto comunemente ritenuto da dottrina e giurisprudenza in relazione sia all'art. 485 c.p., sia al reato di falsificazione del contenuto di comunicazioni telefoniche (art. 617 ter c.p.); in questo senso, anche Rinaldi e Picotti, op. cit., pag. 124; Monaco, in Crespi, Stella, Zuccalà (a cura di), Commentario breve al Codice penale, III ed., 1999, sub art. 617 sexies.

263. Appartiene a tale categoria qualsiasi documento che non provenga da una persona avente la qualifica di pubblico ufficiale o di incaricato di un pubblico servizio e che abbia un contenuto giuridicamente rilevante, e quindi, potenzialmente in grado di svolgere una funzione probatoria. Cfr. in proposito, V. Maccora, in Dolcini, Marinucci (a cura di), Codice penale commentato, vol. II, Milano 1999, sub art. 476 ss.

264. Che qualifica il documento informatico in base all'"efficacia probatoria", correttamente riferita ai dati e alle informazioni contenuti in "qualunque supporto informatico".

265. Sarà del resto da ricondurre alle norma sulla falsità in scrittura privata anche l'eventuale falsificazione di un programma informatico "specificamente destinato ad elaborare dati aventi efficacia probatoria", al quale è stata attribuita natura documentale nell'ambito della nuova definizione di documento informatico. In particolare, va segnalato come negli ultimi anni il nostro legislatore abbia incentivato un ricorso sempre più diffuso al documento informatico, riconoscendogli, nel rispetto di specifici requisiti, efficacia probatoria e tentando al contempo di superare le difficoltà che non permettevano attribuire alla "rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti" la qualifica di atto pubblico o scrittura privata. Mi riferisco alla legge n. 59 del 15 marzo 1997 che all'art. 15, secondo comma, dispone: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge"; e al D.P.R. n. 513 del 10 novembre 1997 ("Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59"; sostituito dal D.P.R. 445 del 2000, "Disposizioni legislative in materia di documentazione amministrativa") che ha stabilito i criteri e le modalità di applicazione di questa disciplina (e dato riconoscimento alla firma elettronica).

266. In senso contrario sembra orientato Picotti (pag. 123), per il quale la norma in esame confermerebbe "come non vi sia alcuna necessità, per la configurazione delle falsità informatiche, che esse debbano cadere sopra un qualcosa di fisico o corporale ... come ancora traspariva dalla stessa locuzione "testo di una comunicazione" contenuta nella fattispecie varata nel 1974".

267. Cfr. Rinaldi e Picotti, op. cit., pag. 121.

268. I requisiti documentali tradizionali sono ravvisati: a) nel contenuto dichiarativo del pensiero di una persona; b) nella sua riferibilità ad un autore determinato (cosiddetta paternità), riconoscibile dal documento stesso, specie tramite la sottoscrizione autografa; c) nella forma scritta, o comunque nella "visibilità" o "leggibilità" diretta da parte dell'uomo; d) nella durevole incorporazione in un supporto e così, in definitiva, nel carattere di "cosa", in senso fisico-materiale, cui il concetto classico di documento, come atto scritto, risulta tradizionalmente legato.

269. "Delitti contro la inviolabilità dei segreti".

270. Di fatto, in una sola occasione il giudice italiano si è pronunciato in merito al reato in esame. La sentenza è quella del tribunale di Avezzano del 25 novembre 2002 che ha condannato l'imputato (che aveva pubblicato sul web un annuncio di offerta di "prestazioni particolari" a nome di un altro soggetto) per diffamazione (art. 595 c.p.) aggravata dal mezzo di pubblicità ed escludendo invece la sussistenza del reato de quo non rilevando, nel caso di specie, alcuna alterazione di comunicazioni informatiche.

