24 Ottobre 2023

Reati informatici e cybersecurity: spunti riflessivi in merito al presente e al futuro della dimensione virtuale del crimine

di Francesco Schippa, Avvocato Scarica in PDF

Premessa

Labili confini nozionistici e questioni solo parzialmente risolte. La necessità di un approccio critico

I fenomeni delittuosi sono oggi collocabili, se non altro in termini schematici, in due realtà parallele: una dimensione che potremmo definire fattuale, o materiale, in cui la condotta si manifesta all’esterno in modo canonico ed è agevolmente percepibile dai consociati; una realtà virtuale, in continuo divenire, nella quale l’estrinsecarsi della condotta delittuosa richiede essenzialmente (o eventualmente) l’uso della tecnologia e il coinvolgimento di paradigmi e dimensioni immateriali.

Al di là di questa sorta di suddivisione orientativa, non è agevole definire con esattezza il perimetro nozionistico della criminalità informatica. Come d’altronde non è agevole trovare pareri unanimi in ordine alla definizione esatta di “dato informatico”.

In tal senso è possibile affermare che il variegato fenomeno della criminalità informatica, in prima approssimazione, potrebbe essere ricondotto a tutti quei reati che vengono realizzati per il tramite del trattamento automatico di un dato e la sua elaborazione elettronica. Alla criminalità di natura informatica andrebbe poi concettualmente associata la criminalità telematica, intendendosi per tale, in estrema sintesi e senza pretese di esaustività, quel modus di realizzazione di un reato che coinvolge apparati interconnessi in grado di comunicare a distanza[1].

Peraltro, come in precedenza accennato, non solo appare complesso definire in modo esaustivo cosa si intenda per criminalità informatica, ma anche lo stesso concetto di “dato informatico” è stato oggetto di interpretazioni oscillanti.

Per essere più concreti: ci si interroga tuttora se il dato informatico possa effettivamente essere considerato alla stregua di un bene materiale e possa, per esempio, in ragione di tale eventuale “materialità”, diventare oggetto di apprensione in alcuni delitti contro il patrimonio, come l’appropriazione indebita o il furto. E di conseguenza, per cercare di dare un taglio ulteriormente pratico a tale seppur minima digressione, si rammenta che non è sempre agevole stabilire a quali reati possano astrattamente essere associate le azioni di trasferimento o copiatura del dato informatico.

Sul punto, si segnala che la dottrina si è spesso rivelata scettica sulla riconducibilità del “dato informatico” al concetto di “cosa”, non essendo dotato di fisicità e materialità[2]. Viceversa, pur incorrendo – a parere di alcuni autori – nel rischio dell’estensione analogica, la giurisprudenza ha fornito esplicite aperture alla possibilità di considerare i dati informatici come entità materiali apprensibili: si veda, a titolo meramente esemplificativo, quanto affermato dalla seconda sezione penale della Suprema Corte, nella sentenza n. 11959 del 10.4.2020; in questa pronuncia viene ammessa la configurabilità del reato di appropriazione indebita nella condotta di chi, dopo aver copiato alcuni documenti presenti su un computer aziendale affidatogli per ragioni d’ufficio, proceda alla cancellazione dei medesimi dati e alla restituzione del computer formattato[3].

Al netto di questa minima premessa, considerata la continua evoluzione della realtà virtuale, di tutte le sue declinazioni, del concetto stesso di “dato informatico” e considerate altresì le molteplici successioni normative e giurisprudenziali in materia, a parere di chi scrive sarebbe auspicabile assumere un approccio casistico e flessibile allo studio di questa complessa materia. In un ambito così celere in termini evolutivi, Il tentativo di raggiungere “approdi nozionistici statici” rischia di rimanere eternamente incompiuto.

Il presente contributo, in quest’ottica, cercherà di mettere in luce e rimarcare i profili critici della materia affrontata, alternando spunti nozionistici e richiami a questioni interpretative tuttora aperte, nella consapevolezza di poter fornire in questa sede una mera “introduzione” allo studio del complesso alveo del cybercrime e della cybersecurity in senso lato.

Riferimenti normativi indicati e suggeriti per una prima visione generale del crimine informatico.

Come noto ed intuibile, i reati informatici possono considerarsi “necessariamente informatici” o “eventualmente informatici”, ove per questi ultimi si intendono quei crimini nei quali il mezzo informatico è solo una delle possibili modalità di perpetrazione della condotta (si pensi a titolo esemplificativo al riciclaggio, che può essere realizzato anche e non solo mediante l’uso di strumenti informatici)[4].

Nel tentativo di definire i contorni nozionistici dell’eterogeneo alveo dei reati informatici, occorre muovere da una premessa fondamentale: i reati informatici sono collocati, a livello codicistico, in titoli, capi e sezioni distinte del codice penale, a seconda del bene giuridico che vanno ad aggredire; buona parte dei reati informatici si colloca nel titolo XII fra i “delitti contro la persona”, ed in specie nel suo ampio capo III, relativo ai “delitti contro la libertà individuale”[5].

Ad ogni modo, occorre rammentare che una sorta di “visione panoramica” di quelli che sono definibili come delitti informatici, in quanto realizzati per il tramite di strumenti tecnologici, si rinviene sicuramente all’art. 24 bis del D.lgs. 231/2001: tale norma annovera sotto la voce “delitti informatici e trattamento illecito di dati” diverse fattispecie di reato, accomunate dall’uso illecito di un sistema informatico, o dal nocumento provocato allo stesso.

Di seguito si cercherà di sviluppare un breve esame di alcune tra le principali fattispecie in materia, cercando non tanto di ripercorrere nozionisticamente tutti i tratti essenziali che le contraddistinguono, quanto alcuni aspetti oggetto di interpretazioni non uniformi, al fine di stimolare un approccio critico e – il più possibile – casistico allo studio del fenomeno della criminalità “virtuale”.

Analisi sintetica di alcune tra le principali fattispecie di delitti informatici.

Art. 615 ter c.p.

È proprio dal catalogo delle fattispecie indicate dal predetto art. 24 bis D.lgs. 231/2001 che si potrebbe muovere per esaminare alcuni tra i principali fenomeni che connotano il cybercrime. Nel predetto catalogo viene annoverata una tra le più ricorrenti tipologie di illecito penale di natura informatica, ossia l’accesso abusivo a sistema informatico, previsto e punito dal codice penale all’art. 615 ter.

Trattasi di fattispecie necessariamente informatica, che – in quanto tale – per la sua stessa configurazione prevede il coinvolgimento “patologico” di un sistema informatico.

Il bene protetto va indentificato nel c.d. “domicilio informatico”, inteso come spazio virtuale in cui sono collocati i dati informatici che riguardano una persona e le sue attività, e può essere definito come “l’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli art. 614 e 615 c.p.” (Cass. Pen. Sez. 18.07.03, n. 32440)[6].

La condotta che integra il delitto in parola è duplice ed alternativa: il reato si compie con l’introduzione abusiva nel sistema informatico, che trasgredisce il dissenso espresso o tacito del dominus, oppure con il permanere nel sistema suddetto oltre i limiti del consentito.

Nel presente contributo, che non ha pretese di esaustività nozionistica, si vuole accendere l’attenzione del lettore, per ciò che concerne il delitto ex art. 615 ter c.p., su uno dei profili interpretativamente più labili della fattispecie, ossia il concetto di “abusività” (la norma utilizza al primo comma l’avverbio “abusivamente”).

