Roma – Il prof. Lorenzo Picotti, ordinario di diritto penale a Verona, ha sintetizzato in parole efficaci quello che è quasi lo slogan dell’incontro di studi di Varenna: i temi trattati sono di grande attualità e soprattutto affrontati in una prospettiva interdisciplinare, di diritto penale sostanziale, di diritto penale processuale, di tecniche e misure tecniche di prevenzione e di tutela. È ribadita l’importanza di mantenere ferme le radici della cultura giuridica, di logica, di rigore metodologico, di linguaggio, coerenza interna sulle scelte di politica criminale. La politica criminale nell’adeguarsi alle norme internazionali deve fare scelte migliorative e dove il legislatore internazionale lascia spazio di scelta bisognerà decidere secondo le nostre tradizioni legislative, secondo le nostre categorie giuridiche, secondo la nostra logica di penalisti e spruzzi solisti senza scardinare l’impianto logico e sistematico del nostro sistema penalistico.
I lavori sono stati aperti dall’intervento del dott. Antonio Leonardo Tanga, sostituto procuratore a Monza e componente della Commissione Nordio che ha sottolineato che il quadro di riferimento per la riformulazione dei crimini informatici è costituito dalla convenzione di Budapest del 23 novembre 2001, sottoscritta anche dal nostro Stato, dalla decisione quadro del consiglio d’Europa relativa agli attacchi contro i sistemi di informazione del 19 aprile 2002 e dalla decisione quadro 2004/68 del consiglio d’Europa del 22 dicembre 2003 relativa alla lotta contro lo sfruttamento sessuale dei bambini e della pedopornografia infantile.
Alla luce del principio di tassatività e di offensività e nell’ambito del c.d. diritto penale costituzionalmente orientato è stato fatto uno sforzo per fornire definizioni puntuali e ampie in modo da comprendere anche i futuri sviluppi tecnologici. L’elaborato di riforma dei reati informatici tiene conto della progressività dell’offesa e tutti i reati contenuti sono stati pensati non solo per la tutela dei beni giuridici ma anche per la tutela degli interessi.
L’informatica dalla parte dell’utente è diventata una parte propria della personalità dell’utente. È l’ingresso nel computer che deve essere autorizzato indipendentemente dai sistemi che lo impediscono. Sulla scorta dei principi già stratificati da tempo dalla nostra giurisprudenza e dalla nostra dottrina a proposito dei delitti di ulteriore offesa si è voluto inserire anche l’uso abusivo dei dati acquisiti che manifesta una ulteriore offesa rispetto a quella di intrusione e di intercettazione.
Oltre a questo vi è la rivelazione del contenuto di dati informatici. I beni giuridici sono diversi e variegati a seconda della fattispecie concreta che eventualmente sarebbe andata a sussumersi in questa astratta. Come progressione criminosa vi è il danneggiamento e la distruzione di dati informatici. Il problema della steganografia è esploso dopo i fatti tragici del 11 settembre: non solo gli amici o gli appartenenti ad un ordine goliardico possono trasmettersi foto steganografate, ma anche soggetti che violano norme penali di più alto spessore come terroristi, organizzatori di rapine e possono parlare senza essere intercettati.
L’uso illegale di dati criptati o stenografati è limitato dall’elemento soggettivo che in questo caso è il dolo specifico, cioè a condizione che l’uso sia al fine di organizzare o commettere ovvero di consentire che altri organizzino o commettano reati per i quali è previsto l’arresto obbligatorio in flagranza.
La disciplina sulla pornografia infantile è stata presa integralmente dalle norme internazionali con un’unica modifica: non mutuare dalle direttive comunitarie e dalla convenzione di Budapest il termine di 18 anni per la definizione di bambino, considerando che fosse l’età di 14 anni.
Il progetto di riforma è stato sottoposto ad una verifica comparativa con la disciplina vigente dall’avv. Daniele Minotti del Foro di Genova che ha sottolineato che soprattutto a causa della convenzione di Budapest, alcune definizioni possono essere troppo ampie violando in qualche modo il principio di tassatività e altre definizioni rischiano di diventare obsolete.