271. Se, con Picotti, si adotta un'interpretazione ampia della nozione di "comunicazione", tutte le condotte previste possono riferirsi solo ad ipotesi di falsità materiale, nel senso tecnico-giuridico con cui il termine indica la distinzione dalle falsità ideologiche. In questo caso, infatti, non viene né può venire in rilievo alcun obbligo giuridico di attestazione della veridicità intrinseca del contenuto delle comunicazioni, rispetto ad una realtà esterna ad esse che debba essere attestata o certificata: mancando ogni disposizione che possa valere quale fonte vincolante al riguardo, e la stessa strutturale funzione probatoria di tali "atti", la tutela penale non può che concernere, piuttosto l'autenticità e genuinità del loro contenuto, che deve corrispondere a quello "originario" voluto dal suo autore cosiddetto apparente (cfr. Rinaldi e Picotti, op. cit., pag. 123).

272. Antolisei, op. cit., pag. 252.

273. Nella direttiva si afferma: "La disciplina giuridica comunitaria della tutela dei programmi per elaboratore può limitarsi, in una prima fase, a stabilire che gli Stati membri sono tenuti ad attribuire ai programmi per elaboratore la tutela riconosciuta dalle leggi sul diritto d'autore alle opere letterarie, nonché a determinare i soggetti e gli oggetti tutelati, i diritti esclusivi dei quali i soggetti tutelati devono potersi avvalere per autorizzare o vietare determinati atti, e la durata della tutela medesima".

274. Il primo ordinamento che ha riconosciuto al software dignità di "opera intellettuale", disponendo in suo favore la tutela nell'ambito del diritto d'autore è stato quello statunitense, grazie al Computer Software Amendment Act del 1980.

275. "Restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso".

276. Norma mista cumulativa: la realizzazione anche di più condotte contemplate dalla norma non dà luogo a concorso materiale di reati. Raffaella Rinaldi, La disciplina del software nel decreto legislativo d'attuazione della Direttiva 91/250/CEE, in Legislazione penale, 1993, pag. 784 con richiami all'autorevole dottrina del Mantovani.

277. Rientrano, a titolo esemplificativo, "crack", "key generator", chiavi hardware contraffatte, ma non i semplici "seriali". La punibilità di tali mezzi discende dalla necessità di sanzionare condotte non immediatamente percepibili come atti di pirateria, ma comunque particolarmente dannose per l'industria informatica (Cfr. Minotti D., La lotta alla pirateria nella più recente legislazione in tema di diritto d'autore, Dirittodautore.it, 2002).

278. D. lgs. n. 169 del 6 maggio 1999, attuativo della direttiva 96/9 CE. Quanto verrà detto di seguito in ordine ai programmi per elaboratore vale, di massima, anche per le banche di dati avendo il legislatore sostanzialmente previsto una disciplina analoga.

279. Per tutte si richiamano: Pretura Pisa 11 aprile 1984, Cassazione, terza sezione, 24 novembre 1986 e Cassazione 6 febbraio 1987, n. 1956. In particolare, nella pronuncia dell'86, la Suprema Corte sostenne fosse possibile estendere ai programmi per elaboratore la normativa in tema di diritto d'autore "in quanto opere dell'ingegno che appartengono alle scienze e si esprimono in linguaggio tecnico-convenzionale concettualmente parificato all'alfabeto o alle sette note". Di parere contrario, la sentenza del 25 maggio 1982 della pretura di Torino che, tra l'altro, definì i videogiochi (equiparati al software dalla giurisprudenza, "salvo non possa escludersi siano essenzialmente costituiti da 'sequenze di immagini in movimento'", Cassazione penale sez. III, 6 maggio 1999, n. 1716, in Riv. pen. 1999, pag. 653) "aggeggi nati per sollevare dalla noia gente sfaccendata".

280. All'interno della categoria delle creazioni intellettuali si possono distinguere le invenzioni industriali, che sono giuridicamente tutelate attraverso il brevetto, e le opere dell'ingegno, tutelate, invece, attraverso il diritto d'autore o copyright. Al termine di un lungo e complesso dibattito dottrinale e giurisprudenziale è prevalso in Italia l'orientamento che riconduce la tutela giuridica del software alla disciplina del diritto d'autore. Nel nostro ordinamento, dunque, vige il divieto di brevettabilità dei "programmi per elaboratore" ex art. 12, secondo comma lett. b) della cosiddetta legge sui brevetti delle invenzioni industriali n. 1127/39, modificata dal D.P.R. 338/79. Il divieto non esclude però la brevettabilità del software quando quest'ultimo costituisce uno strumento per raggiungere l'invenzione.