In tal senso, si rammenta che la Suprema Corte ha inizialmente valorizzato il profilo oggettivo della trasgressione dello ius excludendi, sottolineando che “ai fini della configurabilità del reato di accesso abusivo a un sistema informatico, la qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell’accesso e alle modalità utilizzate dall’autore per neutralizzare e superare le misure di sicurezza apprestate dal titolare dello “ius excludendi”, al fine di impedire accessi indiscriminati, a nulla rilevando le finalità che si propone l’autore e l’uso successivo dei dati, che, se illeciti, possono integrare un diverso titolo di reato” (Cass. Pen. Sez. VI, Sentenza, 25.06.2009, n. 40078).

Più di recente la Cassazione ha ribadito il principio suddetto, espresso peraltro anche nel 2011, rimarcando – in estrema sintesi – che scopi e finalità della condotta abusiva non incidono sull’effettiva configurazione del reato: sostanzialmente, la configurazione dell’illecito in esame dipende dalla concreta elusione dei limiti imposti dal dominus del sistema, non rilevando il piano motivo e finalistico che ha animato l’azione (Cass. Pen. Sez. V, 22.04.2022 n. 15629).

Sul concetto di “abusivo” e, in particolare, sull’avverbio “abusivamente”, si è espressa anche la dottrina: taluni autori ritengono che con tale avverbio il Legislatore avrebbe voluto richiamare il giudice al suo dovere di esaminare con particolare attenzione l’assenza di cause di giustificazione[7]. Talvolta, invece, l’attenzione sul concetto di abusività è stata associata alla sussistenza del dolo e, più in generale, dei motivi che spingono l’autore ad introdursi o a mantenersi nel sistema. In altre parole: talvolta la condotta “abusiva” è stata identificata come una condotta “antigiuridica” (secondo i canoni della teoria tripartita del reato), mentre a volte è stata concettualmente associata ad un’azione animata da coscienza e volontà di trasgredire lo ius excludendi.

È chiaro pertanto che la norma non favorisce semplici interpretazione e definizioni del reato in esame, perché lo stesso concetto di abusività appare controverso.

Negli ultimi anni, però, la Cassazione ha sicuramente agevolato il compito degli operatori nell’individuazione dei connotati del delitto ex art. 615 ter c.p. Orbene, al netto delle diverse interpretazioni fornite negli anni, appare fondamentale tenere a mente l’insegnamento della Suprema Corte, che nel 2017 ha evidenziato – nel delineare i confini applicativi della norma – che “Integra il delitto previsto dall’art. 615-ter comma 2 n. 1 c.p. la condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un servizio informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita”, fornendo una visione amplia ed estesa del fenomeno abusivo correlato all’uso dei sistemi informatici[8].

In concreto, ciò che sembrerebbe rilevare ai fini della configurazione del delitto ex art. 615 ter c.p., è l’eccesso dei limiti consentiti dal titolare del sistema informatico impartiti a chi vi accede seppur lecitamente.

Questo assunto, a ben vedere, comporta però (paradossalmente) una difficile interpretazione delle molteplici fattispecie fattuali che al giorno d’oggi potrebbero capitare a qualsiasi individuo, ove i limiti esatti dell’uso del sistema non siano “codificati” ed espressamente condivisi tra le parti[9]. Entro che limiti ci si può “muovere” all’interno di un sistema informatico se il dominus ha richiesto un determinato adempimento, senza esprimersi chiaramente sulle “azioni” che non vuole si realizzino nell’ambito di quell’accesso? Non sempre la risposta è intuitiva ed immediata.

In estrema sintesi: il reato ex art. 615 ter c.p. appare potenzialmente molto frequente, multiforme e nozionisticamente complesso. A ciò si aggiunga, come si approfondirà in seguito, che è tangibile il rapporto delicato che sussiste tra il fenomeno dell’uso distorto dei sistemi informatici (riconducibile in astratto alla norma in esame) e la tutela dei dati personali. Ciò dà ulteriormente atto dell’attualità e dell’importanza che la norma può rivestire nei complessi fenomeni di “uso e abuso” dei sistemi informatici nelle organizzazioni complesse e nella società in generale.

Art. 635 bis ed art. 635 ter c.p.

Altro delitto riscontrabile nel catalogo che promana dall’art. 24 bis del D.lgs. 231 del 2001, preso quale mero parametro guida per esaminare talune tra le principali fattispecie delittuose informatiche, è il c.d. danneggiamento informatico, nella sua duplice accezione di “danneggiamento di informazioni, dati e programmi informatici” (art. 635 bis c.p.) e di “danneggiamento di informazioni, dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o comunque di pubblica utilità” (art. 635 ter c.p.).

Preliminarmente, si rammenta la possibilità di ricondurre i delitti in parola a due differenti categorie: quella dei delitti di danneggiamento di dati e sistemi privati (nella quale si annoverano le fattispecie ex artt. 635 bis e 635 quater c.p.); quella dei delitti di danneggiamento di dati e sistemi “pubblici” (nella quale si annoverano le fattispecie ex art. 635 ter e 635 quinquies c.p.).

I due reati in esame sono caratterizzati dal richiamo espresso ad alcune azioni alternative: distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici.

La lettura dell’art. 635 bis c.p. ci consente di constatare che tali azioni alternative determinano ex se l’integrazione del reato nel suo elemento materiale e coincidono, pertanto, con il nucleo essenziale della condotta.

L’art. 635 ter c.p., viceversa, è declinato come delitto a consumazione anticipata, che prevede e punisce “un fatto diretto a” realizzare taluna delle suindicate condotte. In tal caso, pertanto, il malfunzionamento del sistema assume le vesti finalistiche dell’obiettivo al quale si mira realizzando un determinato “fatto”[10].

Ad ogni modo, l’elemento caratterizzante il fenomeno del danneggiamento informatico (inteso in senso lato) è la “compressione” del buon funzionamento del sistema. Il nucleo essenziale delle due norme (al netto di quanto espresso sulla loro differenza strutturale) è “impedire che il sistema funzioni” (cfr. Cass. Pen. Sez. II n. 54715/16), a differenza di quanto accade – per esempio – nel delitto di frode informatica (art. 640 ter c.p.), in cui il sistema, seppur alterato, continua a funzionare.

In merito a tali fattispecie, al fine di stimolare spunti critici nell’analisi, vale la pena evidenziare la non agevole definizione delle condotte suindicate e dei loro esatti contorni.

Per distruzione, se non altro in armonia con l’etimologia stessa della parola, sembrerebbe doversi intendere l’eliminazione irreversibile di dati, informazioni o programmi, mediante l’annientamento del supporto fisico in cui sono incorporati; per deterioramento, invece, si dovrebbe intendere probabilmente una mera diminuzione della funzione strumentale che incide direttamente sul supporto materiale.

Di contro, l’alterazione sembrerebbe coincidere con una qualsiasi modifica strutturale del dato informatico (o del programma o dell’informazione) che determini una riduzione della funzionalità originaria[11].

Da ultimo, non appare agevole la definizione esatta dei concetti di cancellazione e soppressione, richiamati paritariamente dalle norme in parola, sebbene appaiano teoricamente sovrapponibili[12].

