Del “Consiglio d’Europa” come più “antica” istituzione europea, precedente anche al sistema delle Comunità (evolutosi poi in Unione Europea), ho già avuto modo di parlare in passato[2].
Ed è proprio nell’ambito di questa organizzazione che si è adottata la “Convenzione Europea sulla Criminalità informatica”, nella convinzione che tali nuovi fenomeni, di dimensione evidentemente transnazionale, possono essere ben contrastati solo attraverso un’armonizzazione delle legislazioni dei vari Stati sovrani. Così, dopo alcune Raccomandazioni non vincolanti indirizzate agli Stati membri negli anni ’90, un Comitato di esperti appositamente incaricato, in circa quattro anni di lavoro, ha elaborato la “Convention on Cybercrime”, aperta alla firma a Budapest il 23/11/2001, entrata in vigore il 1/07/2004[3].
Essa costituisce il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche, ed estende la portata del reato informatico includendo tutti i reati, in qualunque modo commessi mediante un sistema informatico, anche nel caso in cui la prova del reato sia esclusivamente sotto forma elettronica.
Il suo obiettivo rimane la realizzazione di una politica comune fra gli Stati membri, attraverso l’adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata. In particolare, tende ad armonizzare le fattispecie di reato riguardanti la criminalità informatica, a dotare i Paesi firmatari della Convenzione degli strumenti necessari allo svolgimento delle indagini e al perseguimento dei crimini correlati all’area informatica e a costruire un efficace sistema di cooperazione internazionale[4].
Con la L. 18 marzo 2008, n. 48[5], l’Italia ha ratificato la Convenzione[6], che opera sostanzialmente su tre piani: quello del diritto sostanziale (sono state introdotte nel codice penale diverse “nuove” fattispecie di reato), processuale e della rilevanza penale di alcune condotte in ambito aziendale[7].
L’art. 615 quinquies, del codice penale ha represso fino a ieri “la diffusione di apparecchiature, dispositivi o programmi informatici diretti danneggiare o interrompere un sistema informatico”. La norma, così come novellata, punisce oggi (reclusione fino a 2 anni e multa sino a 10.329 €) chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, si procura, produce, riproduce, importa, diffonde, comunica consegna o comunque mette a disposizione di altri apparecchiature, dispositivi o programmi informatici[8].
Anche la disciplina penale del documento informatico[9] e della firma digitale, subisce qualche integrazione con l’introduzione nel Codice Penale dei reati di falsa dichiarazione o attestazione al certificatore sull’identità o su qualità personali proprie o di altri (art.495 bis-fino a 1 anno di carcere) e di truffa del certificatore di firma elettronica (art.640 quinquies-fino a 3 anni di carcere e 1032 € di multa).
In ambito processuale le novità mirano a chiarire gli specifici poteri degli inquirenti nella delicata fase dell’accertamento del reato. In particolare, si è stabilita (modifiche agli artt.247/248/254/256/259/260/352/353/354 Codice Procedura Penale), la possibilità per l’Autorità Giudiziaria di disporre, in sede di ispezione, rilievi e altre operazioni tecniche sui sistemi, di perquisire gli stessi anche se protetti da misure di sicurezza, di esaminare presso le banche anche i dati, le informazioni ed i programmi informatici.
Ora tutte le ipotesi di reato informatico commesso dalle singole persone fisiche sono estese anche alle persone giuridiche (aziende ed enti di varia natura)[11]. A dover preoccupare le aziende, poi, non è solo l’estensione della responsabilità a tutti i delitti informatici, ma la circostanza che la stessa possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore materiale del reato. Ne consegue che la mancata individuazione del responsabile materiale, certo frequente in questi casi, possa impedire di capire esattamente al magistrato le motivazioni dell’illecito e quindi determinare un’attribuzione di responsabilità anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro[12].
Di fronte a tale nuova prospettiva l’azienda sarà inevitabilmente costretta a studiare delle strategie preventive ed idonee, da un lato, ad impedire la commissione di reati informatici al suo interno e, dall’altro, in grado di escludere una sua responsabilità nelle ipotesi in cui le misure adottate non siano state in grado di evitare la commissione del reato.
Ci si chiede, per concludere, quali saranno le reali conseguenze sul piano dell’applicazione concreta, specie in ambito giudiziario, delle nuove norme.
L’interpretazione delle norme penali informatiche è, infatti, ancora sensibilmente condizionata da un diverso modo di leggere il significato di termini tecnici utilizzati dalle norme, delle diverse tecnologie, del diverso modo di interpretare il contesto ove la norma trova applicazione. La terminologia utilizzata, sino a poco tempo fa non era per nulla usuale nell’ordinamento penale; termini quali “programma informatico”, “sistema informatico e telematico”, “dati e informazioni”, “misure di sicurezza” (presi da un mondo, quello informatico, sensibilmente diverso da quello giuridico), non ci vengono spiegati dal legislatore; quindi di fatto accade che alcune decisioni divergano tra loro poiché, mentre alcuni giudici interpretano quel determinato termine secondo l’accezione tipicamente informatica, altri lo interpretano secondo un’impostazione più propriamente giuridica[13].
Anche in questo caso, quindi, occorre attendere il consolidarsi di indirizzi giurisprudenziali, nella speranza che tutti (o la maggior parte) dei provvedimenti dei giudici siano ispirati da un’effettiva conoscenza dei contesti in cui le norme sono chiamate a operare, riconoscendo che l’intervento del legislatore in esame rappresenta un indubbio e significativo passo in avanti nella lotta contro la criminalità informatica.