281. La norma non pone alcuna differenziazione tra soggetti perseguibili penalmente: vi rientra tanto l'utente privato quanto la società impegnata nella grande distribuzione. I corsivi alla citazione sono miei.

282. "Ente pubblico a base associativa".

283. Sentenza pretore di Cagliari del 3 dicembre 1996. Caso: un imprenditore aveva duplicato e installato il pacchetto di applicativi Microsoft Office su più macchine aziendali essendo in possesso di una sola licenza.

284. Minotti D., Duplicazione di software: quando la differenza tra scopo di lucro e risparmio di spesa non è (ancora) chiara, Penale.it, luglio 2000; così anche Andrea Monti, Torino: ancora un'assoluzione per duplicazione abusiva di software, in PC Professionale, n. 111, giugno 2000, pagg. 247-8.

285. A questo proposito, ricordo che le ipotesi di duplicazione e detenzione, diversamente dalle altre fattispecie contemplate, mettono solo in pericolo il bene giuridico tutelato ovvero i diritti di utilizzazione economica dell'autore.

286. Tribunale di Torino 20 aprile-5 maggio 2000, n. 1407; Tribunale Torino 13 luglio 2000.

287. Per tutti, vedi Corte d'Appello di Torino, 13 dicembre 2000 che richiama a sostegno numerose pronunce della Corte di Cassazione (tra le altre, Cass. civile sez. I 27.11.92, n. 12680, e Cass. civ. sez. I, l.9.97, n. 8304).

288. Tra gli altri, Gianfranco D'Aietti, La tutela dei programmi e dei sistemi informatici, in AA.VV., Profili penali dell'informatica, Giuffrè, Milano 1994, pagg. 50-3.

289. Nello specifico, ex art. 156 l.d.a., "chi ha ragione di temere la violazione di un diritto di utilizzazione economica a lui spettante in virtù di questa legge, oppure intende impedire la continuazione o la ripetizione di una violazione già avvenuta, può agire in giudizio per ottenere che il suo diritto sia accertato e sia interdetta la violazione. L'azione è regolata dalle norme di questa sezione e dalle disposizioni del codice di procedura civile". In base all'art. 158, "chi venga leso nell'esercizio di un diritto di utilizzazione economica a lui spettante può agire in giudizio per ottenere che sia distrutto o rimosso lo stato di fatto da cui risulta la violazione o per ottenere il risarcimento del danno". Infine, ex art. 174, "nei giudizi penali regolati da questa sezione la persona offesa, costituitasi parte civile, può sempre chiedere al giudice penale l'applicazione dei provvedimenti e delle sanzioni previsti dagli articoli 159 e 160", ovvero: la distruzione o la rimozione (dello stato di fatto da cui risulta la violazione) condotta sugli esemplari o copie illecitamente riprodotte o diffuse, nonché sugli apparecchi impiegati per la riproduzione o diffusione (sempre che, per loro natura, non possano essere adoperati per diversa riproduzione o diffusione) o il sequestro dell'opera o del prodotto se la distruzione o rimozione non può più essere richiesta.

290. Deve essere, peraltro, ricordato come la Corte di Cassazione, con sentenza del 19 settembre 2001, avesse sostenuto che, per questo aspetto, non vi fosse stato un ampliamento della tutela penale, ma "soltanto una specificazione di corretto recepimento della direttiva comunitaria ... e che, quindi, ... il legislatore avesse soltanto chiarito la delimitazione dell'ambito di tutela già apprestata dal d. lgs. n. 518 del 1992". Secondo la Corte, per "scopo commerciale", doveva intendersi "ogni attività riconducibile alla nozione di 'impresa commerciale', quale elaborata dalla dottrina alla stregua della definizione posta dall'art. 2195 del codice civile". A sostegno di questa tesi evidenziava, tra le altre motivazioni, come l'art. 171 bis della legge n. 633/1941, volendo fare esplicito riferimento - tra la pluralità delle condotte incriminate - all'attività di "messa in commercio" di programmi per elaboratori non autorizzati, avesse utilizzato l'espressione più tecnica "vende", e che, pertanto, con l'incriminazione della "detenzione a scopo commerciale" avesse voluto vietare una condotta ulteriore rispetto alla vendita stessa. Deve essere ulteriormente osservato che a questa interpretazione non ostava il fatto che la norma richiedesse espressamente la sussistenza anche dello "scopo di lucro" perché, a detta della Corte, tale nozione, seppure più ristretta di quella di "profitto", poteva comunque riguardare "qualsiasi vantaggio di tipo patrimoniale" (Corte di Cassazione 19 settembre 2001, n. 2408).