Si segnala, al sol fine di fornire un ulteriore input critico nell’esame dei fenomeni associati al “danneggiamento informatico” in senso lato, che l’aggressione ivi compresa può spesso considerarsi associata ad un preliminare e funzionale “accesso abusivo” al sistema che si vuole aggredire. In concreto, accesso abusivo e danneggiamento possono spesso considerarsi componenti di un medesimo iter criminis, o meglio, di un medesimo disegno criminoso. Non a caso, la Suprema Corte nel 2019 ha evidenziato che nel caso di accesso abusivo ad una casella di posta elettronica protetta da “password”, è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all’acquisizione del contenuto delle “mail” custodite nell’archivio e con il delitto di danneggiamento di dati informatici, nel caso in cui all’abusiva modificazione delle credenziali d’accesso consegua l’inutilizzabilità della casella di posta da parte del titolare (Cass. Pen. Sez. V 18284, 25.03.2019).

Le fattispecie sin qui esaminate coinvolgono fondamentalmente un’aggressione al sistema informatico in quanto tale; viceversa, i fenomeni di seguito analizzati rappresentano un tangibile riscontro di come, per il tramite del rapporto patologico con un sistema informatico, si possa addivenire ad una diretta e quanto mai invasiva aggressione alla “persona”.

Diffamazione online, cyberstalking e cyberbullismo.

Alcuni fenomeni di “aggressione” via internet risultano al giorno d’oggi particolarmente ricorrenti, nonché difficilmente prevenibili.

Tra questi spicca la diffamazione online, espressione di un classico delitto a forma libera (art. 595 c.p.), che chiaramente può essere realizzato mediante strumenti “virtuali” come i social network, le email o le pagine web delle testate giornalistiche[13]. In tal senso il web può senza dubbio essere astrattamente considerato alla stregua di un “mezzo di pubblicità” (cfr. aggravante ex art. 595 comma III c.p.): è chiaro che le espressioni offensive veicolate attraverso la rete internet possono raggiungere un numero astrattamente consistente (e talvolta imponderabile) di persone, determinando un naturale “aggravamento” della condotta diffamatoria[14].

La fattispecie in esame, lo si rammenta a titolo di stimolo e per completezza argomentativa, nella sua nota ricorrenza, ha comunque spesso determinato dubbi ed oscillazioni interpretative: ad esempio, sull’identificazione del locus commissi delicti, sulla responsabilità concorsuale di chi assume posizioni di garanzia come “amministratore” delle pagine web su cui viene pubblicato il contenuto diffamatorio, o sulla possibilità di applicare il sequestro preventivo o l’oscuramento del sito sul quale viene pubblicata la dichiarazione offensiva. Tutti temi ed ambiti che non possono essere esaminati nel presente contributo, ma che vale la pena menzionare al sol fine di dare contezza, ancora una volta, di come i delitti “informatici” rappresentano, in un certo senso, un ambito moderno e mutevole che merita continui approfondimenti.

Altro fenomeno sempre più diffuso nel contesto analizzato è il c.d. cyberstalking. Tale termine non appare all’interno di alcuna norma incriminatrice, ma è stato “attenzionato” dal Legislatore, che – con il D.L. n. 93 del 14.8.2021 (convertito nella L. n. 119/2013) – ha introdotto una specifica aggravante per le condotte persecutorie realizzate “se il fatto è commesso attraverso strumenti informatici o telematici”. Anche in merito al cyberstalking appare necessario specificare che trattasi di fattispecie spesso oggetto di dubbi interpretativi, in quanto lo stesso delitto ex art. 612 bis c.p., nella sua forma base e, in primis, per ciò che concerne i tratti distintivi dell’elemento materiale, ha comportato dibattiti di ogni genere.

Da ultimo, non si può ignorare la triste attualità e rilevanza del fenomeno del c.d. cyberbullismo, concettualmente da ricondurre ai comportamenti prevaricatori realizzati mediante la rete internet tra minori[15].

Il Legislatore, per far fronte al predetto fenomeno, ha introdotto la L. n. 71 del 29.5.2017, contenente disposizioni a tutela dei minori per prevenire le aggressioni riconducibili al cyberbullismo, attuando diversi strumenti di prevenzione, pur senza la creazione di nuove fattispecie delittuose[16].

A scanso di equivoci, si segnala pertanto che il fenomeno, così nominato, non ha una diretta riconducibilità ad uno specifico reato: i comportamenti che lo possono integrare (flaming, harassment, denigration, impersonation, outing and trickery) devono essere osservati dall’interprete in modo casistico, valutando se i medesimi possano essere sussunti in alcune specifiche fattispecie (a titolo esemplificativo: molestia, diffamazione)[17].

Non potendosi disquisire del fenomeno come se lo stesso rappresentasse un singolo “reato codificato”, ciò che più rileva ai fini del presente contributo, o comunque ciò che si ritiene d’interesse per una lettura attuale e critica del fenomeno, è che l’art. 2 della L. n. 71 del 29.5.2017 ha introdotto degli specifici strumenti di tutela della persona offesa fuori dal perimetro del diritto penale: in particolare, appare concettualmente “innovativa” l’introduzione della possibilità di inoltrare un’istanza al titolare del trattamento o al gestore del sito internet o del social network per chiedere la rimozione, l’oscuramento o il blocco di qualsiasi dato personale del minore diffuso in rete. Quasi una sorta di strumento di tutela extra penale per contrastare fenomeni associabili a reati.

Complessivamente, osservando tale normativa, è possibile constatare che il diritto penale, quale strumento atto a contrastare il fenomeno, è relegato a mezzo quasi sussidiario (non ci sono fattispecie incriminatrici di nuova introduzione) e che – nel contempo – si stia provando ad affrontare il cyberbullismo con un approccio flessibile, preventivo e multidisciplinare.

A modesto parere di chi scrive, nell’apprezzare concettualmente l’intento legislativo, non si può però non ammettere che il cyberbullismo (ma tale riflessione potrebbe forse estendersi anche ad altre forme di aggressione virtuale della sfera sessuale o alla diffamazione online) sia attualmente un qualcosa di multiforme, i cui effetti negativi si estendono a velocità eccessive per quelli che sono i seppur nobili strumenti preventivi indicati in precedenza e che – allo stato – non si è ancora capito come fronteggiare efficacemente (in primis da un punto di vista tecnico). Ed in tal senso, se si focalizza l’attenzione sul cyberbullismo, ulteriore elemento non banale, che determina una pratica difficoltà nell’attuare “strategie” di natura repressiva è che, come noto, un procedimento penale presso il tribunale per i minorenni può essere avviato solo nei confronti del minore che abbia compiuto i 14 anni e sia capace d’intendere e volere. In caso contrario, al netto di quanto dispone la suddetta Legge del 2017, residuano a tutela della vittima gli strumenti risarcitori del diritto civile.

In sintesi, appare fisiologicamente arduo porre misure di contrasto specifico e concreto a delitti e fenomeni che, per il tramite dello strumento telematico, raggiungono livelli di offensività del bene ivi tutelato imponderabili, a velocità inimmaginabili.

Mondo virtuale, crimini informatici e “nuove” forme di aggressione alla sfera sessuale. Revenge porn e sextorsion.

La possibilità di aggredire “la persona” mediante l’uso di sistemi “virtuali” si declina e si sviluppa anche nell’ambito di condotte che coinvolgono vilmente la sessualità.

Tra le condotte illecite commesse mediante l’uso delle nuove tecnologie, una delle più diffuse è – come noto – il c.d. il revenge porn (letteralmente “porno-vendetta”), integrato dalla diffusione di contenuti multimediali sessualmente espliciti, senza il consenso della persona ritratta[18].