Per esempio il termine ” computer” è un termine commerciale e non tecnico perché i tecnici tra di loro parlano di macchina o sistema, ma non di computer. E’ posto in discussione il termine “domicilio informatico” perché un’intrusione di tipo informatico non coinvolge i sensi come un’intrusione tradizionale. È per questo che è giusto che rimangano le misure di sicurezza almeno a livello simbolico e non che siano idonee come certa giurisprudenza ha ritenuto, altrimenti si parla di privacy e sicuramente anche di questo si tratta per responsabilità civile.
L’intrusione in un sistema informatico non deve essere punita in quanto intrusione in un domicilio informatico ma in quanto in un ambiente riservato. Per quanto riguarda crittografia e steganografia c’è un diritto all’anonimato che non è un principio costituzionalmente riconosciuto ma è un diritto che le persone hanno.
L’avv. Stefano Aterno del Foro di Roma ha approfondito invece, il tema dell’accesso abusivo a sistema informatico o telematico, reato paradigmatico tra quelli informatici. Quando si parla delle aggravanti del 615 ter per accesso a sistemi di difesa, a sistemi relativi alla sanità ecc. il domicilio informatico come bene giuridico tutelato entra in crisi. Sia sotto il profilo del domicilio informatico che sotto il profilo della riservatezza informatica nel momento in cui c’è l’intrusione il bene viene già leso e non c’è una messa in pericolo; questo ci mette d’accordo con l’accordo quadro che impone una previsione di accesso abusivo compatibile con il tentativo.
Questo è garanzia importante perché ipotizzare un reato di danno e con questi beni giuridici tutelati ci permette di non creare un’anticipazione della soglia punitiva e di configurare agevolmente il tentativo per le ipotesi non consumate e magari più lievi. La riservatezza non riguarda la sfera più intima e personale ma va comunque oltre la sfera del dato. L’articolo a cui possiamo agganciarci per dare vita a questa previsione è sicuramente l’articolo 2 della Costituzione.
Sugli aspetti internazionali e in particolare sulle istanze dell’Unione Europea in tema di computer crimes e sulla Convenzione di Budapest del 2001, l’avv. Paolo Galdieri del Foro di Roma ha ricordato che La Decisione Quadro 2005/222/GAI offre interessanti spunti di riflessione sia in relazione alla disciplina dei c.d. reati informatici, sia rispetto alla regolamentazione giuridica in materia di responsabilità delle persone giuridiche, e ciò tanto a livello comunitario, che nazionale. In ambito europeo essa si pone come ultimo atto di una strategia volta a contrastare i reati informatici- oggi commessi anche dalla criminalità organizzata e dai gruppi terroristici -, e a garantire la sicurezza della società dell’informazione.
La parte della Decisione di maggiore interesse è quella dedicata alla previsione di una responsabilità delle persone giuridiche per gli attacchi ai sistemi informatici (art. 8 e 9). Rispetto ai delitti ivi descritti l’Unione europea sollecita l’adozione di misure necessarie affinché le persone giuridiche possano essere ritenute responsabili, quando tali reati siano commessi a loro beneficio da qualsiasi soggetto, che agisca a titolo individuale o in quanto membro di un organo della persona giuridica, il quale detenga una posizione preminente in seno alla persona giuridica stessa.
Si statuisce altresì che gli Stati membri debbano prevedere tale responsabilità anche allorquando i reati a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità siano il risultato dell’omessa sorveglianza o controllo. Si tratta di indicazioni estremamente importanti perché portano a ritenere che entro il 2007 anche in Italia verrà attribuita una responsabilità dell’ente per delitti per i quali non è, allo stato, prevista.