291. La norma parla di programmi per elaboratore, "in qualsiasi forma espressi".

292. L'art. 64 ter stabilisce tre casi, cui si aggiunge quello previsto dall'art. 64 quater, in cui, anche in assenza dell'autorizzazione del titolare del programma, l'utilizzatore ha il diritto, di effettuare una copia dell'opera: 1) a fini di riserva 2) quando questa sia necessaria all'uso del programma stesso 3) a fini di studio per "determinare le idee ed i principi su cui è basato ogni elemento del programma".

293. Il software è caratterizzato, nella concezione della creatività dall'essere un ritrovato del progresso tecnologico, diretto alla produzione di un risultato utile, oltre che una creazione intellettuale, per questo motivo sconta del primo aspetto una diminuzione del concetto di originalità, perché l'innovazione tecnologica non è completamente astratta dal precedente, ma ne costituisce spesso elaborazione, adeguamento e perfezionamento.

294. Duplicazione parziale, in particolare resa possibile, come nel caso affrontato dalla Corte, dall'intervento sul codice sorgente del programma (anziché sulla sua versione cosiddetta "compilata").

295. Corte di Cassazione, sez. III pen., 27 febbraio-24 aprile 2002, n. 473, in Guida al Diritto 2002, n. 22, pagg. 63 e segg.

296. Recita il primo comma dell'articolo: "Ferme le sanzioni penali applicabili, la violazione delle disposizioni previste nella presente sezione (Sezione II Difese e sanzioni penali) è punita con la sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell'opera o del supporto oggetto della violazione, in misura comunque non inferiore a lire duecentomila. Se il prezzo non è facilmente determinabile, la violazione è punita con la sanzione amministrativa pecuniaria da lire duecentomila a lire due milioni. La sanzione amministrativa si applica nella misura stabilita per ogni violazione e per ogni esemplare abusivamente duplicato o riprodotto".

297. Va precisato che, dalla lettura dell'intera disposizione, per "materiale" deve intendersi l'insieme dei supporti (vergini o registrati), mentre gli "strumenti" coincidono con i macchinari (l'hardware), delimitazione che, comunque, lascia un eccessivo margine di discrezionalità all'interprete soprattutto in relazione a quanto "destinato" a commettere i reati in questione.

298. Nozione non meglio precisata dalla legge. Alcuni autori identificano la "rilevante gravità" nell'avere la condotta ad oggetto un numero di copie "abusive" superiore a cinquanta (conformemente alla previsione aggravatrice del secondo comma lettera a) dell'art. 171 ter).

299. "La modifica proposta elimina questa distinzione (tra fine di lucro e profitto) e trasforma in illecito penale (perseguibile d'ufficio) qualsiasi tipo di duplicazione. In questo modo non solo perdura, ma viene rafforzato un equivoco culturale e giuridico: considerare come reato quella che in realtà è solo una violazione civilistica - che dovrebbe tutt'al più dar luogo a un risarcimento in denaro" (Alcei, Modifiche ingiuste e incivili alla legge sul diritto d'autore, comunicato del 15 marzo 1999). Secondo M. Cammarata questo nuovo assetto di tutela presenta un'evidente sproporzione tra condotta e sanzione: "È la norma che muta un tipico illecito civile, come la singola copia non autorizzata di un software, in illecito penale, con sanzioni pesantissime, laddove sarebbe sufficiente il risarcimento del danno. Non vi è un danno o un allarme sociale nella violazione, da parte di un singolo individuo e per il proprio tornaconto personale, di un modesto diritto economico" (M. Cammarata, Il diritto d'autore geneticamente modificato, 26 luglio 2000).