Il fenomeno appare tristemente in costante crescita: la Polizia Postale ha segnalato un aumento dei casi di revenge porn nel 2021 rispetto al 2020 pari al 78%[19]. A scanso di equivoci, però, si segnala che il fine “vendicativo”, in realtà, non sempre anima le condotte di illecita diffusione delle immagini sessualmente esplicite; a prescindere dal fine vendicativo tali condotte vanno comunque ritenute riprovevoli e – in effetti – vengono comunque sanzionate penalmente, secondo quanto si specificherà di seguito.

Orbene, la “reazione legislativa italiana” al fenomeno del revenge porn si è concretizzata con l’introduzione dell’art. 612-ter c.p., rubricato “Diffusione illecita di immagini o video sessualmente espliciti”. La norma è stata introdotta dall’art. 10 comma 1 della L. 19 luglio 2019 n. 69 (c.d. Codice Rosso). Trattasi di reato plurioffensivo, inserito nella sezione dedicata ai delitti contro la libertà morale, con elementi di “similitudine” o “comunanza” con lo stalking: entrambi i delitti aggrediscono, in primis, la sfera della serenità della vittima, da intendersi come declinazione dell’interesse alla intangibilità della sfera privata.

Il delitto in parola è caratterizzato da due commi parzialmente diversi, seppur connotati da una medesima finalità, ossia sanzionare la diffusione di contenuti sessualmente espliciti, contro il volere delle persone rappresentate[20].

Anche il reato in esame si presta a possibili dubbi interpretativi che potrebbero investire, a titolo esemplificativo, cosa si intenda con esattezza per immagini o video che siano “destinati a rimanere privati”.  In tal senso, al fine di fornire un input alla lettura critica della norma, si segnala che una recente sentenza della Suprema Corte (Cass. pen., Sez. V, sent. n. 14927, ud. 22.2.2023, dep. 7.4.2023), inizia ad affrontare l’analisi di alcuni elementi essenziali dell’art. 612 ter c.p.

Nella predetta pronuncia la Corte (ancorché non risolva i “noti” dubbi interpretativi sul requisito della destinazione privata dei contenuti multimediali) specifica, in estrema sintesi, che è sufficiente un invio ad un unico destinatario dei contenuti, a prescindere dal fatto che quest’ultimo possa non avere interesse ad “inoltrarli” a terzi. La Cassazione conferma altresì che il secondo comma (revenge porn in senso stretto) è punito a titolo di dolo. Da ultimo, gli Ermellini specificano cosa debba intendersi per contenuti “sessualmente espliciti”, chiarendo che “ai fini della configurabilità del reato di cui all’art. 612-ter cod. pen., la diffusione illecita di contenuti sessualmente espliciti può avere ad oggetto immagini o video che ritraggano atti sessuali ovvero organi genitali ovvero anche altre parti erogene del corpo umano, come i seni o i glutei, nudi o in condizioni e contesto tali da evocare la sessualità[21].

La Cassazione, pertanto, ha iniziato a fare chiarezza sui requisiti integrativi del delitto.

Sarà interessante osservare quelle che saranno – negli anni venturi – le ulteriori pronunce della giurisprudenza di legittimità sugli elementi costitutivi del reato, posto che, a parere di chi scrive, alcuni elementi essenziali della norma possono sortire ancora diversi dubbi: si pensi a titolo esemplificativo, alla non semplice collocazione ed ipotetica responsabilità dei “secondi diffusori” dei contenuti, che – peraltro – potrebbero ben sostenere (almeno in termini concettuali) di non essere a conoscenza della volontà originaria che le immagini rimanessero confinate alla sfera privata.

Nell’ambito dei fenomeni che aggrediscono la sfera della libertà sessuale, il diritto alla riservatezza e/o altri beni giuridici tutelati, tra i quali il patrimonio della persona offesa, vale la pena fare un seppur minimo cenno anche all’estorsione declinata come “sex-torsion”. Trattasi di una forma di estorsione che può configurarsi via web, secondo varie modalità.

Normalmente la peculiare tipologia di estorsione esaminata ricalca i paradigmi declinati dall’art. 629 c.p., ma si caratterizza (in estrema sintesi) per il timore ingenerato nella vittima di vedere diffusi alcuni contenuti sessualmente espliciti compromettenti. È ricorrente che prima che si configuri tale tipologia di estorsione la vittima attui pratiche di sexting (condivisione di immagini o contenuti multimediali di carattere sessuale mediante strumenti informatici o telematici) con il futuro estorsore, che viene in possesso di immagini o contenuti multimediali che saranno oggetto di minacciata diffusione.

Anche tale fenomeno, che rientra nozionisticamente nell’alveo dei reati “eventualmente informatici”, appare allarmante in quanto difficilmente arginabile, soprattutto ove coinvolga minori, che non sempre – comprensibilmente – possono rendersi conto delle potenziali conseguenze di condotte e relazioni virtuali apparentemente innocue.

Cenni introduttivi al rapporto che intercorre tra crimine informatico e protezione dei dati personali.

Nel contesto esaminato appare necessario fare cenno all’intima connessione che sussiste tra il c.d. cybercrime e i potenziali rischi di trasgressione delle norme sulla protezione dei dati personali. Ciò al sol fine di fornire alcuni minimi input, che hanno quale scopo lo stimolo di spingere chi legge a considerare sempre in modo attento e critico l’eterogeneo alveo degli illeciti informatici e telematici, in una stretta connessione col concetto di “trattamento illecito dei dati”.

Sin qui sono stati analizzati specifici reati o specifici fenomeni, nel presente paragrafo invece si svilupperà volutamente un ragionamento generico e quasi trasversale.

Come in parte già accennato, quasi tutte le fattispecie menzionate nel presente contributo possono riguardare – a livello concettuale – l’uso illecito di un dato personale, carpito o ricevuto e poi eventualmente diffuso o comunque utilizzato, per il tramite di strumenti informatici o telematici. Non è un caso, infatti, che l’art. 24 bis del già citato D.lgs. 231 del 2001 include nel catalogo dei delitti presupposto – accomunandoli – “delitti informatici e trattamento illecito di dati”.

Orbene, con l’intensificarsi delle attività nel c.d. “cyberspace”, la riservatezza ha trovato una sua declinazione peculiare nella c.d. “riservatezza informatica”, identificabile come possibilità di disporre di un proprio “spazio informatico”, in cui possa esprimersi senza impedimenti la propria personalità e rispetto al quale è possibile decidere di negare l’accesso a terzi.

In tale contesto (peraltro in continuo divenire) la tutela dei propri dati e la difesa del concetto di “riservatezza” passano quindi in gran parte dalla capacità dei sistemi informatici nei quali tali dati sono contenuti, di arginare ingressi ed attività illecite di terzi. Non a caso oggi siamo tutti sempre impegnati – anche in ambito professionale – a cercare di garantire il più possibile che i dati di soggetti terzi che trattiamo nell’esercizio delle nostre professioni e mansioni (quasi sempre presenti anche, o in via esclusiva, sui nostri dispositivi elettronici) siano effettivamente “inaccessibili”, se non grazie al nostro placet.