Tale responsabilità ha una sua ragion d’essere, atteso che numerosi sono i casi in cui l’attacco ad un sistema informatico può essere realizzato per arrecare un vantaggio ad un ente (pensiamo alle ipotesi di spionaggio o sabotaggio industriale). A tal riguardo pare, anzi, più logico prevedere una responsabilità della persona giuridica per un attacco al sistema, piuttosto che ipotizzare siffatta responsabilità per delitti quali quelli di pedopornografia e terrorismo, ove è obiettivamente difficile immaginare un qualsivoglia interesse o vantaggio dell’ente.
Il Presidente dott. Carlo Sarzana di Sant’Ippolito ha ricordato che la commissione interministeriale per la redazione dello schema di ratifica della convenzione di Budapest si è mossa su due guide lines: un intento minimalista (cioè non togliamo mattoni dall’edificio che è già stato costruito e collaudato dall’evoluzione giurisprudenziale e facciamo il minimo necessario perché la convenzione possa essere ratificata), l’altra di tenere conto della necessità di offrire agli operatori di law enforcement (che sintetizza l’unione fra forze dell’ordine e magistratura) quegli strumenti necessari per agire rapidamente e tenendo conto della normativa riguardante le misure cautelari è stato necessario in alcuni casi innalzare il livello della pena.
Infine il dott. Mario Branda, Procuratore pubblico del Canton Ticino ha narrato l’esperienza elvetica sui reati contro l’integrità sessuale. Nel mese di settembre 2002 la notizia di un’inchiesta aperta in venticinque cantoni contro oltre mille persone per possesso di materiale pedopornografico acquisito tramite Internet scosse l’intera Svizzera. L’inchiesta si rivelò senza precedenti in Svizzera per dimensioni, numero di persone coinvolte e materiale rinvenuto. Solo nel Canton Ticino vennero sequestrate oltre centomila immagini pedopornografiche e 350 video proibiti con rappresentazioni di ogni tipo, alcune di estrema crudezza con fanciulli in tenerissima età. La diffusione della pornografia infantile ha, giustamente, suscitato e suscita grande allarme nella società.
Come in altri Paesi, anche in Svizzera non sono mancate iniziative delle autorità sul piano legislativo e organizzativo che sicuramente hanno dato qualche frutto. È tuttavia frustrante dover costatare quanto sia difficile ancora oggi identificare e perseguire i fornitori di contenuti, sovente residenti o appoggiantisi a paesi in cui la persecuzione penale del reato risulta più difficile.
Passi importanti rimangono comunque da compiere sia per quanto riguarda la chiarificazione della responsabilità dei fornitori di servizi internet (provider), l’aggiornamento e l’adeguamento di determinate norme di procedura (tra cui l’acquisizione e conservazione di dati on-line), l’aggiornamento tecnico (programmi) e, anche in particolare, per quello che riguarda la cooperazione internazionale. Non è pensabile infatti che la persecuzione di reati commessi via Internet, quasi per natura transnazionali, possa attuarsi unicamente con gli strumenti classici del diritto locale.
Di particolare intereresse sono stati gli approfondimenti pratici. Matteo G.P. Flora, Responsabile Lombardia dell’Associazione Informatici Professionisti, parlando di biometria e furto di identità digitale, ha mostrato come sia possibile riprodurre una impronta altrui per poi ingannare un sensore biometrico.
Il dott. Gerardo Costabile, GdF di Milano e Member of “The International Association of Computer Investigative Specialists” ha parlato della scena del crimine in relazione alle tracce informatiche e formazione della prova, con particolare riferimento al sequestro ed alla computer forensics. L’avvocato Giuseppe Nicosia del Foro di Grosseto e il dott. Donato Caccavella, docente di Informatica Forense Università degli Studi di Bologna hanno illustrato l’opportunità delle nuove tecnologie quale supporto alla ricerca della prova con riferimento ad un caso in discussione presso il Foro di Grosseto e che vede un imputato per fatti di sangue.
Il resoconto dell’incontro organizzato dal Circolo Giuristi Telematici , ha carattere puramente informativo in relazione ai momenti salienti dell’incontro di studio. Si rimanda agli atti di prossima pubblicazione per la lettura integrale delle relazioni