300. Mi riferisco in particolare al sistema operativo Microsoft Windows e al suo pacchetto di applicativi Office.

301. Secondo certa dottrina, un sito Internet costituirebbe banca di dati e, come, tale, rientrerebbe nella relativa disciplina. L.M. de Grazia, La violazione delle norme di diritto d'autore nell'acquisizione di un intero sito Web da parte di soggetto non autorizzato, in A. Sirotti Gaudenzi, Il nuovo diritto d'autore. La proprietà intellettuale nella società dell'informazione, Maggioli, Rimini 2001, pagg. 375 e ss.

302. "Potrà allora rilevarsi come software e banche di dati, abbiano trovato maggiore protezione rispetto alle altre opere dell'ingegno, con una più che probabile violazione di comprensibili principi di rango costituzionale" (L. Massari, La tutela del software e delle banche di dati in Italia, da atti del convegno di Lecce, 4 ottobre 2002).

303. EUCD (European Union Copyright Directive).

304. Le misure tecnologiche di protezione, previste dall'art. 102 quater, troveranno così definitiva consacrazione anche se dovranno coordinarsi, in termini pratici, proprio con la possibilità per il legittimo utente, di effettuare una copia privata per uso personale dell'opera o del materiale protetto (cfr. art. 71 sexies, comma 4).

305. Ad essere obiettivi, contribuiranno anche i venditori ambulanti di CD contraffatti.

306. Per approfondimenti in merito si può consultare il sito dell'ANDEC.

307. Se il decreto di recepimento della direttiva 2001/29 CE verrà approvato, la sanzione amministrativa, ex nuovo art. 174 ter, sarà estesa a "chiunque ... acquista o noleggia ... attrezzature, prodotti o componenti atti ad eludere misure di protezione tecnologiche non conformi alle prescrizioni della presente legge" (il nuovo art. 174 ter prenderà il posto dell'art. 16 della 248/00 che, pertanto, ex art. 41, quarto comma dello schema, sarà abrogato).

308. L'art. 16 non richiede il fine di "trarne profitto", ma data l'ampiezza della nozione di "profitto" e considerando che, in pratica, esso si sostanzia nel semplice "risparmio di spesa", appare difficile che una duplicazione non autorizzata possa prescindere da tale elemento.

309. Minotti D., La lotta alla pirateria nella più recente legislazione in tema di diritto d'autore, cit.

310. Giovambattista Giannangeli, Disciplina del software nella novellata l. sul diritto d'autore; così anche C. Marucci, La tutela copyright del software, Jei - Jus e internet, 2001.

311. Alcei, articolo citato.

312. Tribunale di Alessandria, in funzione di giudice del riesame, ordinanza del 14-15 novembre 2001.

313. "Sono reati istantanei quelli in cui l'offesa è istantanea, perché viene ad esistenza e si conclude nello stesso istante: per la sua stessa impossibilità di protrarsi nel tempo. Esempio tipico è l'omicidio, come pure l'evasione. I reati istantanei si contrappongono a quelli cosiddetti permanenti per la cui esistenza la legge richiede che l'offesa al bene giuridico si protragga nel tempo per effetto della persistente condotta volontaria del soggetto" (M. Mantovani, Diritto penale. Parte generale, cit., pag. 428 ss.).

314. In proposito, ricordo come vi siano ampie tracce nella storia dei processi per reati informatici, di interventi delle forze dell'ordine poco "ortodossi": gli agenti hanno spesso, semplicemente e sommariamente, sottratto all'indagato - e a volte neanche più restituito - qualsiasi strumento informatico o presunto tale rinvenuto, anche laddove si sarebbe potuti pervenire allo stesso risultato effettuando copie dei contenuti di hard disk, cd-rom e di altri supporti.