Ed è qui che occorre evidenziare come la dimensione virtuale dell’accesso illecito ai dati personali di terzi appare connotata fondamentalmente da due linee guida: 1) le azioni che configurano “crimini informatici” possono spesso accompagnarsi alla commissione di illeciti correlati alla privacy, secondo i paradigmi del concorso di reati; 2) oggi appare riduttivo esaminare la tutela della riservatezza senza considerarne in primis la sua dimensione virtuale, perché nei sistemi informatici attuali vengono racchiusi i dati descrittivi della nostra intera esistenza, da quelli biologici, a quelli sanitari, fino a quelli correlati alle preferenze commerciali, passando dalle sfere più disparate della nostra socialità.

Al cospetto di quanto premesso, si suggerisce di tenere sempre a mente – al di là delle fattispecie delittuose informatiche precedentemente esaminate – che il Legislatore aveva comunque previsto una specifica (ed a sé stante) norma incriminatrice, concernente le violazioni in materia di tutela della privacy, ossia l’art. 167 del relativo codice.

L’interprete che deve esaminare una fattispecie storica (potenzialmente) riconducibile ad un crimine informatico deve sempre considerare la teorica possibilità che si configuri anche il predetto reato. Ed invero, da un lato si rammenta che l’art. 167 del Codice della privacy è stato introdotto proprio per “reagire” all’illecito trattamento dei dati personali, anche in un’epoca nella quale i dati erano spesso riportati su supporti cartacei; d’altro lato, occorre sottolineare, per quanto di interesse, che tale fattispecie può senza dubbio astrattamente concorrere con alcuni delitti informatici, quali, ad esempio, l’accesso abusivo a sistema informatico: sul punto si è più volte espressa la Suprema Corte[22].

In concreto, ciò che appare sempre più tangibile è la connessione quasi inscindibile che sussiste tra reato informatico e tutela dei dati personali. E l’uso sempre più indispensabile di strumenti elettronici per conservare, condividere, gestire e trattare i dati (nostri e di terzi) determina una sorta di humus in cui il binomio tra reato informatico e illecito trattamento dei dati è sempre “prospettabile”.

A parere di chi scrive, tale assunto (e tale frequente rischio di commettere illeciti informatici ed illeciti legati alla privacy) è assolutamente tangibile se si pensa – ancora una volta – all’ambito lato sensu lavorativo, in cui si trattano dati di terzi su supporti informatici quotidianamente. Non a caso, una nota pronuncia della Suprema Corte concernente il predetto concorso di reati, riguardava l’uso improprio di dati copiati da un ex collaboratore di uno studio legale[23].

Il complesso rapporto tra reati informatici e trattamento illecito di dati personali si evince anche dal peculiare esame della responsabilità dell’internet provider[24], a livello omissivo, per non aver impedito la consumazione del trattamento illecito dei dati altrui ad opera degli utenti della rete, sul quale – pur non essendo possibile fornire peculiari approfondimenti in questa sede – vale la pena fare cenno, avendo stimolato (e stimolando tuttora) continui dibattiti (soprattutto sul concetto di “posizione di garanzia” in capo a chi gestisce un sito, una pagina di un social network, o una “community online”).

Da ultimo, sempre al sol fine di fornire meri spunti critici (che comunque non possono in alcun modo determinare chiarimenti nozionistici esaustivi), si pone l’attenzione del lettore sull’importanza che il rapporto tra tutela dei dati e reati informatici riveste in ambito di compliance aziendale, rimandando approfondimenti sul punto a sedi più opportune.

Nuove frontiere virtuali del crimine economico. Cenni al cybericilaggio e alle valute virtuali.

Il cybercrime è oggi caratterizzato anche dalla commissione di illeciti che coinvolgono strumenti di pagamento “innovativi”. Si pensi, in particolare, alle valute virtuali. Dall’angolo visuale del diritto penale l’uso di tali valute – e quindi di beni immateriali che sostituiscono la moneta canonica – viene istintivamente associato a condotte sussumibili nei delitti di cui agli artt. 648 bis, ter, ter 1 e quater c.p. (in sintesi, il riciclaggio mediante l’uso di beni difficilmente tracciabili, o comunque dotati di immaterialità).

Come noto, le prime criptovalute sono state i bitcoin, “creati” nel 2009. Con questi peculiari “strumenti”, sono stati introdotti dei metodi di pagamento alieni al settore bancario tradizionale, che sfruttano un sistema di funzionamento fondato sull’uso della tecnologia blockchain[25].

I profili critici che discendono dalle transazioni aventi ad oggetto le valute virtuali si possono riassumere nel fatto che, seppure tutte le transazioni siano pubbliche e validate dalla rete, le stesse garantiscono spesso distinte forme e gradazioni di anonimato. E’ concretamente più complesso, pertanto, tracciare tali peculiari flussi di denaro ed individuarne gli attori[26]. Tale aspetto, chiaramente, può creare difficoltà sotto il profilo delle politiche “antiriciclaggio”.

E in tale direzione si è pronunciata la Suprema Corte che, con la sentenza 27023 del 2022 (Cass. Pen. Sez. II del 7.7.2022) ha evidenziato come “la compravendita di criptovalute può integrare estremi di riciclaggio o autoriciclaggio se si ostacola la provenienza delittuosa del denaro”, in armonia con quanto stabilito nella sentenza 2868 del 25.1.2022 (Cass. Pen. Sez. II), ove si specifica che l’acquisto di criptovalute mediante l’utilizzo del profitto di altro reato è attività concretamente idonea ad ostacolare l’identificazione del denaro.

Al cospetto di tale fenomeno il Legislatore europeo ha emanato la Direttiva n. 2018/843, al fine di armonizzare le discipline antiriciclaggio degli Stati membri: in particolare, si stabilisce in modo uniforme l’assoggettamento dei soggetti che erogano servizi di piattaforme di scambio di valute virtuali (exchangers) e dei prestatori di servizi di portafoglio digitale (wallet service providers), agli adempimenti imposti dalla disciplina antiriciclaggio, in tutta l’Unione.

Nell’ordinamento italiano, tale Direttiva è stata recepita con il D.lgs. n.125/2019: la normativa prevede che gli exchanger e i wallet service providers vengano inclusi nella categoria degli operatori non finanziari ex art. 3, comma 5, d.lgs. n. 231 del 2007, con tutta una serie di conseguenze sotto il profilo degli oneri e degli adempimenti finalizzati alla corretta identificazione delle operazioni[27].

Alla luce di questa breve digressione sul tema, si rammenta che il fenomeno è veramente di estrema attualità e si suggerisce, nel contesto dello studio del crimine informatico, di porre grande attenzione alle nuove frontiere dei fenomeni di ostacolo all’identificazione delle risorse finanziarie.

La necessità di porre attenzione costante al tema si evince non soltanto dall’interesse che il medesimo desta nell’ambito dell’approfondimento scientifico e professionale (si cita a titolo esemplificativo il recente seminario organizzato dall’Ordine degli Avvocati di Roma del 10.10.2023, La nuova era della criminalità economica nuove forme di riciclaggio mediante l’utilizzo di criptovalute e di crediti fiscali), ma anche dal fatto che la stessa Agenzia delle Entrate ha recentemente “messo in evidenza” il potenziale nesso tra criptovalute e certi tipi di delitti, nel provvedimento del 7.8.2023 (in materia di regolarizzazione delle cripto-attività di cui all’articolo 1, commi da 138 a 142, della legge 29 dicembre 2022, n. 197): all’articolo 3.7 del citato provvedimento (contestualizzato in quello che gergalmente viene definito come una sorta di condono fiscale in materia di valute virtuali) si dispone che “La regolarizzazione delle cripto-attività avviene a seguito della dimostrazione della irrilevanza penale della provenienza delle somme investite, ivi compresi i delitti di cui agli articoli 2, 3, 4, 5, 10-bis e 10-ter del decreto legislativo 10 marzo 2000, n. 74 e successive modificazioni nonché i delitti di cui agli articoli 648-bis, 648-ter e 648-ter.1 del codice penale”.

Conclusioni

La cybersecurity e il concetto di rischio. La nobile prospettiva di ricondurre il rischio a parametri fisiologici e la difficile collocazione, in tale contesto, dell’intelligenza artificiale.

Il presente contributo mirava e mira a far sorgere degli interrogativi nel lettore, sulla base di una sorta di schema di sintesi del cybercrime, caratterizzato da un approccio nozionistico, integrato però con spunti giurisprudenziali ed interpretativi che diano almeno in parte la misura di come il diritto dell’informatica (e nell’informatica), sostanzialmente, non abbia confini.

Considerata l’immensità della materia a cui si è fatto cenno in queste pagine, il suggerimento che si potrebbe trarre da quanto scritto è riassumibile in alcune “linee guida”, che di fatto rappresentano una sorta di “conclusioni” trasversali al cospetto delle argomentazioni sviluppate.

In primo luogo, si evidenzia la necessità di assumere un approccio umile, critico e “studioso” alle diverse declinazioni del cybercrime, perché il fenomeno, di per sé, rappresenta oramai a tutti gli effetti l’omologo virtuale della “criminalità” intesa in senso tradizionale. Il crimine informatico, in tal senso, è un contenitore in continuo divenire, dotato di strumenti che si evolvono in modo molto più celere degli istituti normativi preventivi e repressivi che intervengono per porvi argine. La metabolizzazione di un fenomeno criminale virtuale da parte della società in cui si colloca è troppo lenta rispetto alla capacità della realtà virtuale di ridisegnare e rinnovare le proprie articolazioni.

Tanto più le nostre vite sono caratterizzate dall’uso di dispositivi elettronici, quanto più si può ipotizzare che il crimine informatico prenderà il sopravvento su quello canonico. Si pensi, in termini meramente esemplificativi, anche riflettendo meramente sulle proprie esperienze comuni, di quanto oramai le truffe online siano più frequenti delle truffe “tradizionali” o di quanto tempo si passi a generare e rinnovare password e strumenti di tutela atti a difendere il nostro perimetro da reati di ogni genere (dagli illeciti previsti e puniti a tutela della privacy, fino ad arrivare all’accesso abusivo informatico).

Questo assunto iniziale implica necessariamente una riflessione: il giurista oggi deve almeno provare a maneggiare alcune nozioni di “informatica” base in modo agevole. Non comprendere esattamente, a livello tecnico, cosa accade quando si utilizzano determinati strumenti elettronici vuol dire sostanzialmente cercare di studiare l’evoluzione dei delitti arrestando la propria analisi e la propria capacità percettiva alla mera teoria. Sarebbe come saper pronunciare delle parole di una lingua straniera senza comprenderne il significato. A livello professionale (e questo vale tanto per gli avvocati, quanto per i magistrati o i giuristi d’impresa, fino ad arrivare agli operatori di polizia giudiziaria) questa è la vera “sfida preliminare” che occorre affrontare.

Il secondo concetto che si ritiene di cardinale importanza, al netto di quanto espresso, è che il cybercrime può e deve essere affrontato (tanto a livello legislativo, quanto a livello pratico-forense), servendosi in modo simbiotico delle specializzazioni di professionalità diverse. Ciò soprattutto nell’ambito della compliance aziendale dove, a titolo esemplificativo, la redazione e la correlata adozione di una procedura atta a regolamentare il corretto utilizzo di tutti i sistemi informatici di cui è dotata un’azienda potrebbe, e forse dovrebbe, passare dal confronto tra esperti di diritto penale, esperti in materia di privacy, esperti di informatica e figure ulteriori a seconda dei casi (es: si pensi all’opportunità di avvalersi di un consulente fiscale se la società usa o riceve valute virtuali, o ai responsabili della gestione del personale nei casi in cui occorra disciplinare il lavoro telematico da remoto).

In tal senso, nella fase di redazione di un modello organizzativo che si identifica nel c.d. risk assesment (o comunque nella fase delle interviste preliminari alla ponderazione del rischio di reato) appare necessario interloquire in modo diretto e costante con chi conosce a livello tecnico gli strumenti informatici e telematici a cui accedono gli stakeholders.

Il terzo paradigma da tenere a mente, a modesto parere di chi scrive, è che – al netto di quanto espresso sul multidisciplinare approccio che si deve assumere nello studio del cybercrime – non bisogna mai discostarsi dagli istituti della parte generale del diritto penale, a partire dal dogma della responsabilità penale personale. Il web, il metaverso, l’AI, i flussi informatici e telematici, gli strumenti di pagamento virtuale, non debbono mai essere intesi come entità disancorate dalla possibile “amministrazione” dell’uomo, anche perché ogni eventuale linea interpretativa che si discosti anche in parte da tale dogma, rischia di collidere con il principio secondo il quale la responsabilità penale è personale.

L’ultima riflessione da sviluppare, che potrebbe declinarsi più che altro come auspicio, è che ci sia una propulsione accademica e – più in generale – educativa in senso trasversale, che porti ognuno di noi a formarsi ed informarsi sui rischi delle azioni che discendono dall’uso dei dispositivi elettronici. La prevenzione del rischio non andrebbe più intesa come “obiettivo di compliance”, relegato all’impegno degli enti e delle organizzazioni complesse, ma come mantra educativo che sancisca un cambio di mentalità: “come, quando e perché” uso e trasferisco dei dati, come quesiti da porsi costantemente per circoscrivere il più possibile il terreno fertile del cybercrime. A supporto di questo auspicio, si rammenta che diversi reati tra quelli menzionati nel presente contributo possono (o in alcuni casi devono) prevedere una “cooperazione della vittima” e quindi la postura dei consociati nell’uso degli strumenti elettronici può essere decisiva nella riduzione dei fenomeni criminali del cybercrime[28].

Conclusioni e auspici, lasciano poi spazio ad un enorme enigma, per lo meno secondo la umile percezione di chi scrive: ossia quale sarà il ruolo, in tale contesto, dell’intelligenza artificiale. Non è prevedibile, concretamente, se la medesima potrà essere utilizzata quale strumento preventivo di certi comportamenti “virtuali”, oppure diventerà un ulteriore strumento funzionale alla realizzazione di condotte illecite; oppure, più probabilmente, sarà l’ennesimo “scomodo” veicolo attraverso il quale – seppur in modo estremamente mediato – portare a compimento delle condotte umane, sia in termini “positivi” (prevenzione e reazione verso i reati), che in termini “negativi” (configurazione di illeciti con modalità innovative)[29].

[1] Sono diverse le sottocategorie che connotano l’eterogeneo alveo dei reati informatici e sono diverse le classificazioni succedutesi negli anni. Tra queste si annovera altresì la categoria dei c.d. reati cibernetici, da intendersi – in estrema sintesi – come “sottoinsieme” che include reati configurabili nel cyberspace (e quindi nel web), ove la fattispecie legale incriminatrice di riferimento contiene un elemento strutturale o accessorio, circostanziale, che richiama espressamente la “rete”, ovvero prevede elementi tipizzanti del fatto che sono almeno “compatibili” con la realizzazione nel web.