315. Così Monti A., Software pirata. È ricettazione?, 1995.

316. Minotti D., Detenzione, duplicazione, lucro e ricettazione: ancora molta confusione in materia di software abusivo, Penale.it, luglio 2000.

317. Cass. pen., 25 marzo 1986, in Riv. Pen., 1987, pag. 677; Cass. Pen. sez. III, 2 luglio 1993, in Cass. pen. 1996, pag. 1906; Cass. Pen. sez. III, 9 marzo 1993, in Cass. pen. 1994, pag. 1537; Pretura Milano, 26 gennaio 1999, in Foro Ambrosiano 1999, pag. 335.

318. Chiarisce in proposito la già menzionata sentenza della Corte di Cassazione del 24 aprile 2002, n. 473 che l'ipotesi criminosa della duplicazione abusiva di un programma per elaboratore al fine di trarne profitto è distinta dall'illecita riproduzione di opere contraddistinte dal contrassegno S.I.A.E. "il cui campo di applicazione corrisponde a quel particolare settore dell'imprenditoria commerciale, sul quale, appunto, vigila la S.I.A.E.".

319. Sempre in base all'art. 181 bis, le spese e gli oneri, anche per il controllo, sono a carico dei richiedenti. Il controllo finalizzato al rilascio del contrassegno, si riferisce, in particolare, alle verifiche relative all'effettiva acquisizione dei diritti di sfruttamento da parte del richiedente (art. 4, secondo comma DPCM n. 338/01).

320. A. Sirotti Gaudenzi, Il Software in Rete, in Diritto & Diritti, 2001.

321. Esemplificazione, a mio avviso, non del tutto corretta perché si basa evidentemente sul convincimento che il free software sia gratuito, mentre può assumere tale caratteristica solo in via eventuale: free non vuol dire gratis, ma libero.

322. La Business Software Alliance (BSA) è un'organizzazione internazionale senza scopo di lucro fondata nel 1988 al fine di contrastare la duplicazione illegale di software. BSA promuove la crescita dell'industria informatica attraverso iniziative di sensibilizzazione, di educazione pubblica e mediante azioni legali in 65 Paesi del mondo. La BSA rappresenta le maggiori società produttrici di software tra le quali: Adobe Systems, Apple Computer, Autodesk, Avid Technology, Bentley Systems, Borland, CNC Software/Mastercam, Dell, Entrust, Filemaker, Hewlett Packard, IBM, Intel, Internet Security Systems (ISS), Intuit, Macromedia, Microsoft, Network Associates, Novell, Sybase, Symantec e Unigraphics Solutions (EDS). In Italia, oltre ai soci internazionali, BSA comprende Assintel, Broadway Software, OEMF, HiT Software, Intergraph e Necsy.

323. "Il contrassegno, secondo modalità e nelle ipotesi previste nel regolamento di cui al comma 4 ... può non essere apposto sui supporti contenenti programmi per elaboratore disciplinati dal decreto legislativo 29 dicembre 1992, n. 518, utilizzati esclusivamente mediante elaboratore elettronico, sempre che tali programmi non contengano suoni, voci o sequenze di immagini in movimento tali da costituire opere fonografiche, cinematografiche o audiovisive intere, non realizzate espressamente per il programma per elaboratore, ovvero loro brani o parti eccedenti il cinquanta per cento dell'opera intera da cui sono tratti, che diano luogo a concorrenza all'utilizzazione economica delle opere medesime. In tali ipotesi la legittimità dei prodotti, anche ai fini della tutela penale di cui all'articolo 171 bis, è comprovata da apposite dichiarazioni identificative che produttori e importatori preventivamente rendono alla S.I.A.E.

324. "Regolamento concernente modifiche al decreto del Presidente del Consiglio dei Ministri 11 luglio 2001, n. 338".

325. In particolare: a) i programmi aventi carattere di sistema operativo, applicazione o archivio di contenuti multimediali prodotti in serie sui supporti di cui al comma 1 (comunque confezionati contenenti programmi destinati ad essere posti in commercio o ceduti in uso a qualunque titolo a fini di lucro), fruibili mediante collegamento e lettura diretta del supporto, quali dischetti magnetici (floppy disk), CD ROM, schede di memoria (memory card), o attraverso installazione mediante il medesimo supporto su altra memoria di massa destinata alla fruizione diretta mediante personal computer; b) i programmi destinati alla lettura ed alla fruizione su apparati specifici per videogiochi, quali playstation o consolle comunque denominati, ed altre applicazioni multimediali quali player audio o video (Art. 5, comma 1, DPCM n. 338/01).