[2] C. Pecorella, Diritto penale dell’informatica, Padova, 2006, 267 ss.

[3] Sul punto cfr. N. Pisani, La nozione di “cosa mobile” agli effetti penali e i files informatici: il significato letterale come argine all’applicazione analogica delle norme penali, Diritto penale e processo, 5, 2020, 651 ss; cfr. altresì C. Pagella, La cassazione sulla riconducibilità dei file al concetto di “cosa mobile” oggetto di appropriazione indebita, un caso di analogia in malam partem?, in Sistema Penale web, 4.3.21.

(cfr. link: https://www.sistemapenale.it/it/scheda/cassazione-11959-2020-appropriazione-indebita-file-cosa-mobile)

[4] La manualistica approfondisce ed arricchisce le varie categorie e sottocategorie di reati informatici. Classica ulteriore divisione in tale contesto è correlata ai “reati informatici in senso stretto” ed ai reati informatici “in senso ampio”, ove la prima categoria è costituita da reati la cui formulazione legislativa richiama in modo espresso le tecnologie dell’informazione e della comunicazione (cfr. sul punto A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, Milano 2023, 76).

[5] Con la Legge n. 547 del 1993 è stato compiuto il primo vero intervento normativo in materia: sono stati introdotti taluni nuovi reati, tra cui l’art. 635 bis c.p. (danneggiamento informatico) e l’art. 615 quinquies c.p. (diffusione di programmi diretti a danneggiare o interrompere un sistema informatico) e alcuni commi aggiuntivi a fattispecie precedentemente esistenti. Il sistema così delineato è stato poi riformato nel 2008, anche al fine di adempiere agli obblighi internazionali derivanti dalla Convenzione del Consiglio d’Europa sulla criminalità informatica (c.d. cybercrime), tenutasi a Budapest il 23.11.2001.

[6] E. Bassoli, T. Perfetti, Diritto di Internet. I crimini informatici, il dark web, le web room, Pisa 2021, 131.

[7] P. Balboni – F. Tugnoli, Reati informatici e tutela dei dati personali: profili di responsabilità degli enti, in Giurisprudenza Penale Web, 2021, 1-bis

(cfr. link: https://www.giurisprudenzapenale.com/2021/01/31/reati-informatici-e-tutela-dei-dati-personali-profili-di-responsabilita-degli-enti/)

[8] F. Lombardi, Alle Sezioni unite il rapporto tra accesso abusivo a sistema informatico e sviamento di potere, in Giurisprudenza Penale Web, 2017, 4

(cfr. link: https://www.giurisprudenzapenale.com/2017/04/04/alle-sezioni-unite-rapporto-accesso-abusivo-sistema-informatico-sviamento-potere/)

[9] Sul punto, per esaustività, si segnala che taluno considera anche un possibile doppio regime di responsabilità che suddivide le condotte di insider privati ed insider pubblici (pubblici ufficiali ed incaricati di pubblico servizio): sembrerebbe esistere un duplice stato dell’abusività per cui, con riferimento agli insider privati, assumerebbe rilievo il solo abuso oggettivo dell’accesso o della permanenza nel sistema informatico, mentre per i pubblici funzionari, i confini del delitto di accesso abusivo a sistema informatico sembrerebbero più laschi, ricomprendendo qualsiasi abuso del titolo, anche soggettivo. Cfr. M. Bellingeri, Evoluzione giurisprudenziale del concetto di abusività nel caso di accesso ad un sistema informatico, www.ntplusdiritto.ilsole254ore.com, 12.5.2022

(cfr. link https://ntplusdiritto.ilsole24ore.com/art/evoluzione-giurisprudenziale-concetto-abusivita-caso-accesso-ad-sistema-informatico-AEGr8AYB)

[10] Siccome la disposizione parla di fatto diretto e non di semplice atto, un filone interpretativo minoritario ritiene che per il perfezionamento del delitto occorra un mero incipit che, sebbene non sfoci nel danneggiamento, produca una minima alterazione tangibile nel mondo materiale (cfr. sul punto l’analisi del delitto in parola fornita nel Codice di Diritto Penale, Dike Giuridica, 2023, con annotazioni a cura di I. Russo, F. Gaito, G. Gaeta).

[11] Cfr. G.I.P. Milano 1.8.2012, Pedica e altri, In tema di “mail bombing”, in www.dirittopenalecontemporaneo.it, 25.9.2012

[12] Cfr. in merito al concetto di cancellazione, che configura il delitto ex art. 635 bis c.p., Cass. Civ. Sez. Lavoro, 12.11.2021, n. 33809, secondo la quale la cancellazione di materiale informatico che escluda la possibilità di recupero se non con l’uso anche dispendioso di particolari procedure, integra gli estremi oggettivi della fattispecie delittuosa dell’art. 635-bis c.p.

[13] Cfr. Cass. Pen. 17.2.2021, n. 13993, commentata da L. Tomasi, Diffamazione e “illegittimità” convenzionale della pena detentiva: oltre l’aggravante dell’uso della stampa?, in Sistema Penale Web, 3.5.2021 (cfr. link https://www.sistemapenale.it/it/scheda/cassazione-13993-2021-diffamazione-pena-detentiva)

[14] In effetti, è noto come gran parte della giurisprudenza equipari i social network ad un mezzo di pubblicità, riconoscendo quindi la diffamazione nella forma aggravata quando “il messaggio viene inoltrato a destinatari molteplici e diversi, per esempio attraverso la funzione di forward o a gruppi di Whatsapp, su Twitter o Facebook […]” (Cass. pen., V sez., n. 7904/19; Cass. pen. sez. V, 13.7.2015, n. 8328; Tribunale Pescara, 05/03/2018, n. 652).

[15] Per una prima definizione normativa di cyberbullismo si veda l’art. 1 della L. n. 71/2017. Inoltre, consultando apposita pagina web del sito del Ministero della Salute si evince quanto segue: Il cyberbullismo è un fenomeno che si è sviluppato a seguito dell’ampio utilizzo dei mezzi di comunicazione online da parte di preadolescenti e adolescenti. La facilità di accesso a pc, smartphone, tablet consente al cyberbullo di commettere atti di violenza fisica e/o psicologica, anche in anonimato, mediante i social network, e di offendere la vittima mediante la diffusione di materiale denigratorio (testi, foto e immagini) o la creazione di gruppi contro. Si tratta di un uso inappropriato della rete, realizzato fuori dal controllo degli adulti, con cui i ragazzi si scambiano contenuti violenti, denigratori, discriminatori, rivolti a coetanei considerati diversi per aspetto fisico, abbigliamento, orientamento sessuale, classe sociale o perché stranieri. Nella fascia di età 11 anni risultano vittime di cyberbullismo il 17.2% dei maschi e il 21,1% delle femmine; i 13enni coinvolti sono il 12,9% dei ragazzi e il 18,4% delle ragazze; gli adolescenti di 15 anni sono il 9,2% dei maschi e l’11,4% delle femmine. (fonte: www.salute.gov.it)

[16] Cfr. L. N. Meazza, Cyberbullismo e bullismo, proposta di legge approvata alla Camera, in Giurisprudenza Penale Web, 2016, 9; cfr. altresì Grandi, Il reato che non c’è: le finalità preventive della legge n. 71 del 2017 e la rilevanza penale del cyberbullismo, in Studium iuris, 12/2017, 1440-1452.