326. Quest'ultima ipotesi non si aggiunge, ma modifica il precedente decreto che escludeva dal contrassegno e dalla dichiarazione identificativa solo i programmi distribuiti gratuitamente "dal produttore e comunque con il suo consenso" e che fossero in "versione parziale ed a carattere dimostrativo".

327. Così, G. Ziccardi, La tutela del software nell'era digitale, Il sole-24 ore, Milano 2001, pag. 77. Deve, peraltro, essere segnalato come, in tema di contrassegno S.I.A.E. su supporti contenenti programmi per elaboratore e della connessa disciplina penale, il legislatore sia stato più attento di quanto non fosse stato in passato per "videocassette, musicassette od altro supporto contenente fonogrammi o videogrammi di opere cinematografiche o audiovisive o sequenze di immagini in movimento" (art. 171 ter così come introdotto dal d. lgs. 16.11.1994, n. 685). L'articolo 171 ter, infatti, faceva espresso rinvio ad un regolamento esecutivo (mai emanato) che avrebbe specificato i termini e le modalità di apposizione del contrassegno S.I.A.E. sui supporti e, di conseguenza, definito le condizioni per l'applicabilità della sanzione penale alle condotte (allora le sole contemplate) di vendita o di locazione di detti supporti qualora sprovvisti di contrassegno; tale rinvio aveva così legittimato l'interpretazione che nel periodo intercorrente tra la data di entrata in vigore della legge 685 e l'emanando regolamento, non sussistessero gli estremi per l'applicazione della fattispecie penale (cfr., fra le altre: Cass. pen., sez. III, 10.02.1998, Sanbataro; Cass. pen., sez. II, 4.03.1997, Favilli). La questione è stata risolta definitivamente prima dalla giurisprudenza della Cassazione (8 febbraio 2000, n. 2) che, a sezioni unite, ha affermato testualmente: "Il rinvio operato dall'art. 171 ter del d. lgs. 16 novembre 1994, n. 685 a un regolamento di esecuzione deve intendersi effettuato, stante la sua mancata emanazione, al regolamento approvato con R.D. 18 maggio 1942, n. 1369, di modo che può ancora ritenersi penalmente sanzionata l'immissione nel mercato di supporti non contrassegnati dalla S.I.A.E. posta in essere in violazione di quest'ultima disciplina amministrativa"; in seguito, ha segnato il suo epilogo la stessa legge n. 248 che, con l'art. 14, ha sostituito l'art. 171 ter configurando come reato la vendita o il noleggio (nonché una serie di altre condotte) di supporti di opere privi di contrassegno S.I.A.E. a prescindere da qualsiasi riferimento ad un "regolamento di esecuzione". Per impedire, invece, per le attività indicate dalla seconda parte del primo comma dell'art. 171 bis il ripetersi della ricordata querelle in tema di abusiva riproduzione di supporti musicali (art. 171 ter), il nuovo art. 181 bis, quarto comma ha previsto che se (da un lato) "i tempi, le caratteristiche e la collocazione del contrassegno sono individuati da un regolamento di esecuzione ..., (dall'altro) fino alla data di entrata in vigore del predetto regolamento, resta operativo il sistema di individuazione dei tempi, delle caratteristiche e della collocazione del contrassegno determinatosi sotto la disciplina previgente". La disposizione è confermata dal regolamento n. 338 del 2001 che, all'art. 1, secondo comma ha stabilito: "Sono legittimamente circolanti ai sensi del citato articolo 181 bis della legge 22 aprile 1941 n. 633, i supporti prodotti entro la data di entrata in vigore della legge 18 agosto 2000 n. 248 purché conformi alla legislazione previgente in materia di contrassegno e di tutela del diritto d'autore".