[17] Grandi, Il reato che non c’è, cit., 1446 – 1447. Sul punto si veda altresì, M. Martorana e Z. Sichi, Cyberbullismo: cosa succede se mio figlio ne è vittima? Quali tutele?, in www.altalex.com, 31.3.21, in cui si rammenta che “Oltre agli interventi espressamente previsti dalla legge del 2017, e poiché non esiste un reato di cyberbullismo ma questo può essere qualificato in fattispecie criminose distinte a seconda del comportamento posto in essere dal bullo, altre forme di tutela possono essere di natura penale. In particolare, tra gli esempi principali, l’aggressione di un cyberbullo può integrare reati quali diffamazione (art. 595 c.p.), minacce (art. 612 c.p.), trattamento illecito dei dati personali (art. 167 del codice per la protezione dei dati personali), violenza privata (art. 610 c.p.), estorsione (art. 629 c.p.), detenzione di materiale pornografico (art. 600-quater c.p.). In questi casi, è possibile presentare una querela” (cfr. link: https://www.altalex.com/documents/news/2021/03/30/cyberbullismo-cosa-succede-se-mio-figlio-ne-e-vittima-quali-tutele).

[18] Sul concetto di revenge porn e su come tale neologismo possa non essere idoneo ad includere le condotte di cui all’art. 612 ter c.p., si segnala la possibile distinzione tra revenge porn “in senso stretto” ed  “in senso lato”; cfr. sul punto, “Revenge porn” e tutela penale. Prime riflessioni sulla criminalizzazione specifica della pornografia non consensuale alla luce delle esperienze angloamericane, in Dir. pen. cont. Riv. trim., 2018, n. 3, 63 ss., spec. 69 ss. (https://dpc-rivista-trimestrale.criminaljusticenetwork.eu/pdf/DPC_Riv_Trim_3_2018_Caletti.pdf)

[19] Fonte: www.poliziadistato.it (cfr. link: https://www.poliziadistato.it/articolo/i-dati-2021-della-polizia-postale)

[20] Cfr. M. Martorana e Z. Sichi Revenge porn: i primi provvedimenti a tutela delle potenziali vittime, www.altalex.com, 26.7.22 (cfr. link: https://www.altalex.com/documents/news/2022/07/26/revenge-porn-primi-provvedimenti-tutela-potenziali-vittime)

[21] G.M. Caletti, La prima pronuncia di legittimità sull’art. 612 ter c.p., www.sistemapenale.it, 5.10.2023 (cfr. link: https://www.sistemapenale.it/it/scheda/caletti-la-prima-pronuncia-di-legittimita-sullart-612-ter-cp)

[22] Cfr. Cass. pen., Sez. V, Sentenza, 04.10.2021, n. 1761 (rv. 282544-02) secondo la quale “Non sussiste alcun rapporto riconducibile all’ambito di operatività dell’art. 15 cod. pen. tra il reato di cui all’art. 615-ter cod. pen., che sanziona l’accesso abusivo ad un sistema informatico, e quello di cui all’art. 167 d.lgs. 30 giugno 2003, n. 196, concernente l’illecito trattamento di dati personali, trattandosi di fattispecie differenti per condotte finalistiche e attività materiali che escludono la sussistenza di una relazione di omogeneità idonea a ricondurle “ad unum” nella figura del reato speciale, “ex” art. 15 cod. pen.”

[23] Cass. Pen. Sez. V, 5.12.2016 n. 11994 secondo al quale “E’ punibile sia per il reato di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter c.p., sia per il reato di trattamento illecito di dati personali di cui all’art. 167, D.Lgs. n. 196/2003, il collaboratore di uno studio legale assunto per la gestione di un limitato pacchetto di clienti, il quale in violazione di un dissenso tacito dei titolari dello studio provveda a copiare e trasferire su altri supporti magnetici occultati files aventi ad oggetto contatti, rapporti ed atti estranei alla competenza per materia affidatagli, e che, inoltre, effettui un illecito trattamento dei dati personali relativi ai clienti dello studio contenuti nei documenti informatici copiati, destinandoli al riutilizzo in una successiva nuova attività professionale intrapresa autonomamente dopo l’abbandono del predetto studio”.

[24] L’Internet Service Provider (ISP) è definito come “quel soggetto che esercita un’attività imprenditoriale che offre agli utenti la fornitura di servizi inerenti Internet, in sostanza è colui che fornisce ai terzi l’accesso alla rete, utilizzando una connessione remota tramite linea telefonica o banda larga”. Cfr. sul punto M. Iaselli, internet service provider. Guida all’ISP, cos’è, regime e tipologie di responsabilità, in www.altalex.it, 13.11.2019.

(cfr. link: https://www.altalex.com/guide/internet-service-provider);

cfr. altresì S. D’alterio, ISP: la responsabilità per le pubblicazioni degli utenti, in www.altalex.it, 5.2.21.

(cfr. link: https://www.altalex.com/documents/news/2021/02/05/responsabilita-civile-e-penale-internet-service-provider-per-pubblicazioni-di-utenti)

[25] Per Blockchain si intende, in sintesi, un “registro digitale”, annoverabile nella più ampia categoria della c.d. “tecnologia del registro pubblico distribuito” (DLT Distributed Ledger Technology). In concreto si tratta di un meccanismo di registrazione e condivisione di dati attraverso vari “blocchi”, detti ledgers, ciascuno contenente la registrazione dei medesimi dati e gestito da una rete di servers, detti nodes.

[26] Cfr. sul punto A. De Conno, Criptovalute, riciclaggio e autoriciclaggio, criptocurrency e rischi: la recente pronuncia della cassazione penale sul punto (sentenza 2868 del 25 gennaio 2022), in www.altalex.com, 24.5.2022; nel contributo si evidenzia come “Il wallet che ha disposto o ricevuto l’operazione rimane infatti noto, senza che però ne sia automaticamente svelato il possessore, come avviene per il contante o moneta “fisica”. Il protocollo della Blockchain su cui si basa la criptovaluta Bitcoin, ad esempio, non richiede alcuna identificazione e verifica dei partecipanti, né fornisce uno storico dei movimenti avvenuti collegati a soggetti necessariamente esistenti nel mondo reale”.

(cfr. link: https://www.altalex.com/documents/news/2022/05/24/criptovalute-riciclaggio-autoriciclaggio)

In merito all’analisi del panorama normativo e regolamentare che, anche al di fuori dei confini nazionali, caratterizza criptovalute e disciplina antiriciclaggio, si veda altresì M. Martorana e Z. Sichi, Transazioni in criptovalute: pubblicate le regole antiriciclaggio dell’Ocse, in www.altalex.com, 9.11.2022

[28] Si pensi al revenge porn, che normalmente può configurarsi a seguito di un iniziale placet all’accesso ai contenuti da parte di chi poi assumerà le vesti del reo, o si pensi all’accesso abusivo a sistema informatico, che potrebbe configurarsi anche nel caso in cui alcune parti “sensibili” del sistema a cui il reo ha avuto lecito accesso non sono efficacemente preservate; si pensi da ultimo alle truffe online e all’appropriazione indebita di dati informatici, ma l’elenco appare sconfinato.

[29] Sul punto cfr. C. Cupelli, La sfida dell’intelligenza artificiale al diritto penale, www.sistemapenale.it, 21.4.2023 (cfr. link: https://www.sistemapenale.it/it/scheda/cupelli-la-sfida-dellintelligenza-artificiale-al-diritto-penale)

Centro Studi Forense - Euroconference consiglia

Reati informatici e cybersecurity